Hallo,

ich bitte um Hilfe gegen den Virus TR/Drop.Delf.DG.1 der sich angeblich in den Dateien thx32.acm und dvaudio.drv im Verzeichnis \windows\system32 versteckt. In diesem Verzeichnis gibts die Dateien aber nicht. (Sämtliche Dateien - auch Systemdateien sichtbar).
Hier das Logfile dazu.

Vielen Dank schon mal.
Gruß
Reiner


Logfile of HijackThis v1.99.1
Scan saved at 10:42:11, on 18.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\EloSrvce.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Pd7tPan.Exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\EloDkMon.exe
C:\WINDOWS\system32\EloTTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Tools\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Pd7tPan] Pd7tPan.Exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120894315734
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4D5685-F468-4076-93F7-C79FC5D3922C}: NameServer = 192.168.0.1,194.25.2.129,212.185.253.9
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EloSystemService - Elo Touchsystems, Inc. - C:\WINDOWS\system32\EloSrvce.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Hallo.

Arbeite das hier ab:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
3.) starte deinen Rechner neu auf
4.) öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils NUR die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an.

Zitat:

Zitat von Verzeichnisse

* Verzeichnis von C:\
* Verzeichnis von C:\WINDOWS\system
* Verzeichnis von C:\WINDOWS\system32
* Verzeichnis von C:\WINDOWS
* Verzeichnis von C:\WINDOWS\Prefetch
* Verzeichnis von C:\WINDOWS\tasks
* Verzeichnis von C:\WINDOWS\Temp
* Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

Hallo SUnny,

konnte leider die escan-Anleitung nicht abarbeiten, da sich die Version auf 8. geändert hat. Habe keine mwav.exe zum extrahieren gefunden. Vielleicht helfen die erstellten Listen weiter. Ich muss diese aber als Anhang senden da sie die erlaubten Zeichen von 25000 übersteigen.

Vielen Dank
Gruß
Reiner

jetzt noch die filelist

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\

25.01.2007 07:47 43 filelist.txt
25.01.2007 07:46 805.306.368 pagefile.sys
25.01.2007 07:40 1.773 rapport.txt
19.01.2007 00:59 91.728 ASPI.LOG


----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\WINDOWS

25.01.2007 07:47 0 0.log
25.01.2007 07:46 1.163.417 WindowsUpdate.log
25.01.2007 07:46 2.048 bootstat.dat
25.01.2007 07:44 32.440 SchedLgU.Txt
15.01.2007 00:25 14.521 KB929969.log
14.01.2007 03:02 7.610 spupdsvc.log
13.01.2007 10:11 23.307 ie7_main.log
13.01.2007 10:11 712.177 iis6.log
13.01.2007 10:11 218.549 comsetup.log
13.01.2007 10:11 131.166 ntdtcsetup.log
13.01.2007 10:11 64.953 ie7.log
13.01.2007 10:11 32.394 tabletoc.log
13.01.2007 10:11 1.374 imsins.log
13.01.2007 10:11 34.870 ocmsn.log
13.01.2007 10:11 293.981 tsoc.log
13.01.2007 10:11 44.292 MedCtrOC.log
13.01.2007 10:11 111.599 netfxocm.log
13.01.2007 10:11 309.192 ocgen.log
13.01.2007 10:11 31.941 msgsocm.log
13.01.2007 10:11 630.416 FaxSetup.log
13.01.2007 10:11 197.758 msmqinst.log
13.01.2007 10:11 68.519 updspapi.log
13.01.2007 10:10 1.374 imsins.BAK
13.01.2007 10:10 12.838 IDNMitigationAPIs.log
13.01.2007 10:10 472.875 setupapi.log
13.01.2007 10:10 11.323 NLSDownlevelMapping.log
13.01.2007 10:10 9.938 KB915865.log
13.01.2007 10:09 5.634 KB914440.log
13.01.2007 10:09 29.974 KB925454.log
13.01.2007 10:09 10.689 KB904942.log


----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\WINDOWS\system



----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\WINDOWS\system32

25.01.2007 07:47 13.646 wpa.dbl
25.01.2007 07:40 770 tmp.reg
25.01.2007 07:40 0 tmp.txt
19.01.2007 09:17 1.636 d3d9caps.dat
03.01.2007 00:19 10.980.776 MRT.exe


----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\WINDOWS\Prefetch

25.01.2007 07:43 16.422 NOTEPAD.EXE-336351A9.pf
25.01.2007 07:43 20.896 CMD.EXE-087B4001.pf
25.01.2007 07:43 11.794 FIND.EXE-0EC32F1E.pf
25.01.2007 07:40 14.860 NOTEPAD.EXE-189578DA.pf
25.01.2007 07:40 13.540 FINDSTR.EXE-0CA6274B.pf
25.01.2007 07:40 8.244 SWREG.EXE-38F5B5E1.pf
25.01.2007 07:40 6.648 DUMPHIVE.EXE-2BA1F8B6.pf
25.01.2007 07:40 4.824 SRCHSTS.EXE-26B3633F.pf
25.01.2007 07:40 12.318 REGEDIT.EXE-1B606482.pf
25.01.2007 07:40 23.484 CSCRIPT.EXE-1C26180C.pf
25.01.2007 07:40 7.040 SWREG.EXE-3688D00C.pf
25.01.2007 07:39 21.526 CHKNTFS.EXE-31921D64.pf
25.01.2007 07:39 31.520 SMITFRAUDFIX.EXE-2F859314.pf
25.01.2007 07:36 92.198 IEXPLORE.EXE-2CA9778D.pf
25.01.2007 07:32 11.368 ELOTTRAY.EXE-0EFAB091.pf
25.01.2007 07:32 9.834 ELODKMON.EXE-20EBB46D.pf
25.01.2007 07:32 15.590 CTFMON.EXE-0E17969B.pf
25.01.2007 07:32 27.634 GETFLASH.EXE-06BD8A00.pf
25.01.2007 07:32 12.212 ITUNESHELPER.EXE-08906EB7.pf
25.01.2007 07:32 10.586 QTTASK.EXE-2D7EEF34.pf
25.01.2007 07:32 85.928 EXPLORER.EXE-082F38A9.pf
25.01.2007 07:32 5.776 ELORTBTN.EXE-0848DA1A.pf
25.01.2007 07:32 50.058 WMIPRVSE.EXE-28F301A9.pf
25.01.2007 07:32 14.614 USERINIT.EXE-30B18140.pf
25.01.2007 07:32 30.782 ELOLNCHR.EXE-28F1AEEE.pf
25.01.2007 07:32 40.766 WGATRAY.EXE-0ED38BED.pf
25.01.2007 07:32 14.918 VERCLSID.EXE-3667BD89.pf
25.01.2007 07:31 596.978 NTOSBOOT-B00DFAAD.pf
24.01.2007 23:02 78.286 HELPSVC.EXE-2878DDA2.pf
24.01.2007 18:19 16.492 SNDVOL32.EXE-383480B7.pf
24.01.2007 13:41 238.624 Layout.ini
24.01.2007 13:25 21.158 IPCONFIG.EXE-2395F30B.pf
24.01.2007 13:24 12.924 PING.EXE-31216D26.pf
24.01.2007 13:08 51.088 MSHTA.EXE-331DF029.pf
24.01.2007 13:07 24.668 RUNDLL32.EXE-19F507BE.pf
24.01.2007 13:06 12.840 VNCCONFIG.EXE-3606E108.pf
24.01.2007 10:23 19.148 AVGNT.EXE-36CA4640.pf
24.01.2007 10:23 69.670 AVNOTIFY.EXE-22AE9451.pf
24.01.2007 10:22 50.944 UPDATE.EXE-13D57D76.pf
24.01.2007 10:22 13.620 PREUPD.EXE-358AA1C1.pf
24.01.2007 09:00 28.014 BPM.EXE-1E6ED5B5.pf
24.01.2007 09:00 20.446 PD7TPAN.EXE-2D8693FE.pf
24.01.2007 09:00 88.828 ITUNES.EXE-15E88941.pf
23.01.2007 09:23 13.652 IPODSERVICE.EXE-233792DA.pf
23.01.2007 09:13 6.146 LOGON.SCR-151EFAEA.pf
22.01.2007 12:02 27.476 LOGONUI.EXE-0AF22957.pf
22.01.2007 11:09 16.988 IMAPI.EXE-0BF740A4.pf
22.01.2007 11:08 54.914 WINLOGON.EXE-32C57D49.pf
22.01.2007 11:08 46.428 CSRSS.EXE-12B63473.pf
21.01.2007 17:00 52.926 DFRGNTFS.EXE-269967DF.pf
21.01.2007 17:00 16.956 DEFRAG.EXE-273F131E.pf
21.01.2007 12:30 55.858 SOFTWAREUPDATE.EXE-1E90DF1F.pf
19.01.2007 08:59 12.564 RUNDLL32.EXE-2C814D84.pf
18.01.2007 10:48 32.690 MMC.EXE-39071BCC.pf
18.01.2007 10:48 34.632 RUNDLL32.EXE-147710F4.pf
18.01.2007 10:43 18.186 GUARDGUI.EXE-1BD45C30.pf
18.01.2007 10:42 15.476 HIJACKTHIS.EXE-003D4076.pf
18.01.2007 09:17 17.754 TASKMGR.EXE-20256C55.pf
18.01.2007 09:14 80.586 MSIEXEC.EXE-2F8A8CAE.pf
18.01.2007 09:13 20.830 SHMGRATE.EXE-1BA69E68.pf
18.01.2007 09:13 28.944 RUNDLL32.EXE-286A7F8C.pf
18.01.2007 09:13 37.126 IE4UINIT.EXE-169A5A39.pf
18.01.2007 09:13 59.202 REGSVR32.EXE-25EEFE2F.pf
18.01.2007 09:13 27.570 SETUP50.EXE-0CDEF78F.pf
18.01.2007 09:13 17.910 RUNDLL32.EXE-2AF77CC9.pf
18.01.2007 09:13 21.616 UNREGMP2.EXE-07CACB61.pf
18.01.2007 09:13 16.308 RUNDLL32.EXE-4499C56E.pf
18.01.2007 09:13 15.908 RUNDLL32.EXE-470F11BD.pf
18.01.2007 09:13 3.688 IEUDINIT.EXE-054FE003.pf
18.01.2007 00:36 8.334 DRWTSN32.EXE-2B4B52AC.pf
18.01.2007 00:36 8.678 DWWIN.EXE-30875ADC.pf
17.01.2007 13:08 12.412 RUNDLL32.EXE-268BFF96.pf
17.01.2007 13:08 15.234 HIJACKTHIS.EXE-3603832B.pf
17.01.2007 12:04 54.002 AVSCAN.EXE-05AECC0E.pf
17.01.2007 12:03 45.918 AVCENTER.EXE-37584419.pf
16.01.2007 10:06 25.000 SCHED.EXE-236A886F.pf
16.01.2007 10:06 49.950 AVGUARD.EXE-3490B18B.pf
16.01.2007 10:06 27.854 UPDATE.EXE-224E90CF.pf
15.01.2007 00:25 43.572 UPDATE.EXE-0EDB45DE.pf
15.01.2007 00:25 26.674 WUAUCLT.EXE-399A8E72.pf
13.01.2007 10:09 85.290 MRT.EXE-1B4A8D49.pf
13.01.2007 10:09 72.736 UPDATE.EXE-1F9698F8.pf
82 Datei(en) 3.187.096 Bytes
0 Verzeichnis(se), 20.448.911.360 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\WINDOWS\tasks

25.01.2007 07:46 6 SA.DAT
21.01.2007 12:30 276 AppleSoftwareUpdate.job


----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\WINDOWS\Temp

25.01.2007 07:47 409 WGANotify.settings
25.01.2007 07:47 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 20.448.907.264 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F4-2CCA

Verzeichnis von C:\DOKUME~1\admin\LOKALE~1\Temp

18.01.2007 00:36 91.528 e965_appcompat.txt
13.01.2007 01:54 91.528 baac_appcompat.txt
05.12.2006 22:35 21.474 8880_appcompat.txt

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\thx32.acm
C:\WINDOWS\system32\dvaudio.drv

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Zusätzlich auch ein neues Hijacklog posten.

Gruß
Sunny

Hallo Sunny,

Anleitung durchgeackert. Die Logfiles poste ich hier:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hsrufijw

*******************

Script file located at: \??\C:\ryenvycc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\tmp.reg deleted successfully.
File C:\WINDOWS\system32\tmp.txt deleted successfully.


File C:\WINDOWS\system32\thx32.acm not found!
Deletion of file C:\WINDOWS\system32\thx32.acm failed!

Could not process line:
C:\WINDOWS\system32\thx32.acm
Status: 0xc0000034



File C:\WINDOWS\system32\dvaudio.drv not found!
Deletion of file C:\WINDOWS\system32\dvaudio.drv failed!

Could not process line:
C:\WINDOWS\system32\dvaudio.drv
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


SmitFraudFix v2.135

Scan done at 8:13:51,10, 26.01.2007
Run from C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of HijackThis v1.99.1
Scan saved at 08:26:54, on 26.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\EloSrvce.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Pd7tPan.Exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\EloDkMon.exe
C:\WINDOWS\system32\EloTTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Tools\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Pd7tPan] Pd7tPan.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120894315734
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4D5685-F468-4076-93F7-C79FC5D3922C}: NameServer = 192.168.0.1,194.25.2.129,212.185.253.9
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EloSystemService - Elo Touchsystems, Inc. - C:\WINDOWS\system32\EloSrvce.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)


Herzlichen Dank nochmal für Eure Mühe und immer währende Geduld beim Trojaner Board!
Gruß Reiner

Na das sieht doch schon gut aus, poste aber trotzdem noch den Report von eScan, hier die Anleitung:


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny

Hallo Sunny,

das ist eine gute Nachricht, wenn`s schon mal ganz gut aussieht. Ich werde die Sache mit eScan noch einmal versuchen. Allerdings, wie schon geschrieben, wenn ich eScan runterlade wird nicht die Version 7.irgendwas, sondern 8.irgendwas runtergeladen. Ich muss diese Datei nicht entpacken, da es eine .exe-Datei ist. Deswegen kann ich auch keinen Ordner XBase anlegen. Ich finde demnach auch keine Datei mwavscan.com.
Ich probier`s aber trotzdem noch einmal.

Danke
Reiner

Lade dir diese .exe Datei herunter auf den Desktop, mit der 2.ten Maustaste draufklicken, vorher natürlich manuell den Ordner Bases_X anlegen, und nun mit deinem Entpacker nach C:\Bases_x entpacken.

AUCH WENN ES EINE .EXE DATEI IST, BITTE NICHT DOPPELKLICK, SONDERN ENTPACKEN!

Gruß
Sunny

Alles klar, danke.
Das gehe ich nächste Woche an.

Gruß
Reiner

hi sunny!

habe euer gespräch mitverfolgt, da ich bei mir den selben virus entdeckt habe. bin aber leider nicht so ein computer-spezialist und kenne mich nicht so gut aus.(habe deine gut beschriebene anleitung an reiner nicht ganz verstanden)
wollte dich deswegen fragen, ob du mich auch ebenfalls so gut beraten könntest.
habe bereits smitfraud downgeloaded und durchlaufen lassen, weiss aber nicht genau was du mit abarbeiten gemeint hast (so vorgehen wie das was auf der smitfraud homepage steht? -die dateien dann also rauslöschen?) oder nur den rapport posten und auf hilfe von dir warten?

herzlichen dank
mike

Zitat:

Zitat von Mike

wollte dich deswegen fragen, ob du mich auch ebenfalls so gut beraten könntest.

Kann ich machen, aber bitte eröffne einen neuen Beitrag, da wir hier nocht nicht fertig sind/waren.

Zitat:

oder nur den rapport posten und auf hilfe von dir warten?

Du kannst dann gleich den Rapport-Text posten, sowie ein Hijacklog.
Anleitung dazu in meiner Signatur verlinkt.

Gruß
Sunny

Hallo Sunny,

sorry, aber wie kann ich eine .exe Datei entpacken? Über rechte Maustaste kann ich die Datei natürlich packen aber weder mit winzip noch mit winrar entpacken. Oder ist mir die letzten Jahre da etwas entgangen.

Danke für etwaige Tipps

Reiner

Hallo

ich zwar nicht Sunny, aber klicke die Datei mit der rechten Maustaste an --> wähle "Datei entpacken" --> wähle dann den Ordner C:\Bases_X --> OK also entpacken.

MFG

Hallo,

wie schon geschrieben, wenn ich die exe-Datei mit der rechten Maustaste anklicke habe ich keine Möglichkeit die Datei zu enpacken. Bitte selbst mal probieren - falsch machen kann man da ja nichts.

Gruß
Reiner