| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan-Adclicker in Windows\System32\NSV26.DLLWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.09.2007, 18:38
| #31 |
 |  Trojan-Adclicker in Windows\System32\NSV26.DLL hallo, hab das so gemacht, wie du angegeben hast. der neue scan von spybot hat keine spione gefunden. hab gzmrotate gelöscht - nach dem neustart im normalen modus kam folgende meldung: RUNDLL Fehler beim Laden von C:\Windows\system32\gzmrotate.dll Das angegebene Modul wurde nicht gefunden was mach ich jetzt??? danke!! |
|
23.09.2007, 18:44
| #32 |
| > MalwareDB   | Trojan-Adclicker in Windows\System32\NSV26.DLL Silentrunners Logfile
__________________-Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)
__________________ |
|
23.09.2007, 18:51
| #33 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL "Silent Runners.vbs", revision 52, http://www.silentrunners.org/
__________________Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Norton SystemWorks" = ""C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz" ["Symantec Corporation"] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."] "Disk Monitor" = "C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" ["Neodio Corp."] "NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"] "CloneCDElbyCDFL" = ""C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"] "hid_start" = "C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify" [MS] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\(Default) = "SWEETIE" -> {HKLM...CLSID} = "SWEETIE Class" \InProcServer32\(Default) = "C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll" ["Macrogaming"] {36A91CEC-6C71-4758-B492-397BFC8E96A2}\(Default) = (no title provided) -> {HKLM...CLSID} = "rightonadz.biz browser optimizer" \InProcServer32\(Default) = "C:\WINDOWS\system32\gzmrotate.dll" [file not found] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Sign-in Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {HKLM...CLSID} = "CNavExtBho Class" \InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser" -> {HKLM...CLSID} = "Nokia Phone Browser" \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" = "All To WMA Converter" -> {HKLM...CLSID} = "WMAExt Class" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS] "{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD" -> {HKLM...CLSID} = "CloneCD Shell Extension" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" -> {HKLM...CLSID} = "WMAExt Class" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" -> {HKLM...CLSID} = "WMAExt Class" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoActiveDesktop" = (REG_BINARY) hex:00 00 00 00 {Disable Active Desktop} "NoSaveSettings" = (REG_DWORD) hex:0x00000000 {Don't save settings at exit} "ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Chiligreen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" |
|
23.09.2007, 19:03
| #34 |
| > MalwareDB | Trojan-Adclicker in Windows\System32\NSV26.DLL Gehe wiefolgt vor Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file) O3 - Toolbar: (no name) - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - (no file) O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus. Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden): C:\Programme\Macrogaming (Ordner) C:\WINDOWS\system32\nsv26.dll Dann starte den Rechner im normalen Modus neu und poste ein neues HJT Logfile.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.09.2007, 19:26
| #35 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hallo, ich hab von deiner liste folgende dateien nicht: O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" soll ich jetzt einfach die dateien auswählen, die vorhanden sind und so verfahren, wie du geschrieben hast?? |
|
23.09.2007, 19:27
| #36 |
| > MalwareDB | Trojan-Adclicker in Windows\System32\NSV26.DLL Du meinst die Einträe im HJT Log?
__________________ --> Trojan-Adclicker in Windows\System32\NSV26.DLL |
|
23.09.2007, 19:29
| #37 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL ja, ich soll die doch anklicken und anschließend auf fix checked klicken... bei dieser liste gibt es die dateien nicht, die ich dir gepostet hab... |
|
23.09.2007, 19:32
| #38 |
| > MalwareDB | Trojan-Adclicker in Windows\System32\NSV26.DLL ok, wenn was fehlt, nicht schlimm, poste ein abschließendes HJT Logfile
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.09.2007, 19:40
| #39 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hab gerade auf fix checked geklickt, dann kam diese meldung: SpyBot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde. Kategorie: Internet Explorer searches Änderung: Wert hinzugefügt Eintrag {CFBFAE00-17A6-11D0-99CB-00C04FD64497} er fragt, ob ich diese "Neuen Daten" erlauben oder verweigern soll drunter ist noch ein kästchen mit "merke diese entscheidung" - soll ich das anhaken? ich hab mir gedacht, ich frag besser vorher nach, da es ja was mit der registrierung ist... |
|
23.09.2007, 19:42
| #40 |
| > MalwareDB | Trojan-Adclicker in Windows\System32\NSV26.DLL Mein Fehler, deaktivere den Tea Timer bevor Du diese Einträge fixed.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.09.2007, 20:04
| #41 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hier das HJT Logfile: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 21:00:14, on 23.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\downloads programme\Hijack\hijackthis\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O2 - BHO: (no name) - {26E45419-7205-4fac-BBFE-174BC7337A79} - (no file) O2 - BHO: (no name) - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - (no file) O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Search - ?p=ZN O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://l00kl23.com/default.cab?uid=54&id=51295&1s&ex&ppd=4&tag=32 O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter: text/html - (no CLSID) - (no file) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe den ordner hab ich gelöscht, die andere datei war nicht vorhanden. nach dem neustart im normalen modus kam folgende meldung: SpyBot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde. Kategorie: SystemStartup global entry Änderung: Wert gelöscht Eintrag: hid_start Alte Daten: C:\Windows\System32\Rundll32.exe "C:\Windows\System32\gzmrotate.dll" DllVerify ich hab das fenster noch offen - soll ich jetzt erlauben oder verweigern? danke!! |
|
23.09.2007, 20:14
| #42 |
| > MalwareDB | Trojan-Adclicker in Windows\System32\NSV26.DLL Doch etwas mehr als nur Adware  Deaktiviere den Tea Timer! Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O2 - BHO: (no name) - {26E45419-7205-4fac-BBFE-174BC7337A79} - (no file) O2 - BHO: (no name) - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - (no file) O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: (no name) - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file) O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - h**p://l00kl23.com/default.cab?uid=54&id=51295&1s&ex&ppd=4&tag=32 O18 - Filter: text/html - (no CLSID) - (no file) Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete:
%windir%\Temp\tmpf5
%windir%\aorvno91m.txt
%windir%\evc74wl2j.txt
%windir%\lx1k01.txt
%windir%\d5txeh9i.bmp
%windir%\evc74wl2j.txt
%windir%\j2xbgwck2.bmp
%windir%\uh7npw.bmp
%windir%\atmcfg.tmp
%windir%\attcfg.tmp
%windir%\avistat.tmp
%windir%\brwcfg.tmp
%windir%\concfg.tmp
%windir%\dbgcfg.tmp
%windir%\dbmdata.tmp
%windir%\egadata.tmp
%windir%\jpgcfg.tmp
%windir%\sc.tmp
%windir%\sc.xml1
%windir%\tj7jec.tmp
%windir%\wmvcfg.tmp
%windir%\b6iqdkku.scf
%windir%\jw9ucgel.scf
%windir%\k6jb7v.scf
%windir%\shsdmmo.scf
%windir%\c6wsq6.reg
%windir%\cesm9q.reg
%windir%\eevmwk.reg
%windir%\f3da8e.reg
%windir%\hnwjp41c.reg
%windir%\in0r6hai.reg
%windir%\x0h7bh.reg
%windir%\brwmark.ini
%windir%\dqpdroc.ini
%windir%\gjo2qi.ini
%windir%\kk8o693x.ini
%windir%\xt2in5uk.ini
%windir%\9ergx.dat
%windir%\accm.exe
%windir%\ais32.exe
%windir%\alerter.exe
%windir%\bin32.exe
%windir%\cc1.exe
%windir%\cc2.exe
%windir%\cc3.exe
%windir%\cc4.exe
%windir%\cc5.exe
%windir%\chater.exe
%windir%\cknxj2wno.log
%windir%\csrsd.exe
%windir%\ccsserv.exe
%windir%\ccsserv.dat
%windir%\eba2h6cc.dat
%windir%\f8or9s.exe
%windir%\ftg71cj1qx.dat
%windir%\fwall32.dat
%windir%\gbrw8nl7.log
%windir%\gdi32.exe
%windir%\gbrw8nl7.log
%windir%\gn3kud5.log
%windir%\hv4e05.dll
%windir%\kheu93.dll
%windir%\jestertb.dll
%windir%\md2icut9a2.dll
%windir%\msout.exe
%windir%\msupdtwiz.exe
%windir%\msupdtwiz.c
%windir%\msupdtwiz.s
%windir%\msupdtwiz.z
%windir%\msupdtwiz.dat
%windir%\ndis.exe
%windir%\nmac32.exe
%windir%\np8dbq.exe
%windir%\npad32.dat
%windir%\npp32.exe
%windir%\odfvf.dat
%windir%\r81j7l4g.pif
%windir%\reggserv.dat
%windir%\rmtemp~.exe
%windir%\semr8u8j8n.dll
%windir%\serrv.c
%windir%\serrv.exe
%windir%\serrv.wax
%windir%\serrv.dat
%windir%\serv.exe
%windir%\serv.wax
%windir%\sg6fk0l5ci.dll
%windir%\sk.exe
%windir%\skcc32.exe
%windir%\smm126.exe
%windir%\spoolsrv.exe
%windir%\spow32.exe
%windir%\sqhost.exe
%windir%\sqhost.wax
%windir%\sqhost.c
%windir%\sqhost.s
%windir%\sqhost.z
%windir%\sqhost.dat
%windir%\sqhos32.dat
%windir%\sserrvv.exe
%windir%\sserrvv.wax
%windir%\sserrvv.c
%windir%\sserrvv.s
%windir%\sserrvv.z
%windir%\t2serv.dll
%windir%\t2serv.s
%windir%\t2serv.wax
%windir%\tpup.wax
%windir%\tpup.exe
%windir%\tpup.z
%windir%\tpup.dat
%windir%\twain22.exe
%windir%\u713ifw.txt
%windir%\update86.exe
%windir%\wqpd32.dat
%windir%\system32\2e35W6.dll
%windir%\system32\2f2Ro5hpj2.dll
%windir%\system32\40.tmp
%windir%\system32\40.tmp.exe
%windir%\system32\rmvtrjan.trb
%windir%\system32\rmt.trb
%windir%\system32\sschk.trb
%windir%\system32\trupd.trb
%windir%\system32\trjscan.trb
%windir%\system32\actidmoc.exe
%windir%\system32\advacfgb.dll
%windir%\system32\advacfgb.dat
%windir%\system32\advacfgb.exe
%windir%\system32\alerter.exe
%windir%\system32\alrsbatt.dll
%windir%\system32\atrconf.exe
%windir%\system32\attmgr32.dll
%windir%\system32\atmperf.exe
%windir%\system32\attprf32.dll
%windir%\system32\attstat.dll
%windir%\system32\audconf.exe
%windir%\system32\audmgr32.dll
%windir%\system32\audstat.dll
%windir%\system32\audprf32.dll
%windir%\system32\audperf.exe
%windir%\system32\avifwmer.dll
%windir%\system32\brwconf.exe
%windir%\system32\brwmgr32.dll
%windir%\system32\brwperf.exe
%windir%\system32\brwprf32.dll
%windir%\system32\brwstat.dll
%windir%\system32\ccfgcscd.exe
%windir%\system32\ccfgcscd.dat
%windir%\system32\ccfgcscd.dll
%windir%\system32\cfgd3d.dll
%windir%\system32\cfgisr.dll
%windir%\system32\cfgmmprm.dll
%windir%\system32\confatm.dll
%windir%\system32\confatt.dll
%windir%\system32\confaud.dll
%windir%\system32\confbrw.dll
%windir%\system32\confcon.dll
%windir%\system32\confega.dll
%windir%\system32\confifc.dll
%windir%\system32\confwmv.dll
%windir%\system32\conmgr32.dll
%windir%\system32\conperf.exe
%windir%\system32\conprf32.dll
%windir%\system32\constat.dll
%windir%\system32\cp8xpqj.dll
%windir%\system32\crypds16.dll
%windir%\system32\crypmapi.dat
%windir%\system32\crypmapi.exe
%windir%\system32\crypmapi.dll
%windir%\system32\__delete_on_reboot__c_r_y_p_m_a_p_i_._d_l_l_
%windir%\system32\cssewmpd.exe
%windir%\system32\dbgperf.exe
%windir%\system32\decconf.exe
%windir%\system32\dfssrasc.dll
%windir%\system32\dfssrasc.exe
%windir%\system32\diagisr.dll
%windir%\system32\diagd3d.dll
%windir%\system32\d1agrpd.exe
%windir%\system32\dmimmdt2.exe
%windir%\system32\dpugmswe.dll
%windir%\system32\dpvacdfv.dll
%windir%\system32\dssconf.exe
%windir%\system32\dxtmsft3.dll
%windir%\system32\dxtmmnmd.dat
%windir%\system32\dxtmmnmd.exe
%windir%\system32\dxtmmnmd.dll
%windir%\system32\e1.dll
%windir%\system32\egaavi.exe
%windir%\system32\egamgr32.dll
%windir%\system32\egastat.dll
%windir%\system32\egperf32.dll
%windir%\system32\evenncob.dll
%windir%\system32\fpwppgpm.exe
%windir%\system32\fsxsh4.dll
%windir%\system32\gg32pbms.dll
%windir%\system32\gtmqf608r7.dll
%windir%\system32\hypewmv9.exe
%windir%\system32\i4n27vl.exe
%windir%\system32\i5u476j8n7.dll
%windir%\system32\ifcprf32.dll
%windir%\system32\ifcstat.dll
%windir%\system32\ifcmgr32.dll
%windir%\system32\__delete_on_reboot__i_f_c_m_g_r_3_2_._d_l_l_
%windir%\system32\ifcperf.exe
%windir%\system32\imagalrs.exe
%windir%\system32\inetzlco.exe
%windir%\system32\inetzlco.dll
%windir%\system32\iproplus.dll
%windir%\system32\ipsecmon.exe
%windir%\system32\ipsmwebh.exe
%windir%\system32\ipxpextm.exe
%windir%\system32\ipxwersv.dll
%windir%\system32\ipxwshel.exe
%windir%\system32\isrconf.exe
%windir%\system32\isrprov.exe
%windir%\system32\isrprf32.dll
%windir%\system32\iuennwcf.dll
%windir%\system32\ixsswmas.exe
%windir%\system32\j2t3crh.dll
%windir%\system32\jfg3awxsgg.pif
%windir%\system32\jgawmsne.dll
%windir%\system32\jgdwadsn.dll
%windir%\system32\jgdwadsn.exe
%windir%\system32\KP0e4.dll
%windir%\system32\kbdfwshe.exe
%windir%\system32\kbdcrtut.dll
%windir%\system32\lprmneth.dll
%windir%\system32\lprmneth.exe
%windir%\system32\mcd3mscm.dll
%windir%\system32\mididpnh.dll
%windir%\system32\ml7swr.exe
%windir%\system32\mp4sglmf.dll
%windir%\system32\mp43kbda.exe
%windir%\system32\mprmsfma.dll
%windir%\system32\mqadscp3.exe
%windir%\system32\msdmmtxl.dll
%windir%\system32\msihftpw.dll
%windir%\system32\msisnwcf.dll
%windir%\system32\msjidpmo.dll
%windir%\system32\mspradsn.exe
%windir%\system32\mspradme.exe
%windir%\system32\msssmsda.dat
%windir%\system32\msssmsda.dll
%windir%\system32\msssmsda.exe
%windir%\system32\msrdtscf.exe
%windir%\system32\msrdwint.dll
%windir%\system32\msrdwint.dat
%windir%\system32\msrdwint.exe
%windir%\system32\mstsodbc.exe
%windir%\system32\narrwshr.dll
%windir%\system32\netfrtm.dll
%windir%\system32\nmp.log
%windir%\system32\nmevmsas.dll
%windir%\system32\oebdfc.dll
%windir%\system32\odtemdt2.dat
%windir%\system32\odtemdt2.exe
%windir%\system32\odtemdt2.dll
%windir%\system32\offfmsre.dll
%windir%\system32\packwlda.exe
%windir%\system32\pfxzmtforum.dll
%windir%\system32\pfxzmtwbmail.dll
%windir%\system32\pfxzmtsmt.dll
%windir%\system32\pfxzmtsmtspm.dll
%windir%\system32\pfxzmtymsg.dll
%windir%\system32\pfxzmtgtal.dll
%windir%\system32\pfxzmtaim.dll
%windir%\system32\pfxzmticq.dll
%windir%\system32\psapdani.dll
%windir%\system32\psbaavic.dll
%windir%\system32\psbamtxe.dll
%windir%\system32\QcRnV2.dll
%windir%\system32\q6O823n88.dll
%windir%\system32\qdvddgrp.exe
%windir%\system32\regaufat.dll
%windir%\system32\rdpwmsjt.exe
%windir%\system32\rtutdmin.dll
%windir%\system32\samsusrr.dll
%windir%\system32\samsusrr.exe
%windir%\system32\sbeddem.dll
%windir%\system32\sbeddem.exe
%windir%\system32\sccsumdm.dll
%windir%\system32\sccsumdm.dat
%windir%\system32\sccsumdm.exe
%windir%\system32\scp3sdhc.dll
%windir%\system32\scrilprh.dll
%windir%\system32\scsm.exe
%windir%\system32\sfxzmtsmt.dll
%windir%\system32\sfxzmtsmtspm.dll
%windir%\system32\shsvmdim.dll
%windir%\system32\slbipsch.dll
%windir%\system32\slbipsch.exe
%windir%\system32\snmpmmcn.dll
%windir%\system32\ssconfig.exe
%windir%\system32\statd3d.dll
%windir%\system32\statisr.dll
%windir%\system32\strmatkc.dll
%windir%\system32\strmwin8.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\trkwpipa.exe
%windir%\system32\tscfvjoy.dll
%windir%\system32\uiqzmticq.dll
%windir%\system32\ujn6oqt.dll
%windir%\system32\ulibofff.exe
%windir%\system32\uregdeve.dll
%windir%\system32\uregdeve.exe
%windir%\system32\v4pbpt51.dll
%windir%\system32\vb5dmspo.dll
%windir%\system32\vbscqdv.exe
%windir%\system32\vdshlicw.exe
%windir%\system32\vmhevnet.dll
%windir%\system32\vmhevnet.exe
%windir%\system32\vp31srsv.exe
%windir%\system32\vp31rpcs.exe
%windir%\system32\w3sskbda.dll
%windir%\system32\wmvperf.exe
%windir%\system32\wmvconf.exe
%windir%\system32\wmvstat.dll
%windir%\system32\wmvmgr32.dll
%windir%\system32\wmvprf32.dll
%windir%\system32\wstdactx.exe
%windir%\system32\winbpowr.exe
%windir%\system32\wmnecomc.dll
%windir%\system32\wmpcskdl.dll
%windir%\system32\wmpcmsyu.exe
%windir%\system32\wmspmsv1.z1
%windir%\system32\wshtlprh.dll
%windir%\system32\wupstlnt.dll
%windir%\system32\xactcomr.exe
%windir%\system32\xpspqdvd.exe
%windir%\system32\xpspqdvd.dat
%windir%\system32\xpspqdvd.dll
%windir%\system32\yapconf.exe
%windir%\system32\zlcocard.dll
%windir%\system32\zlcocard.exe
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry keys to delete:
HKLM\SOFTWARE\Microsoft\advacfgb
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\advacfgb
HKLM\SOFTWARE\Microsoft\attmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\attmgr
HKLM\SOFTWARE\Microsoft\audmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKLM\SOFTWARE\Microsoft\brwmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\brwmgr
HKLM\SOFTWARE\Microsoft\ccfgcscd
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ccfgcscd
HKLM\SOFTWARE\Microsoft\conmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\conmgr
HKLM\SOFTWARE\Microsoft\crypmapi
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypmapi
HKLM\SOFTWARE\Microsoft\dbgmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dbgmgr
HKLM\SOFTWARE\Microsoft\decstat
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\decstat
HKLM\SOFTWARE\Microsoft\dfssrasc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dfssrasc
HKLM\SOFTWARE\Microsoft\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\dxtmmnmd
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dxtmmnmd
HKLM\SOFTWARE\Microsoft\jgdwadsn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgdwadsn
HKLM\SOFTWARE\Microsoft\jpgmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jpgmgr
HKLM\SOFTWARE\Microsoft\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\msrdwint
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msrdwint
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda
HKLM\SOFTWARE\Microsoft\odtemdt2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\odtemdt2
HKLM\SOFTWARE\Microsoft\psbamtxe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psbamtxe
HKLM\SOFTWARE\Microsoft\samsusrr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\samsusrr
HKLM\SOFTWARE\Microsoft\sccsumdm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sccsumdm
HKLM\SOFTWARE\Microsoft\slbipsch
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\slbipsch
HKLM\SOFTWARE\Microsoft\sysshtic
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic
HKLM\SOFTWARE\Microsoft\uregdeve
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uregdeve
HKLM\SOFTWARE\Microsoft\vmhevnet
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet
HKLM\SOFTWARE\Microsoft\wmvmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wmvmgr
HKLM\SOFTWARE\Microsoft\wstdactx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wstdactx
HKLM\SOFTWARE\Microsoft\xpspqdvd
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xpspqdvd
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|accm.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|atmconf
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|audiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bin32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|chater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ciodiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|davctool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gdi32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|himem.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ipxwshel
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mac.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mqadscp3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mspradme
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msupdtwiz
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SoundMnEx32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|spoolsrv.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sqhost
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sserrvv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|t2serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tpup
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ulibofff
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wmvdiag
 4.) Danach das System unverzüglich neu starten lassen 5.) lösche das backup vom Avenger unter Avenger\backup.zip + Papierkorb leeren 6.) Poste den Inhalt der C:\avenger.txt Datei in ein [code]Der Inhalt Deines Logs hier :) [/code]
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (23.09.2007 um 20:53 Uhr) |
|
23.09.2007, 21:28
| #43 | |
| | Trojan-Adclicker in Windows\System32\NSV26.DLLZitat:
soll ich hier wieder auf fix checked klicken? |
|
23.09.2007, 21:33
| #44 | |
| > MalwareDB | Trojan-Adclicker in Windows\System32\NSV26.DLLZitat:
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.09.2007, 21:42
| #45 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hab grad auf die grüne ampel im avenger geklickt, dann ist folgende meldung gekommen: Fatal error: could not create new script file hab auf ok geklickt (gab keine andere auswahlmöglichkeit), dann kam das hier: Error Code: 0 Error logged to errorlog.txt. Aborting now! drunter kann ich auf ok klicken was mach ich jetzt? |
|
| Themen zu Trojan-Adclicker in Windows\System32\NSV26.DLL |
| .dll, antivirus, c:\windows, datei, eingefangen, gen, google, heute, interne, internet, laufen, löschen, neue, neue seite, norton, reparieren, surfen, system, system32, systemworks, trojaner, update, updated, viruswarnung, windows, windows xp |
Linear-Darstellung
