TR/Agent khfdebb.dll

Andreea · 18.12.2007, 21:29

Hallo liebe Helfer,

ich habe den AntiVir Freeware auf meinen Rechner installiert und der bringt folgende Meldung:

Achtung Fund! Auf Ihrem Computer wurde ein Virus oder unerwünschtes Programm gefunden.

C:\WINDOWS\systems32\khfdebb.dll
Ist das Trojanische Pferd TR/Agent.37376

AntiVir kann diese Datei nicht löschen.
Ich habe es noch mit Spybot Search & Destroy versucht zu löschen bzw. in Quarantäne zu verschieben, aber es funktioniert nicht.
Ich habe auch Hickjacker versucht, aber auch das funktioniert nicht.
Diese dll -Datei ist weiterhin vorhanden..
Als ich es versucht habe, direkt zu löschen, kam die Meldung, dass diese Datei gerade verwendet wird und somit nicht gelöscht werden kann. Weiß leider nicht, wie ich diese dll-Datei beenden kann, damit ich sie löschen kann.

Hat jemand vielleicht einen Tipp was ich machen kann?

Vielen Dank für Eure Hilfe :-)

Viele Grüße
Andreea

cosinus · 18.12.2007, 21:43

Hallo.

Werte die Datei C:\WINDOWS\systems32\khfdebb.dll mal bei Virustotal aus und poste die Ergebnisse inkl. Angaben zu Dateigröße und Prüfsummen.

Zitat:

Ich habe auch Hickjacker versucht, aber auch das funktioniert nicht.
Diese dll -Datei ist weiterhin vorhanden..

Hijackthis löscht auch keine Dateien, es ist dafür gedacht bestimmte Systembereiche zu überprüfen und ein Logfile zu erstellen. Erstell ein Logfile mit dieser umbenannten hijackthis.exe und poste es, dann sehen wir weiter.

Andreea · 18.12.2007, 21:56

Hallo Cosinus,

Vielen Dank für die rasche Antwort. Also ich hab es bei Virustotal.de gecheckt, aber da kam folgende meldung:

MD5: 6f459298a5b88418119aed85923412c2
Date: 12.03.2007 14:28:03 (CET) [>15D]
Results: 23/32
Permalink: resultado.html?e799807a7ec9f355365f1e5a51c425ca

Hier noch die Hijackthis- Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:48:58, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\TOOLS\Adobe Acrobat Prof\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
D:\TOOLS\ipod\bin\iPodService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Andy\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\TOOLS\Adobe Acrobat Prof\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\TOOLS\Adobe Acrobat Prof\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?7b9b92a70fd24533bda840fc5c3d7ce2
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?7b9b92a70fd24533bda840fc5c3d7ce2
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {3D58ADF1-2986-4B11-AA79-6D427F004F08} - MEDIONshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1111000070881
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\TOOLS\ipod\bin\iPodService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

So, hoffe, die Infos bringen etwas :-) Vielen Dank!

VL G,
Andreea

cosinus · 18.12.2007, 22:16

Zitat:

Vielen Dank für die rasche Antwort. Also ich hab es bei Virustotal.de gecheckt, aber da kam folgende meldung:

MD5: 6f459298a5b88418119aed85923412c2
Date: 12.03.2007 14:28:03 (CET) [>15D]
Results: 23/32
Permalink: resultado.html?e799807a7ec9f355365f1e5a51c425ca

Das bedeutet, dass ein und dieselbe Datei schonmal ausgewertet wurde, und der Scanvorgang nicht nochmal gemacht werden muss... => VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

Die Datei kannst du so löschen:
1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

Files to delete:
C:\WINDOWS\systems32\khfdebb.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Führ danach mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

* Blacklight
* eScan
* Silentrunners
* combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Andreea · 19.12.2007, 14:54

Hier die Logfiles.. Hab sie alle verlinkt, weil es leider nicht anders ging. die Combofix.exe konnte ich nicht ausführen, weil die Fehlermeldung kam, es sei keine Win32-Andwendung...

http://www.file-upload.net/download-564211/avenger.txt.html
http://www.file-upload.net/download-564217/MWAV.LOG.html
http://www.file-upload.net/download-564222/fsbl-20071218213412.log.html
http://www.file-upload.net/download-564224/Startup-Programs--ANDREEA--2007-12-19-14.32.40.txt.html

http://www.file-upload.net/download-564196/listing.txt.html

So, hoffe, dass hilft weiter :-)))

Viele Grüße,
Andreea

cosinus · 19.12.2007, 21:36

Zitat:

Hier die Logfiles.. Hab sie alle verlinkt, weil es leider nicht anders ging. die Combofix.exe konnte ich nicht ausführen, weil die Fehlermeldung kam, es sei keine Win32-Andwendung...

Ja, das passiert in letzer Zeit leider häufiger dass der Link dort tot ist

Nimm diesen zum combofix. Ich schau mir derweil mal die anderen Logs an.

cosinus · 19.12.2007, 22:05

Code:

ATTFilter

Could not open file C:\WINDOWS\systems32\khfdebb.dll for deletion
Deletion of file C:\WINDOWS\systems32\khfdebb.dll failed!
Could not process line:
C:\WINDOWS\systems32\khfdebb.dll
Status: 0xc000003a

Hm...die Datei konnte er nicht löschen. Ist die vllt. schon entfernt worden? Sieht jedenfalls danach aus.

Zitat:

http://www.file-upload.net/download-564217/MWAV.LOG.html

Das MWAV-Logfile musst du mit Hilfe der FIND.BAT "filtern", sodass nur relevante Einträge zu sehen sind. Lies dir bitte nochmal die Escan-Anleitung mit dem Teil zur find.bat durch.

Zitat:

http://www.file-upload.net/download-564222/fsbl-20071218213412.log.html

Blacklight hat nichts gefunden, das ist schonmal ok.

Zum Filelisting und Silentrunners, da hab ich ein paar Objekte gesehen, die du auch mit dem Avenger löschen müsstest. Geh einfach wie vorhin mit dem Avenger um, nur diesmal diesen Text hineinkopieren:

Code:

ATTFilter

Registry Keys to delete:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ED203331-9C33-49D8-8714-D24A366A04EC"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CED1AF6C-9144-4393-88EE-D7EC0C559759}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}"

Registry Values to delete:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ED203331-9C33-49D8-8714-D24A366A04EC"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CED1AF6C-9144-4393-88EE-D7EC0C559759}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}"

Files to delete:
C:\WINDOWS\system32\knnmp.ini2
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\prqss.ini
C:\WINDOWS\system32\prqss.ini2

Danach wieder Rechner neustarten und das Avenger-Log posten. Die Datei c:\avenger\backup.zip solltest du danach Problemlos löschen können.

Wenn du willst, kannnst auch noch diese Ordner löschen, das sollte manuell gehen:

Code:

ATTFilter

C:\WINDOWS\system32\AVGUARD_44eb8524
C:\WINDOWS\system32\AVGUARD_44e2ed01
C:\WINDOWS\system32\AVGUARD_44de6083
C:\WINDOWS\system32\AVGUARD_44cca1fe
C:\WINDOWS\system32\AVGUARD_44b9daaa
C:\WINDOWS\system32\AVGUARD_449d1dc9
C:\WINDOWS\system32\AVGUARD_44a344bc
C:\WINDOWS\system32\AVGUARD_449b21c9
C:\WINDOWS\system32\AVGUARD_4499d2c0
C:\WINDOWS\system32\AVGUARD_44916ec4
C:\WINDOWS\system32\AVGUARD_448eddd5
C:\WINDOWS\system32\AVGUARD_447b81b6
C:\WINDOWS\system32\AVGUARD_44766116
C:\WINDOWS\system32\AVGUARD_4477683b
C:\WINDOWS\system32\AVGUARD_446407ed
C:\WINDOWS\system32\AVGUARD_445c9180
C:\WINDOWS\system32\AVGUARD_444a1075
C:\WINDOWS\system32\AVGUARD_444435e4
C:\WINDOWS\system32\AVGUARD_44234b45
C:\WINDOWS\system32\AVGUARD_441e3561
C:\WINDOWS\system32\AVGUARD_441f1aa7
C:\WINDOWS\system32\AVGUARD_4413fcd3

Andreea · 20.12.2007, 15:59

Hallo Arne,

also leider konnte ich diesen combofix wieder nicht installieren, weil irgendwie die Meldung kam, dass die Gültigkeit der Kopie abgelaufen ist.. Mann, irgendwie ist der combofix verlfixt ;-)))

Zitat:

Code:

Could not open file C:\WINDOWS\systems32\khfdebb.dll for deletion
Deletion of file C:\WINDOWS\systems32\khfdebb.dll failed!
Could not process line:
C:\WINDOWS\systems32\khfdebb.dll
Status: 0xc000003a

Hm...die Datei konnte er nicht löschen. Ist die vllt. schon entfernt worden? Sieht jedenfalls danach aus.

Ja, du hast Recht... Ist irgendwie doch gelöscht..

Hier die AVenger Logfiles:

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mvhvryxw

*******************

Script file located at: \??\C:\Program Files\ctopprho.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ED203331-9C33-49D8-8714-D24A366A04EC not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ED203331-9C33-49D8-8714-D24A366A04EC failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CED1AF6C-9144-4393-88EE-D7EC0C559759} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 0
Line: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ED203331-9C33-49D8-8714-D24A366A04EC

Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 0
Line: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CED1AF6C-9144-4393-88EE-D7EC0C559759}

Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 0
Line: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oapgdwfa

*******************

Script file located at: \??\C:\WINDOWS\dnauhwxa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Completed script processing.

*******************

Finished! Terminate.

Und hier nochmal das Logfile von EScan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\RECYCLER\S-1-5-21-218408026-1774825311-3982136593-1006\Dc12.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-218408026-1774825311-3982136593-1006\Dc38.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 87496
Gefundene Viren: 5
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 33
Dauer des Scans bisher: 01:06:08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Aktiviert
Überprüfung aller Festplatten

eaktiviert

Batchstart: 15:52:22,70
Batchende: 15:52:26,46

Die ordner von AVGUARD hab ich auch gelöscht...
Sind das eigentlich Viren, die der EScan anzeigt? Hab irgendwo gelesen, dass nur alt FAKE-Meldungen sein sollen.. Was meinst du???

Viele Grüße und vielen Dank für deine Geduld :-))

Andreea

cosinus · 21.12.2007, 00:15

Zitat:

Sind das eigentlich Viren, die der EScan anzeigt? Hab irgendwo gelesen, dass nur alt FAKE-Meldungen sein sollen.. Was meinst du???

Escan sieht okay aus. Das Programm erzeugt leider rel. viele Fehlalarme. Ich bin mir jetzt nur nich sicher, ob die anderen Dateien bei dir auch erwischt wurden vom Avenger. Mach daher nochmal zur Überprüfung ein frisches Filelisting, lösch das evtl. noch auf dem Desktop liegende listing.txt, führ dann nochmal die listing7.cmd aus und lad dann das neue listing.txt wieder bei file-upload.net hoch.

Andreea · 23.12.2007, 20:40

Hallo Arne,

also ich hab das Porgramm nochmal durchlaufen lassen und anbei findest du den Link:

http://www.file-upload.net/download-571917/listing.txt.html

So, dann wünsch ich dir schöne Feiertage und nochmals Daaaaaanke schööööön! :-)

VG,
Andreea

cosinus · 23.12.2007, 20:53

Ein paar Dateien können noch weg, ein paar Dateien hast du im Avenger anscheinend auch nicht angegeben, also nochmal. Mach aber temporär den Virenscanner aus, um sicherzugehen, dass der da nicht zwischenpfuscht. Öffne dann den Avenger und kopier diesen Text rein, der Rest wie vorher:

Code:

ATTFilter

Files to delete:
c:\iyrdmevi.txt
C:\WINDOWS\system32\knnmp.ini2
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\prqss.ini
C:\WINDOWS\system32\prqss.ini2

Grüne Ampel, Rechner wieder neustaren und das Avenger-Log bitte posten.

Danach kannst du manuell einige Dateien löschen:

1. Klick auf Start, Ausführen
2. Tipp cmd ein und bestätige mit ok - das schwarze Konsolenfenster öffnet sich
3. Tipp diesen Befehl ein und bestätige mit Enter:

Code:

ATTFilter

del c:\*.sqm /f /q

Mach danach wieder ein frisches Filelisting und verlink es hier wie gehabt.

Andreea · 25.12.2007, 12:15

Hallo Arne,

also hier der Avenger.txt Datei:

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ylyycpep

*******************

Script file located at: \??\C:\mrjjwpke.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\iyrdmevi.txt deleted successfully.
File C:\WINDOWS\system32\knnmp.ini2 deleted successfully.
File C:\WINDOWS\system32\knnmp.ini deleted successfully.
File C:\WINDOWS\system32\prqss.ini deleted successfully.
File C:\WINDOWS\system32\prqss.ini2 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und hier nochmal ein neues Filelisting:
http://www.file-upload.net/download-574141/listing.txt.html

Viele Grüße,

Andreea

TR/Agent khfdebb.dll

Plagegeister aller Art und deren Bekämpfung: TR/Agent khfdebb.dll