![]() |
TR/PCK.Klone.G.20 Hallo, bin neu hier und natürlich auch gleich ein Problem. Bei jedem Start (wenn der desktop erschienen ist und windows alles geladen hat, kann etwas dauern) meldet AntiVir sofort denn Trojaner TR/PCK.Klone.G.20 immer in der Datei C:/Windows/system32/winubg32.dll . Diese Datei lösche ich dann auch sofort (kommt aber eh immer wieder). AntiVir findet bei einem Systemscan nichts, Spybot auch nich und Ad-Aware SE fängt immer damit an den Windowsordner zuscannen(noch is alles ok), aber sobald es einige dateien scannt (aber bei diese dateien nichts findet) kommt die gleiche Warnung wieder. Es sind zwar noch mehr Dateien, aber diese konnte ich noch mitkriegen bevor die Meldung kam: WgaLogon.dll - C:\WINDOWS\system32 WinSpool.drv - ? Habe auch schon HiJack drüber laufen lassen und bei Hijack this ausgewertet. Hat zwar nich sonderlich viel geholfen, aber ich zeige ihn euch mal: Logfile of HijackThis v1.99.1 Scan saved at 18:04:11, on 05.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1126452590406 O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing) O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke euch schonmal und hoffe auf schnelle Hilfe! |
Hallo FaTD, dein Logfile sieht meiner Ansicht nach auch clean aus. Versuch doch mal folgendes, lass die Datei ->C:/Windows/system32/winubg32.dll<- mal bei Virustotal auswerten. Poste anschliessend das Ergebnis. (einfach alles markieren, kopieren, und in deinen Beitrag reinsetzen..) Gruß Sunny |
mOIn auch, was ist mit dem hier ? C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe ist vermutlich dieser Trojan.Starter 65 o.ä. lass in mitüberprüfen MFG |
Zitat:
|
Ich kenn mich zwar nich so aus, aber das heißt wohl nichts gutes:heulen: :) : Complete scanning result of "winubg32.dll", received in VirusTotal at 08.05.2006, 18:59:35 (CET). Antivirus Version Update Result AntiVir 6.35.1.0 08.05.2006 TR/PCK.Klone.G.20 Authentium 4.93.8 08.04.2006 W32/Trojan.IID Avast 4.7.844.0 08.04.2006 Win32:Klone-N AVG 386 08.04.2006 Generic.YIG BitDefender 7.2 08.05.2006 Trojan.Klone.D CAT-QuickHeal 8.00 08.04.2006 no virus found ClamAV devel-20060426 08.04.2006 Trojan.Agent-527 DrWeb 4.33 08.05.2006 Trojan.Mezzia eTrust-InoculateIT 23.72.87 08.04.2006 Win32/Nebuler.4ii!DLL!Trojan eTrust-Vet 12.6.2324 08.04.2006 Win32/Nebuler.J Ewido 4.0 08.05.2006 no virus found Fortinet 2.77.0.0 08.05.2006 W32/Klone.G F-Prot 3.16f 08.04.2006 destructive program named W32/Trojan.IID F-Prot4 4.2.1.29 08.04.2006 W32/Trojan.IID Ikarus 0.2.65.0 08.04.2006 no virus found Kaspersky 4.0.2.24 08.05.2006 Packed.Win32.Klone.g McAfee 4822 08.04.2006 BackDoor-CVT Microsoft 1.1508 08.04.2006 no virus found NOD32v2 1.1693 08.05.2006 no virus found Norman 5.90.23 08.04.2006 W32/Agent.AGIA Panda 9.0.0.4 08.05.2006 Adware/SuperSpider Sophos 4.08.0 08.05.2006 Troj/Agent-CIK Symantec 8.0 08.05.2006 Trojan Horse TheHacker 5.9.8.186 08.04.2006 no virus found UNA 1.83 08.04.2006 no virus found VBA32 3.11.0 08.04.2006 Trojan.Mezzia VirusBuster 4.3.7:9 08.05.2006 Trojan.Agent.DTF Aditional Information File size: 18944 bytes MD5: 10dc4e8c75890df8f6f72cfd0ceb5c52 SHA1: 69cc4be61fcdfbb5c1c2ad2a13658df5d965ec9b |
Zu der T-Online Sache (ich bin bei AOL :D ) und wollte das wenn ich die positionen von den anderen Trojanern/Virusen etc. weiß im abgesicherten Modus mitlöschen. Aber trotzdem danke!:daumenhoc [EDIT]: Sorry für Doppelpost, bin momentan wohl zu aufgeregt :D |
mOIn nochma t-online ? hm, vielen Dank :daumenhoc für deine Info hab mir in den letzten 2 Tagen nach dem Sch...ding die Finger wund getippt und keine Infos im Net finden können. @ FaTD dann brauchst du die Update.exe nicht prüfen lassen MFG |
Bei dem was ich über den Trojaner gefunden habe, gibt es wohl noch die Möglichkeit einer Bereinigung. Führe aber vorab enen eScan durch, Anleitung in meiner Signatur verlinkt. Poste das Ergebnis mit Hilfe der "find.bat", ist alles ganz genau beschrieben ;) Gruß Sunny |
Hat zwar ewig gedauert, aber hier ist es endlich: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:07 2006 => System found infected with conhook.y Trojan (C:\WINDOWS\system32\awvvu.dll)! Action taken: No Action Taken. Sat Aug 05 19:38:04 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Sat Aug 05 19:36:42 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. Sat Aug 05 19:36:57 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. Sat Aug 05 19:40:30 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken. Sat Aug 05 19:40:40 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus73.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken. Sat Aug 05 23:17:40 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat Sat Aug 05 19:38:07 2006 => Offending file found: C:\WINDOWS\system32\awvvu.dll ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sat Aug 05 19:36:41 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 19:36:53 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 19:36:57 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 23:13:39 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 23:17:09 2006 => File C:\WINDOWS\system32\rqrqnkh.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.by". Action Taken: No Action Taken. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Sat Aug 05 19:38:04 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 05 23:18:15 2006 => Total Errors: 584 Sat Aug 05 23:18:15 2006 => Time Elapsed: 03:41:12 Sat Aug 05 23:18:15 2006 => Total Objects Scanned: 199025 Sat Aug 05 19:27:06 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 19:31:03 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 19:35:57 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:18:15 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:18:40 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:32:15 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:36:24 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:36:55 2006 => Virus Database Date: 8/5/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Hallo, gehe mal die beiden Anleitungen durch, und poste danach die nötigen Logfiles. Anleitung1 Anleitung2 Und zu der Update.exe kannst du mal einen Link posten das die zu T-Online gehört, ich habe da so meine Zweifel, vielleicht sollte die Datei doch mal untersucht werden, schaden kann es ja nicht. Grüße Wildone |
Ich werde mir die Anleitungen gleich mal anschauen, danke! Ich hab diese T-Online info von Hijackthis.de. Bild: http://img227.imageshack.us/img227/8...kom3cb1.th.jpg [EDIT]: Sry, für die Quali, aber ich musste das Bild verkleinern und Imageshack verschlechtert die Quali ja auch automatisch. Achja ist es normal so viele Fehler zu haben(immerhin 584)? |
Hallo, naja, mit der Anlayse von Dateien ist die Onlineauswertung jetzt alles andere als zuverläßig, und wenn du kein T-Online hast spricht diese Tatsache ja auch sehr dagegen, beende mal den Prozess(Update.exe) im Taskmanager und überprüfe die Datei hier. Zitat:
Grüße Wildone |
Ich wollte die Datei ja sowieso demnächst löschen, aber bei dem Scanning wurde kein Virus o.ä. gefunden: omplete scanning result of "Update.exe", received in VirusTotal at 08.06.2006, 00:49:54 (CET). Antivirus Version Update Result AntiVir 6.35.1.0 08.05.2006 no virus found Authentium 4.93.8 08.04.2006 no virus found Avast 4.7.844.0 08.04.2006 no virus found AVG 386 08.05.2006 no virus found BitDefender 7.2 08.06.2006 no virus found CAT-QuickHeal 8.00 08.04.2006 no virus found ClamAV devel-20060426 08.05.2006 no virus found DrWeb 4.33 08.05.2006 no virus found eTrust-InoculateIT 23.72.87 08.04.2006 no virus found eTrust-Vet 12.6.2324 08.04.2006 no virus found Ewido 4.0 08.05.2006 no virus found Fortinet 2.77.0.0 08.05.2006 no virus found F-Prot 3.16f 08.04.2006 no virus found F-Prot4 4.2.1.29 08.04.2006 no virus found Ikarus 0.2.65.0 08.04.2006 no virus found Kaspersky 4.0.2.24 08.06.2006 no virus found McAfee 4822 08.04.2006 no virus found Microsoft 1.1508 08.04.2006 no virus found NOD32v2 1.1694 08.05.2006 no virus found Norman 5.90.23 08.04.2006 no virus found Panda 9.0.0.4 08.05.2006 no virus found Sophos 4.08.0 08.05.2006 no virus found Symantec 8.0 08.05.2006 no virus found TheHacker 5.9.8.186 08.04.2006 no virus found UNA 1.83 08.04.2006 no virus found VBA32 3.11.0 08.04.2006 no virus found VirusBuster 4.3.7:9 08.05.2006 no virus found Aditional Information File size: 102400 bytes MD5: a6eb35030f45299067a3a45e9dc7ec89 SHA1: 03b788cfaed1edc1142866eff1758a24c4082574 Zu der Sache mit Regeinträgen, kannst du mir vielleicht ein gutes (am besten auch idiotensichersprogramm, will mir schließlich nich Windows damit zerschiesen) Programm für sowas empfehlen? |
Hallo, dann sollte wohl die Update.exe doch in Ordnung sein, auch wenn ich sie immernoch nicht einordnen kann. Zitat:
Grüße Wildone |
Danke für die ganzen Tipps und Hilfen! Hatte schon Angst ich müsste das ganze System neuaufsetzten(was schwierig ist da ich nicht genügend Platz zum auslagern wichtiger dateien habe). Ich denke ich werde dann wohl heut Nacht mein System mal soweit es geht säubern! Nochmal Vielen Dank!:aplaus: :daumenhoc |
Hallo, Zitat:
Zitat:
Grüße Wildone |
Hallo, mittlerweile weiß ich nicht mehr was ich machen soll(wird ein laaaanger post): Ich habe also im abgesicherten Modus VundoFix gestartet - Hat nichts gefunden. (Log): VundoFix V5.1.6 Checking Java version... Sun Java not detected Scan started at 01:51:24 06.08.2006 Listing files found while scanning.... No infected files were found. VundoFix V5.1.6 Checking Java version... Sun Java not detected Scan started at 09:47:37 06.08.2006 Listing files found while scanning.... No infected files were found. Danach kam Virtmundobegone dran hat was gefunden und gelöscht (Log): [08/06/2006, 1:53:35] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Fabian\Desktop\VirtumundoBeGone.exe" ) [08/06/2006, 1:53:44] - Detected System Information: [08/06/2006, 1:53:44] - Windows Version: 5.1.2600, Service Pack 2 [08/06/2006, 1:53:44] - Current Username: Fabian (Admin) [08/06/2006, 1:53:44] - Windows is in SAFE mode with Networking. [08/06/2006, 1:53:44] - Searching for Browser Helper Objects: [08/06/2006, 1:53:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class) [08/06/2006, 1:53:44] - BHO 2: {222D74B2-8AC6-4332-8A05-C57DA689D1BA} () [08/06/2006, 1:53:44] - WARNING: BHO has no default name. Checking for Winlogon reference. [08/06/2006, 1:53:44] - Checking for HKLM\...\Winlogon\Notify\awvvu [08/06/2006, 1:53:44] - Found: HKLM\...\Winlogon\Notify\awvvu - This is probably Virtumundo. [08/06/2006, 1:53:44] - Assigning {222D74B2-8AC6-4332-8A05-C57DA689D1BA} MSEvents Object [08/06/2006, 1:53:44] - BHO list has been changed! Starting over... [08/06/2006, 1:53:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class) [08/06/2006, 1:53:44] - BHO 2: {222D74B2-8AC6-4332-8A05-C57DA689D1BA} (MSEvents Object) [08/06/2006, 1:53:44] - ALERT: Found MSEvents Object! [08/06/2006, 1:53:44] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} () [08/06/2006, 1:53:44] - WARNING: BHO has no default name. Checking for Winlogon reference. [08/06/2006, 1:53:44] - Checking for HKLM\...\Winlogon\Notify\SDHelper [08/06/2006, 1:53:44] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing. [08/06/2006, 1:53:44] - Finished Searching Browser Helper Objects [08/06/2006, 1:53:44] - *** Detected MSEvents Object [08/06/2006, 1:53:44] - Trying to remove MSEvents Object... [08/06/2006, 1:53:45] - Terminating Process: IEXPLORE.EXE [08/06/2006, 1:53:45] - Terminating Process: RUNDLL32.EXE [08/06/2006, 1:53:45] - Disabling Automatic Shell Restart [08/06/2006, 1:53:45] - Terminating Process: EXPLORER.EXE [08/06/2006, 1:53:45] - Suspending the NT Session Manager System Service [08/06/2006, 1:53:46] - Terminating Windows NT Logon/Logoff Manager [08/06/2006, 1:53:46] - Re-enabling Automatic Shell Restart [08/06/2006, 1:53:46] - File to disable: C:\WINDOWS\system32\awvvu.dll [08/06/2006, 1:53:46] - Renaming C:\WINDOWS\system32\awvvu.dll -> C:\WINDOWS\system32\awvvu.dll.vir [08/06/2006, 1:53:46] - File successfully renamed! [08/06/2006, 1:53:46] - Removing HKLM\...\Browser Helper Objects\{222D74B2-8AC6-4332-8A05-C57DA689D1BA} [08/06/2006, 1:53:46] - Removing HKCR\CLSID\{222D74B2-8AC6-4332-8A05-C57DA689D1BA} [08/06/2006, 1:53:46] - Adding Kill Bit for ActiveX for GUID: {222D74B2-8AC6-4332-8A05-C57DA689D1BA} [08/06/2006, 1:53:46] - Deleting ATLEvents/MSEvents Registry entries [08/06/2006, 1:53:46] - Removing HKLM\...\Winlogon\Notify\awvvu [08/06/2006, 1:53:46] - Searching for Browser Helper Objects: [08/06/2006, 1:53:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class) [08/06/2006, 1:53:46] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} () [08/06/2006, 1:53:46] - WARNING: BHO has no default name. Checking for Winlogon reference. [08/06/2006, 1:53:46] - Checking for HKLM\...\Winlogon\Notify\SDHelper [08/06/2006, 1:53:46] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing. [08/06/2006, 1:53:46] - Finished Searching Browser Helper Objects [08/06/2006, 1:53:46] - Finishing up... [08/06/2006, 1:53:46] - A restart is needed. [08/06/2006, 1:53:55] - Attempting to Restart via STOP error (Blue Screen!) Die Smit-Sachen habe ich zwar nach Anleitung ausgeführt (hat aber soweit ich's mitbekommen habe nichts geholfen) (Log): smitRem © log file version 3.1 by noahdfear Microsoft Windows XP [Version 5.1.2600] "IE"="6.0000" Running from C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbek„mpfung\SmitRem\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! checking for drsmartload2 key drsmartload2 key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present AlfaCleaner uninstaller NOT present SpyFalcon uninstaller NOT present SpywareQuake uninstaller NOT present SpywareSheriff uninstaller NOT present Trust Cleaner uninstaller NOT present SpyHeal uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ amcompat.tlb nscompat.tlb logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1184 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) Nachdem ich bei dem eScan log gesehen habe das bei Spybot einige Viruse in Quarantäne sind habe ich diese, nur um sicher zugehen, auch gelöscht. Achja, diese T-Online zeug hab ich gleich mitgelöscht. Heute morgen habe ich dann nochmal einen eScan gemacht(waren auch weniger Fehler und Funde) (Log): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Sun Aug 06 09:50:54 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Sun Aug 06 09:50:22 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. Sun Aug 06 09:50:34 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. Sun Aug 06 13:25:37 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sun Aug 06 13:21:37 2006 => File C:\WINDOWS\system32\awvvu.dll.vir tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sun Aug 06 13:25:06 2006 => File C:\WINDOWS\system32\rqrqnkh.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.by". Action Taken: No Action Taken. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Sun Aug 06 09:50:54 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Aug 06 13:26:01 2006 => Total Errors: 417 Sun Aug 06 13:26:01 2006 => Time Elapsed: 03:35:24 Sun Aug 06 13:26:01 2006 => Total Objects Scanned: 198272 Sun Aug 06 09:50:05 2006 => Virus Database Date: 8/5/2006 Sun Aug 06 13:26:01 2006 => Virus Database Date: 8/5/2006 Sun Aug 06 13:26:05 2006 => Virus Database Date: 8/5/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Seit ich jetzt im Internet bin kriege ich von AntiVir wieder Meldungen. (Datei-Fundort-Art): wlzip32[1].exe - C:/Dokumente und Einstellungen..... - TR/Dldr.Agent.arr 11[1].exe - C:/Dokumente und Einstellungen..... - TR/Drop.Zylob.VY.11 win46D.tmp - C:/Windows/temp - TR/Drop.Zylob.VY.11 wind32[1].exe - C:/Dokumente und Einstellungen..... - TR/Dldr.VB.abm.7 win472.tmp - C:/Windows/Temp - TR/dldr.VB.abm.7 Ich glaube das wenn ich die Datei die unter anderem winubg32.dll immer wieder herstellt finde, das ganze aufhören sollte. Danke euch allen nochmal und hoffe ihr habt auch weiterhin Lösungen parat. :daumenhoc [EDT]: Hier nochmal ein neues HiJack Log(kann vielleicht noch zusätzliche Infos geben): Logfile of HijackThis v1.99.1 Scan saved at 14:44:53, on 06.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406 O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing) O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe [EDIT2]: Habe jetzt das HiJackLog File bei HiJackthis.de auswerten lassen und die 2 bösen Einträge gelöscht: O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145 |
Hallo, Zitat:
Wenn wir dir nicht explizit sagen, dass du etwas fixen sollst, dann machst du es nicht, die automatische Auswertung ist mehr als fehlerhaft. Bevor wir die Reinigung richtig angehen, kannst du nochmal die vier Logfiles der Datfind.bat posten, aber nur die Dateien der letzten vier Wochen abkopieren! Grüße Wildone |
Zitat:
datfind.bat kommt gleich [EDIT]: Dann wunderst mich auch nicht mehr das Google,ebay und amazon bei Firefox nich mehr gingen. :o [EDIT2]: system32.txt: 06.08.2006 15:11 495.949 aycdd.ini 06.08.2006 14:01 495.536 aycdd.bak1 06.08.2006 14:01 573.492 ddcya.dll 06.08.2006 13:44 40.973 ddccaxx.dll 06.08.2006 13:41 1.374 wpa.dbl 06.08.2006 13:41 48.883 vsconfig.xml 06.08.2006 13:40 62.201 nvapps.xml 06.08.2006 13:40 182.166 OODBS.lor 06.08.2006 01:53 501.186 uvvwa.ini 05.08.2006 10:06 143 mcrh.tmp 04.08.2006 23:08 496.171 uvvwa.bak2 03.08.2006 20:00 228.800 FNTCACHE.DAT 03.08.2006 08:50 410.481 uvvwa.bak1 03.08.2006 08:50 573.492 awvvu.dll.vir 03.08.2006 06:47 40.973 rqrqnkh.dll 03.08.2006 06:47 18.944 winubg32.dll 03.08.2006 06:43 4.704 KGyGaAvL.sys 03.08.2006 06:39 104 6718A16F9A.sys 31.07.2006 20:21 4.212 zllictbl.dat 12.07.2006 14:19 75.194 perfc007.dat 12.07.2006 14:19 401.200 perfh009.dat 12.07.2006 14:19 415.800 perfh007.dat 12.07.2006 14:19 62.480 perfc009.dat 12.07.2006 14:18 966.250 PerfStringBackup.INI 09.07.2006 13:42 392.824 vsdatant.sys 09.07.2006 13:42 83.960 zlcomm.dll 09.07.2006 13:42 71.672 zlcommdb.dll 09.07.2006 13:42 59.384 vswmi.dll 09.07.2006 13:42 100.344 vsxml.dll 09.07.2006 13:42 71.672 vsregexp.dll 09.07.2006 13:42 440.312 vsutil.dll 09.07.2006 13:42 268.280 vspubapi.dll 09.07.2006 13:42 104.440 vsmonapi.dll 09.07.2006 13:42 157.688 vsinit.dll 09.07.2006 13:42 83.960 vsdata.dll 07.07.2006 03:21 6.757.792 MRT.exe 06.07.2006 21:31 262.144 wrap_oal.dll 06.07.2006 21:31 86.016 OpenAL32.dll systemtemp.txt: Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP Volumeseriennummer: E02E-C58C Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp 06.08.2006 15:07 4 PMShared 01.01.1970 02:00 5.863 vttvjqhy.ABI 2 Datei(en) 5.867 Bytes 0 Verzeichnis(se), 14.293.037.056 Bytes frei system.txt: 06.08.2006 15:07 133 win.ini 06.08.2006 13:42 1.372.794 WindowsUpdate.log 06.08.2006 13:41 0 0.log 06.08.2006 13:41 159 wiadebug.log 06.08.2006 13:41 50 wiaservc.log 06.08.2006 13:40 2.048 bootstat.dat 06.08.2006 09:50 50 Lic.xxx 06.08.2006 09:45 178.182 setupact.log 06.08.2006 09:27 3.829.686 ntbtlog.txt 06.08.2006 01:59 32.536 SchedLgU.Txt 05.08.2006 23:38 69 NeroDigital.ini 05.08.2006 23:27 54.156 QTFont.qfn 05.08.2006 17:12 0 system.ini 04.08.2006 12:57 787.224 setupapi.log 04.08.2006 11:24 1.409 QTFont.for 03.08.2006 06:46 341 beatbox.INI 03.08.2006 06:44 32.418 FontData.fdb 03.08.2006 01:28 0 musicmaker.INI 03.08.2006 01:14 182.446 wmsetup.log 30.07.2006 02:17 433.967 DirectX.log 12.07.2006 13:24 234.107 tsoc.log 12.07.2006 13:24 11.796 KB917159.log 12.07.2006 13:24 23.536 ocmsn.log 12.07.2006 13:24 94.341 iis6.log 12.07.2006 13:24 102.075 ntdtcsetup.log 12.07.2006 13:24 1.374 imsins.log 12.07.2006 13:24 169.842 comsetup.log 12.07.2006 13:24 30.376 msgsocm.log 12.07.2006 13:24 305.331 ocgen.log 12.07.2006 13:24 597.567 FaxSetup.log 12.07.2006 13:24 12.309 KB914388.log 12.07.2006 13:24 1.374 imsins.BAK 12.07.2006 13:24 42.460 updspapi.log 12.07.2006 13:24 10.257 KB916595.log 08.07.2006 11:12 37 TemplateWizard.INI 07.07.2006 17:18 754 WORDPAD.INI 03.07.2006 14:42 356.864 TrueCrypt Setup.exe sys: 06.08.2006 15:16 0 sys.txt 06.08.2006 15:14 13.505 system.txt 06.08.2006 15:13 350 systemtemp.txt 06.08.2006 15:11 112.517 system32.txt 06.08.2006 13:42 3.478 eScan_neu.txt 06.08.2006 13:40 1.610.072.064 pagefile.sys 06.08.2006 13:26 0 23990098.$$$ 06.08.2006 13:26 7 AVPCallback.log 06.08.2006 09:49 372 VundoFix.txt 06.08.2006 09:46 1.069 rapport.txt 06.08.2006 02:13 3.494 smitfiles.txt 05.08.2006 23:50 4.888 eScan_neu_alt01.txt 05.08.2006 17:12 211 boot.ini 15.07.2006 15:53 77 FilterLog.log 08.07.2006 12:32 3.402 s3so.1 08.07.2006 11:48 3.402 s3h4 30.06.2006 19:01 0 error.txt |
Hallo, Zitat:
besorge dir killbox und lösche folgende Dateien(alle im System32 Ordner) mit der Option "delete on reboot": 06.08.2006 15:11 495.949 aycdd.ini 06.08.2006 14:01 495.536 aycdd.bak1 06.08.2006 14:01 573.492 ddcya.dll 06.08.2006 13:44 40.973 ddccaxx.dll 06.08.2006 01:53 501.186 uvvwa.ini 05.08.2006 10:06 143 mcrh.tmp 04.08.2006 23:08 496.171 uvvwa.bak2 03.08.2006 08:50 410.481 uvvwa.bak1 03.08.2006 08:50 573.492 awvvu.dll.vir 03.08.2006 06:47 40.973 rqrqnkh.dll 03.08.2006 06:47 18.944 winubg32.dll danach überprüfst du mal folgende Dateien bei virustotal.com und postest das Ergebnis(oder hast du kürzlich DivX installiert?): 03.08.2006 06:43 4.704 KGyGaAvL.sys 03.08.2006 06:39 104 6718A16F9A.sys Grüße Wildone |
Erstmal danke, werd das gleich machen. Zitat:
|
dann wird es daher kommen, brauchtst sie also nicht überprüfen. Ich habe mir gerade erklärt warum die Zeitnähe zur Infektion da ist, ich nehme mal an das du nachdem irgendein Film nicht funktioniert hat erst DivX upgedatet hast, und dann, nachdem es dadurch auch nicht funktioniert hat, dir irgendein angebliches Codec installiert hast, wodurch du dir den ganzen Spass eingefangen hast. Grüße Wildone |
Ja, weiß es zwar nimma genau :o Aber ist glaub ich durchaus möglich. Soll ich jetzt nochma mit eScan nen Test machen, oder so? |
Hallo, hast du die Dateien schon gelöscht? Escan brauche ich eigentlich nicht mehr. Ein neues HijackThis Log wäre noch ganz gut. Und später noch ein Onlinescan bei Panda(mit dem IE). Grüße Wildone |
Ja, hab schon mit killbox restarted. HiJackLog: Logfile of HijackThis v1.99.1 Scan saved at 15:44:24, on 06.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\HijackThis.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406 O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing) O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo, gut, dann sollte es das eigentlich gewesen sein, lösche mal noch deine Temp Dateien mit Cleanup!, führe danach den Onlinescan durch und poste das Ergebnis. Grüße Wildone |
Hat zwar was gedauert, aber der Scan hat jetzt doch noch was ergeben(und diesmal werde ich warten bis mir jemand sagt was ich löschen darf und was nich ;) ): Ereignis Zustand Standort Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adtech[1].txt Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@atdmt[1].txt Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@doubleclick[1].txt Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitfraudFix\Process.exe Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitfraudFix.zip[SmitfraudFix/Process.exe] Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitRem\smitRem\Process.exe Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\smitRem.exe[smitRem/Process.exe] Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\VirtumundoBeGone.exe[²ƒÇ] Adware:Adware/Mytoolbar Nicht desinfiziert C:\Programme\ToolBar888\Activate.exe Adware:Adware/Mytoolbar Nicht desinfiziert C:\Programme\ToolBar888\MyToolBar.dll Adware:Adware/DollarRevenue Nicht desinfiziert C:\Programme\ToolBar888\Uninst.exe[²ÜÇ\nsProcess.dll] Obwohl es wohl bis auf dieses ToolBar 888 "nur" Cookies und Fehlalarme (durch die Entfernungstools) zu sein scheinen. |
Hallo, lösche jetzt noch den Ordner C:\Programme\ToolBar888\, dann sollte es das gewesen sein. Überlege dir zukünftig genau aus welchen Quellen du etwas installierst. Grüße Wildone |
Ich bin zwar nicht "Wildone", würde dir aber trotzdem gerne helfen.. :teufel2: 1.) Lade dir die Killbox, und lösche folgenden Ordner mit der Option "delete on reboot" Zitat:
Gruß Sunny EDIT: Huch, Wildone war ja doch da.... Sorry ;) |
Hallo, Zitat:
Und Ewido kann auch nicht schaden. Grüße Wildone |
Zitat:
Die Logs kommen demnächst. Und bei mir is jeder der mir helfen will wilkommen :daumenhoc |
Bei mir ist der Edit nich mehr da, naja egal, aufjeden Fall möchte ich jeden Danken der mir geholfen hat! Ich glaube(und hoffe) das mein PC jetzt Virus/Trojaner/Wurm - frei ist. Aber um sicher zu gehen hier noch die 2 Logs. HiJack: Logfile of HijackThis v1.99.1 Scan saved at 18:48:19, on 06.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\HijackThis.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing) O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ewido: --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 18:47:22 06.08.2006 + Scan-Ergebnis: C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adtech[1].txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt. :mozilla.32:C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\Mozilla\Firefox\Profiles\ubznrogi.default\cookies.txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@atdmt[1].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. ::Berichtende Also vielen vielen vielen Dank!!!!!:daumenhoc :aplaus: :daumenhoc :aplaus: [EDIT]: Jetzt is der Button wieder da!:confused: Und die Cookies wurden alle gelöscht. |
Hallo ich bin's nochmal, hab jetzt gerade nur Testweise eScan durchgeführt, dachte eigentlich wäre alles weg, aber als er dann doch bei einer neuen Datei was gefunden hat, hab ich eScan gestoppt und es mal schnell bei VirusTotal testen lassen(Datei befindet sich in C:\Windows\system32): Complete scanning result of "ddcya.dll", received in VirusTotal at 08.06.2006, 22:12:17 (CET). Antivirus Version Update Result AntiVir 6.35.1.0 08.06.2006 no virus found Authentium 4.93.8 08.06.2006 no virus found Avast 4.7.844.0 08.04.2006 no virus found AVG 386 08.05.2006 no virus found BitDefender 7.2 08.06.2006 no virus found CAT-QuickHeal 8.00 08.04.2006 no virus found ClamAV devel-20060426 08.06.2006 no virus found DrWeb 4.33 08.06.2006 no virus found eTrust-InoculateIT 23.72.88 08.06.2006 no virus found eTrust-Vet 12.6.2324 08.04.2006 Win32/Vundo Ewido 4.0 08.06.2006 no virus found Fortinet 2.77.0.0 08.06.2006 suspicious F-Prot 3.16f 08.06.2006 no virus found F-Prot4 4.2.1.29 08.06.2006 no virus found Ikarus 0.2.65.0 08.04.2006 no virus found Kaspersky 4.0.2.24 08.06.2006 not-a-virus:AdWare.Win32.Virtumonde.da McAfee 4822 08.04.2006 no virus found Microsoft 1.1508 08.04.2006 no virus found NOD32v2 1.1694 08.05.2006 no virus found Norman 5.90.23 08.04.2006 no virus found Panda 9.0.0.4 08.06.2006 Suspicious file Sophos 4.08.0 08.06.2006 no virus found Symantec 8.0 08.06.2006 no virus found TheHacker 5.9.8.186 08.04.2006 no virus found UNA 1.83 08.04.2006 no virus found VBA32 3.11.0 08.06.2006 no virus found VirusBuster 4.3.7:9 08.06.2006 no virus found Aditional Information File size: 573492 bytes MD5: db58ba6654554ef5eb48a86bbdf32312 SHA1: ac67863abdc2ecf9fd224a3d16927bbd6c309b0d packers: embedded Bin am Überlegen es mit Killbox nach nem Reboot zu löschen, was haltet ihr davon? |
Guten ABend, mal kurz einmischen tue: Versuch es mal so . Das ist ne gute Anleitung für Dein Virtumonde! Gruß Mellosun |
Ich glaube da sind wieder noch mehr verseuchte Dateien dabei, deswegen habe ich auch nochmal datfind.bat laufen lassen, ich poste mal wieder die logs, vielleicht könnte mir dann wieder gesagt werden welche "böse" sind und auf die Art die mir gerade empfohlen wurde gelöscht werden sollen(hab jetzt als Zeitraum nur diesen Tag genommen). system32: 06.08.2006 22:40 497.997 aycdd.ini 06.08.2006 22:38 1.374 wpa.dbl 06.08.2006 22:38 48.883 vsconfig.xml 06.08.2006 22:37 62.201 nvapps.xml 06.08.2006 22:37 185.076 OODBS.lor 06.08.2006 15:58 2.550 Uninstall.ico 06.08.2006 15:58 1.406 Help.ico 06.08.2006 15:58 30.590 pavas.ico 06.08.2006 15:51 0 asfiles.txt 06.08.2006 14:01 495.536 aycdd.bak1 06.08.2006 14:01 573.492 ddcya.dll systemtemp: Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP Volumeseriennummer: E02E-C58C Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp 06.08.2006 22:39 4 PMShared 06.08.2006 20:07 0 aaxB.tmp 06.08.2006 20:05 0 aaxA.tmp 06.08.2006 18:10 16.384 ~DF939.tmp 06.08.2006 18:09 16.384 ~DFD58B.tmp 03.08.2006 03:33 70 3EE68A68.TMP system: 06.08.2006 22:38 192 win.ini 06.08.2006 22:38 0 0.log 06.08.2006 22:38 1.430.845 WindowsUpdate.log 06.08.2006 22:38 159 wiadebug.log 06.08.2006 22:37 50 wiaservc.log 06.08.2006 22:37 2.048 bootstat.dat 06.08.2006 22:33 4.282.558 ntbtlog.txt 06.08.2006 22:31 32.536 SchedLgU.Txt 06.08.2006 22:05 50 Lic.xxx 06.08.2006 21:41 54.156 QTFont.qfn 06.08.2006 15:58 32 pavsig.txt 06.08.2006 15:48 809.596 setupapi.log 06.08.2006 09:45 178.182 setupact.log sys: 06.08.2006 22:45 0 sys.txt 06.08.2006 22:45 13.412 system.txt 06.08.2006 22:44 589 systemtemp.txt 06.08.2006 22:40 112.518 system32.txt 06.08.2006 22:37 1.610.072.064 pagefile.sys 06.08.2006 22:36 582 VundoFix.txt 06.08.2006 22:06 3 AVPCallback.log 06.08.2006 13:42 3.478 eScan_neu.txt 06.08.2006 13:26 0 23990098.$$$ 06.08.2006 09:46 1.069 rapport.txt 06.08.2006 02:13 3.494 smitfiles.txt Falls ich wieder überreagieren und es doch nur die schon genannte Datei ist, sry!:o |
Hallo, nein du reagierst nicht über, das Problem scheint zu sein das es eine neue Variante von Virtualmonde ist, was die Sache langsam wirklich kompliziert macht. Poste mal ein Log von F-Secure Blacklight (wird automatisch in dem selben Pfad erstellt). Außerdem postest du noch ein Log von Silentrunners. Kannst du nochmal genau beschreiben wie du gemerkt hast das weiterhin etwas nicht in Ordnung ist. Grüße Wildone |
Die Logs kommen gleich. Selbst gemerkt habe ich nichts. Habe einfach nur nochmal aus Vorsicht eScan laufen lassen und dann als das "Zeug" wieder in ddcya.dll gefunden wurde, eScan beendet(Rebooted, da ich eScan ja im abgesicherten Modus hab laufen lassen) und dann halt bei VirusTotal getest und hiergepostet. [EDIT]: Blacklight hat nichts gefunden: 08/06/06 23:11:48 [Info]: BlackLight Engine 1.0.42 initialized 08/06/06 23:11:48 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/06/06 23:11:48 [Note]: 7019 4 08/06/06 23:11:48 [Note]: 7005 0 08/06/06 23:13:32 [Note]: 7006 0 08/06/06 23:13:32 [Note]: 7011 500 08/06/06 23:13:32 [Note]: 7026 0 08/06/06 23:13:32 [Note]: 7026 0 08/06/06 23:13:33 [Note]: FSRAW library version 1.7.1019 08/06/06 23:17:12 [Note]: 4013 32796 08/06/06 23:17:12 [Note]: 4020 29 65536 08/06/06 23:17:12 [Note]: 4018 29 65536 08/06/06 23:17:42 [Note]: 7007 0 Silent Runners: "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ "{E02EC58C-08A3-1031-1201-050721050031}" = ""C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe" mc-110-12-0000272" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS] "!ewido" = ""C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized" ["Anti-Malware Development a.s."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\found.004\dir0000.chk\SDHelper.dll" ["Safer Networking Limited"] {9B971954-C953-4BB0-A0CF-4E8E2A6B1A37}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\ddcya.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{429363AD-512D-4A7A-9C21-E5AACAECEABF}" = "Warsow_dqf_Player" -> {HKLM...CLSID} = "ShellExt Class" \InProcServer32\(Default) = "C:\Games\Programme\Warsow\War§owDemosPlayer.dll" [file not found] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References" -> {HKLM...CLSID} = "ShellLink for Application References" \InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] "{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References" -> {HKLM...CLSID} = "Shell Icon Handler for Application References" \InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\System\CurrentControlSet\Control\Session Manager\ INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! ddcya\DLLName = "C:\WINDOWS\system32\ddcya.dll" [null data] INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 05, 11 %SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 12 - 27 %SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided) -> {HKLM...CLSID} = "Real.com" \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.5.0_05" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."] {36ECAF82-3300-8F84-092E-AFF36D6C7040}\ "ButtonText" = "Run WinHTTrack" "MenuText" = "Launch WinHTTrack" "CLSIDExtension" = "{86529161-034E-4F8A-88D2-3C625E612E04}" -> {HKLM...CLSID} = "WinHTTrackLauncher Class" \InProcServer32\(Default) = "C:\Programme\WinHTTrack\WinHTTrackIEBar.dll" [null data] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\ "ButtonText" = "Real.com" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["America Online, Inc."] ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"] SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" [null data] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ PDFCreator\Driver = "pdfcmnnt.dll" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 17 seconds, including 7 seconds for message boxes) |
Hallo, habe ich fast befürchtet das das Vieh in der Winlogon sitzt: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! ddcya\DLLName = "C:\WINDOWS\system32\ddcya.dll" [null data] Wie man da genau ohne Spezialtools herankommt bin ich mir nicht sicher (ev. über Processexplorer), versuche mal nochmal eine Entfernung damit(falls ein Log erstellt wird, poste es). Wenn das nicht funktioniert werde ich mir mal morgen weitere Gedanken darüber machen. Kam eigentlich eine Fehlermeldung als du versucht hast die Datei mit killbox zu löschen, weil vorgeschlagen habe ich das ja schon: Zitat:
|
Hallo, nee hat, soweit ich das beurteilen kann, alles ohne murren beim reboot gelöscht. Das Progi von dem Link hab ich schon probiert, hat aber nix geholfen. Log wurde von VundoFix letztes Mal nich erstellt. |
Hallo, dann versuche mal nochmal die Datei mit killbox mit der Option "delete on reboot" zu löschen und schaue ob sie nach dem Neustart noch da ist, aber besonders viel Hoffnung mache ich mir nicht. Grüße Wildone |
Hab jetzt versucht die Dateien: C:\WINDOWS\system32\ddcya.dll C:\WINDOWS\system32\aycdd.bak1 zuöschen und es und es kam folgende Fehlermeldung: PendingFileRenameOperationsRegistry Registry Data has been Removed by External Process! |
Hallo, hmm, dann werde ich mal morgen noch mal genaueres über die Benutzung des Process Explorers nachlesen müssen, heute wird das aber nichts mehr, insofern wünsche ich angenehme Nachtruhe, es sei denn jemand hat noch eine andere Idee. Grüße Wildone |
Vielen, vielen Dank! Wünsche auch eine angenehme Nacht! |
Guten Morgen, das ganze hat mir keine Ruhe gelassen und deswegen habe ich nach dieser Anleitung(h**p://www.hijackthis-forum.de/showpost.php?p=57500&postcount=33), um genau zu sein, die Methode 1 mein System gereinigt(hoffe ich zumindest). Ich werde nun nochmal in den abgesicherten Modus gehen und mit eScan nach neuen Vertrettern dieses Trojaners Ausschau halten. |
Hallo, gut gemacht, genau diese Methode hatte ich im Hinterkopf. Poste mal zur Kontrolle nochmal das System32 Log von der Datfind.bat (dieses mal wieder mit den Dateien der letzten vier Wochen). Außerdem nochmal ein Log von Silentrunners. Grüße Wildone |
Hab gestern dann einen eScan gemacht: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Mon Aug 07 04:57:30 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Mon Aug 07 08:11:25 2006 => File C:\RECYCLER\S-1-5-21-861567501-602162358-839522115-1004\Dc7.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Mon Aug 07 04:57:30 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Aug 07 08:33:02 2006 => Total Errors: 423 Mon Aug 07 08:33:02 2006 => Time Elapsed: 03:35:47 Mon Aug 07 08:33:02 2006 => Total Objects Scanned: 197047 Mon Aug 07 04:56:44 2006 => Virus Database Date: 8/5/2006 Mon Aug 07 08:33:02 2006 => Virus Database Date: 8/5/2006 Mon Aug 07 09:03:12 2006 => Virus Database Date: 8/5/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Hallo, gut, die ersten Einträge sind ein Fehlalarm, dieser Eintrag: Mon Aug 07 04:57:30 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. wird ein Rest in der Registry von deiner Infektion sein, ist aber nicht weiter drammatisch, da er sich auf Dateien bezieht die längst gelöscht sind. Der hier: Mon Aug 07 08:11:25 2006 => File C:\RECYCLER\S-1-5-21-861567501-602162358-839522115-1004\Dc7.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. ist auch kein Problem, schalte die Systemwiederherstellung ab, boote neu und schalte sie wieder ein. Die Logs von Datfind.bat und Silentrunners hätte ich trotzdem gerne noch, auch wenn alles danach aussieht als ob die Sache erledigt wäre. Grüße Wildone |
mOIn und tschuldigung wenn ich dazwischen fahre aber die Update.exe könnte mit diesem Netzfund http://www.castlecops.com/p804293-Up...requested.html und mit dem Fund hier das es sich um Vundo handelt decken, oder ? (ich meine das Vundo im System gefunden wird) MFG |
k, dann schau ich nochmal system32: 07.08.2006 13:04 1.374 wpa.dbl 07.08.2006 13:04 48.883 vsconfig.xml 07.08.2006 13:03 62.201 nvapps.xml 07.08.2006 13:03 186.822 OODBS.lor 07.08.2006 04:02 496.915 aycdd.ini 07.08.2006 03:43 143 mcrh.tmp 07.08.2006 02:01 496.417 aycdd.bak2 06.08.2006 15:58 2.550 Uninstall.ico 06.08.2006 15:58 1.406 Help.ico 06.08.2006 15:58 30.590 pavas.ico 06.08.2006 15:51 0 asfiles.txt 06.08.2006 14:01 495.536 aycdd.bak1 03.08.2006 20:00 228.800 FNTCACHE.DAT 03.08.2006 06:43 4.704 KGyGaAvL.sys 03.08.2006 06:39 104 6718A16F9A.sys 31.07.2006 20:21 4.212 zllictbl.dat 12.07.2006 14:19 401.200 perfh009.dat 12.07.2006 14:19 415.800 perfh007.dat 12.07.2006 14:19 62.480 perfc009.dat 12.07.2006 14:19 75.194 perfc007.dat 12.07.2006 14:18 966.250 PerfStringBackup.INI 09.07.2006 13:42 392.824 vsdatant.sys 09.07.2006 13:42 83.960 zlcomm.dll 09.07.2006 13:42 71.672 zlcommdb.dll 09.07.2006 13:42 59.384 vswmi.dll 09.07.2006 13:42 100.344 vsxml.dll 09.07.2006 13:42 440.312 vsutil.dll 09.07.2006 13:42 71.672 vsregexp.dll 09.07.2006 13:42 104.440 vsmonapi.dll 09.07.2006 13:42 157.688 vsinit.dll 09.07.2006 13:42 268.280 vspubapi.dll 09.07.2006 13:42 83.960 vsdata.dll 07.07.2006 03:21 6.757.792 MRT.exe 06.07.2006 21:31 262.144 wrap_oal.dll systemtemp: 07.08.2006 13:04 4 PMShared 07.08.2006 04:06 16.384 ~DF6CC7.tmp 07.08.2006 03:20 0 aax39.tmp 07.08.2006 02:30 717 control.xml 07.08.2006 01:32 0 aax52.tmp 07.08.2006 01:26 0 aax49.tmp 07.08.2006 01:25 0 aax48.tmp 07.08.2006 01:23 0 aax47.tmp 07.08.2006 01:22 0 aax46.tmp 07.08.2006 01:20 0 aax45.tmp 07.08.2006 00:47 59.769 ~K20065.jpg 07.08.2006 00:45 0 EPSLog.txt 07.08.2006 00:38 59.769 ~K20064.jpg 06.08.2006 20:07 0 aaxB.tmp 06.08.2006 20:05 0 aaxA.tmp 06.08.2006 18:10 16.384 ~DF939.tmp 06.08.2006 18:09 16.384 ~DFD58B.tmp 04.08.2006 05:24 288 EE6F7F28.TMP 03.08.2006 03:33 70 3EE68A68.TMP system: Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP Volumeseriennummer: E02E-C58C Verzeichnis von C:\WINDOWS 07.08.2006 13:04 192 win.ini 07.08.2006 13:04 0 0.log 07.08.2006 13:04 1.451.559 WindowsUpdate.log 07.08.2006 13:04 159 wiadebug.log 07.08.2006 13:03 50 wiaservc.log 07.08.2006 13:03 2.048 bootstat.dat 07.08.2006 04:56 50 Lic.xxx 07.08.2006 04:51 4.585.000 ntbtlog.txt 07.08.2006 04:14 32.536 SchedLgU.Txt 07.08.2006 02:30 184.138 wmsetup.log 07.08.2006 02:27 2.372 KB898549.log 07.08.2006 02:21 54.156 QTFont.qfn 07.08.2006 02:16 69 NeroDigital.ini 07.08.2006 01:59 0 system.ini 06.08.2006 15:58 32 pavsig.txt 06.08.2006 15:48 809.596 setupapi.log 06.08.2006 09:45 178.182 setupact.log 04.08.2006 11:24 1.409 QTFont.for 03.08.2006 06:46 341 beatbox.INI 03.08.2006 06:44 32.418 FontData.fdb 03.08.2006 01:28 0 musicmaker.INI 30.07.2006 02:17 433.967 DirectX.log 12.07.2006 13:24 23.536 ocmsn.log 12.07.2006 13:24 102.075 ntdtcsetup.log 12.07.2006 13:24 1.374 imsins.log 12.07.2006 13:24 169.842 comsetup.log 12.07.2006 13:24 11.796 KB917159.log 12.07.2006 13:24 234.107 tsoc.log 12.07.2006 13:24 94.341 iis6.log 12.07.2006 13:24 305.331 ocgen.log 12.07.2006 13:24 30.376 msgsocm.log 12.07.2006 13:24 597.567 FaxSetup.log 12.07.2006 13:24 12.309 KB914388.log 12.07.2006 13:24 1.374 imsins.BAK 12.07.2006 13:24 42.460 updspapi.log 12.07.2006 13:24 10.257 KB916595.log 08.07.2006 11:12 37 TemplateWizard.INI 07.07.2006 17:18 754 WORDPAD.INI sys: Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP Volumeseriennummer: E02E-C58C Verzeichnis von C:\ 07.08.2006 13:15 0 sys.txt 07.08.2006 13:15 13.462 system.txt 07.08.2006 13:14 1.262 systemtemp.txt 07.08.2006 13:13 112.565 system32.txt 07.08.2006 13:05 2.939 eScan_neu.txt 07.08.2006 13:03 1.610.072.064 pagefile.sys 07.08.2006 08:33 0 23990098.$$$ 07.08.2006 08:33 7 AVPCallback.log 07.08.2006 01:59 211 boot.ini 06.08.2006 23:40 768 VundoFix.txt 06.08.2006 13:42 3.478 eScan_neu_alt02.txt 06.08.2006 09:46 1.069 rapport.txt 06.08.2006 02:13 3.494 smitfiles.txt 05.08.2006 23:50 4.888 eScan_neu_alt01.txt 15.07.2006 15:53 77 FilterLog.log 08.07.2006 12:32 3.402 s3so.1 08.07.2006 11:48 3.402 s3h4 30.06.2006 19:01 0 error.txt [EDIT] Silentrunners: "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ "{E02EC58C-08A3-1031-1201-050721050031}" = ""C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe" mc-110-12-0000272" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS] "!ewido" = ""C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized" ["Anti-Malware Development a.s."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\found.004\dir0000.chk\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{429363AD-512D-4A7A-9C21-E5AACAECEABF}" = "Warsow_dqf_Player" -> {HKLM...CLSID} = "ShellExt Class" \InProcServer32\(Default) = "C:\Games\Programme\Warsow\War§owDemosPlayer.dll" [file not found] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References" -> {HKLM...CLSID} = "ShellLink for Application References" \InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] "{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References" -> {HKLM...CLSID} = "Shell Icon Handler for Application References" \InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\System\CurrentControlSet\Control\Session Manager\ INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 05, 11 %SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 12 - 27 %SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided) -> {HKLM...CLSID} = "Real.com" \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.5.0_05" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."] {36ECAF82-3300-8F84-092E-AFF36D6C7040}\ "ButtonText" = "Run WinHTTrack" "MenuText" = "Launch WinHTTrack" "CLSIDExtension" = "{86529161-034E-4F8A-88D2-3C625E612E04}" -> {HKLM...CLSID} = "WinHTTrackLauncher Class" \InProcServer32\(Default) = "C:\Programme\WinHTTrack\WinHTTrackIEBar.dll" [null data] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\ "ButtonText" = "Real.com" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["America Online, Inc."] ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"] SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" [null data] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ PDFCreator\Driver = "pdfcmnnt.dll" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 18 seconds, including 5 seconds for message boxes) |
Hallo, @nochdigger Danke für die Info, war mir doch gleich suspekt, habe mich durch das ERbebnis von Virustotal vom richtigen Weg abbringen lassen. @FaTD Poste mal noch ein HijackThis Log, existiert die update.exe bei dir noch? Ist sie aktiv? Edit lösche noch folgende Dateien(System32 Ordner): 07.08.2006 04:02 496.915 aycdd.ini 07.08.2006 03:43 143 mcrh.tmp 07.08.2006 02:01 496.417 aycdd.bak2 06.08.2006 14:01 495.536 aycdd.bak1 Silentrunners sieht bis auf die update.exe sauber aus. Grüße Wildone |
Zitat:
Logfile of HijackThis v1.99.1 Scan saved at 13:20:12, on 07.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Fabian\Desktop\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\found.004\dir0000.chk\SDHelper.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing) O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Der Ordner in dem die update.exe und noch eine *.dll Datei waren, hab ich während ich im abgesicherten Modus war gelöscht. |
Hallo, Zitat:
Zitat:
Grüße Wildone |
Das mit Killbox werd ich gleich machen, aber was soll ich machen wenn meine Systemwiederherstellung schon ausgeschaltet ist (hat mich oft genervt, deswegen habe ich die vor einiger Zeit ausgeschaltet)? |
Hallo, ach ich bin ja doof, die hing gar nicht in der Systemwiederherstellung sondern im Mülleimer, also einfach diesen leeren. Grüße Wildone |
K, hab ich gemacht. HiJackLog: Logfile of HijackThis v1.99.1 Scan saved at 13:33:52, on 07.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Fabian\Desktop\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\found.004\dir0000.chk\SDHelper.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing) O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo, jetzt sieht es wirklich sauber aus, wenn sich wider Erwarten die update.exe noch mal wiederherstellen sollte meldest du dich nochmal, ansonsten war die Geburt (oder um genau zu sein die Austreibung) ja schwer genug, ich hoffe du hast deine Lektion wie man mit Dateien aus dubiosen Quellen umgeht nun gelernt. Grüße Wildone |
Ja, hab ich auf jedenfall. Also danke, danke und danke!:aplaus: :daumenhoc :aplaus: :daumenhoc Werd eScan zur Sicherheit zwar nochmal laufen lassen aber ich denke/hoffe das es das jetzt war. |
Hallo, bin's jetzt doch nochmal.:o Zitat:
Sind das die Fehlalarme von denen du geschrieben hast? Weil die wurden auch jetzt beim eScan gefunden(wenn ja, krieg ich das irgendwie weg?) |
Hallo, wie schon oben gepostet die ersten fünf sind Fehlalarme, die Dateien gehören zu einem Programm von hp. Der letzte Eintrag weist wohl auf einen Registryeintrag hin der noch vorhanden ist, leider wird dieser nicht genannt, ist aber nicht so dramatisch, da er ohne die entsprechenden Dateien keinen Schaden anrichten kann. Grüße Wildone |
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board