avpe64.sys, avpe32.dll, avpe32.sys
HijackThis
R3 - Default URLSearchHook is missing
O1 - Hosts: 134.76.252.196 l2testauthd.lineage2.com
O2 - BHO: (no name) - {2A3E7CE8-3A2B-4259-8AD8-1D8DFFCE94A9} - C:\WINDOWS\system32\ieakui32.dll
O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing)
Files Added (all of the files are hidden)
* %WINDIR% \system32\stt82.ini
* %WINDIR% \system32\avpe64.sys ( 21840 bytes )
* %WINDIR% \system32\qz.dll
* %WINDIR% \system32\avpe32.dll
* %WINDIR% \system32\qz.sys ( 21840 bytes )
* %WINDIR% \system32\ps.a3d
datfinbat
C:\WINDOWS\system32
08.01.2006 05:19 320 stt82.ini
08.01.2006 05:19 914 ps.a3d
02.01.2006 18:00 0 klgcptini.dat
C:\WINDOWS\system32\avpe64.sys
C:\WINDOWS\system32\avpe32.sys
C:\WINDOWS
04.01.2006 16:20 94.208 rtpmsi32.dll
02.01.2006 17:58 0 uniq
Lade die haxfix.exe haxfix.exe
Speichere sie auf deinem Desktop.
Schliesse alle anderen Programme und schliesse alle offenen Fensterchen.
Mach einen Doppelklick auf die haxfix.exe um die Installation zu starten. (normalerweise verwendet man den Ordner C:\Programme\haxfix)
Wenn die Installation beendet ist, sorge dafür, dass ein Häkchen bei "Launch HaxFix" gesetzt ist.
Nun öffnet sich ein rotes Dos Fensterchen.
Wenn der Bericht kommt (er kommt zweimal):
Insert the haxdoor notify subkey without the numbers, and then press enter:
tippst du folgendes ein: den Unterschlüssel :
avpe
(also nur die Buchstaben avpe ohne die 32) Drücke auf Enter.
Nun wird der Rechner gescannt, ob bestimmte Dienste installiert sind, die für diese Infektion ausschlaggebend sind. Wenn nichts gefunden wird, bekommst du die Meldung: No infection found. Dann hört das Programm auf zu laufen.
Werden aber doch Dienste gefunden, auch wenn es nur ein einziger ist, wirst du gebeten alle Fensterchen zu schliessen, denn der Rechner wird nun neu aufstarten. Schliesse also alle geöffneten Fensterchen, ausser dem roten Dos Fensterchen vom Haxfix. Das muss auf bleiben. Drücke dann wieder auf enter. Der Rechner wird nun wieder neu aufstarten.
Wenn der Rechner wieder hochgefahren ist, suchst du die Datei c:\haxfix.txt Diese Datei ist das Logfile vom HaxFix und gibt an, was gefunden und gelöscht worden ist, in Bezug auf diese Infektion.
|
matching services found
ASPI32
avpe32
avpe64
checking for matching safeboot services....
matching safeboot services found
avpe32.sys
avpe64.sys
Avenger (Beispiel)
Drivers to disable:
avpe32
avpe64
qz
Drivers to delete:
avpe32
avpe64
qz
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe64.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe64.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64
Files to delete:
C:\WINDOWS\system32\avpe64.sys
C:\WINDOWS\system32\avpe32.sys
C:\WINDOWS\system32\ieakui32.dll
C:\WINDOWS\system32\avpe32.dll
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\rtpmsi32.dll
C:\WINDOWS\uniq
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\klgcptini.dat
|
