AntiSpywareBot

Anti
SpywareBot

AntiSpywareBot

• Combofix

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntiSpywareBot on the Web.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntiSpywareBot.lnk
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AntispywareBot
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AntispywareBot\rs.dat
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AntispywareBot\Settings\ScanResults.pie

C:\Programme\AntiSpywareBot
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

C:\WINDOWS\system32\BHPqsBeg.ini
C:\WINDOWS\system32\BHPqsBeg.ini2
C:\WINDOWS\system32\geBuUkjJ.dll

(( Dateien erstellt von 2008-04-01 bis 2008-05-01 ))))))))

2008-05-01 14:59 . 2008-05-01 14:59 29 --a------ C:\WINDOWS\system32\84380c1f
2008-04-29 17:09 . 2008-04-29 17:09 280,576 --------- C:\WINDOWS\system32\geBsqPHB.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA3DF3D0-E276-461C-982B-4F02446EC514}]
2008-04-29 17:09 280576 --------- C:\WINDOWS\system32\geBsqPHB.dll

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA3DF3D0-E276-461C-982B-4F02446EC514}]

Folder::
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AntispywareBot
C:\Programme\AntiSpywareBot

File::
C:\WINDOWS\system32\BHPqsBeg.ini
C:\WINDOWS\system32\BHPqsBeg.ini2
C:\WINDOWS\system32\84380c1f
C:\WINDOWS\system32\geBsqPHB.dll
C:\WINDOWS\system32\geBuUkjJ.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

anderer PC

• HijackThis

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\
drivers\services.exe
O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\User\LOKALE~1\Temp\winlogan.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\
Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Dokumente und Einstellungen\User\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu2000352.exe 
61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661
O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\User\LOKALE~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Dokumente und Einstellungen\User\svchost.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\User\LOKALE~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\
Local Settings\Application Data\cftmon.exe 
O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user')
O4 - Startup: userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} 
C:\WINDOWS\system32\jfiehayd.dll
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

• OtmoveIt

C:\WINDOWS\mrofinu2000352.exe
C:\WINDOWS\mrofinu2000352.exe.tmp
C:\WINDOWS\system32\jfiehayd.dll
C:\Dokumente und Einstellungen\%Username%\svchost.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\csrssc.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\winlogan.exe

• Combofix

(((((((((( Weitere Löschungen ))))))))))))))))))))))))))))

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\userinit.exe
C:\Dokumente und Einstellungen\All Users\Desktop\AntiSpywareBot.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot on the Web.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot.lnk
C:\Dokumente und Einstellungen\LocalService\ftpdll.dll
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AntispywareBot
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AntispywareBot\Log\2008 
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\install.dat
C:\Dokumente und Einstellungen\%Username%\ftpdll.dll
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Autostart\userinit.exe
C:\Programme\AntiSpywareBot
C:\Programme\AntiSpywareBot\AntispywareBot.url
C:\Programme\AntiSpywareBot\DataBase.ref
C:\Programme\AntiSpywareBot\Difxapi.dll
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.amd64.sys
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.cat
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.inf
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.x86.sys
C:\Programme\AntiSpywareBot\SpyCleaner.dll
C:\Programme\AntiSpywareBot\TCL.dll
C:\Programme\AntiSpywareBot\vistaCPtasks.xml
C:\Programme\AntiSpywareBot\zlib.dll
C:\WINDOWS\mrofinu2000352.exe.tmp
C:\WINDOWS\msserv.config
C:\WINDOWS\msserv.exe
C:\WINDOWS\system32\734914
C:\WINDOWS\system32\734914\734914.dll
C:\WINDOWS\system32\blphcjhcj0ec89.scr
C:\WINDOWS\system32\config\43147582.Evt
C:\WINDOWS\system32\dflgh8jkd2q1.exe
C:\WINDOWS\system32\dflgh8jkd2q2.exe
C:\WINDOWS\system32\dflgh8jkd2q5.exe
C:\WINDOWS\system32\dflgh8jkd2q6.exe
C:\WINDOWS\system32\dflgh8jkd2q7.exe
C:\WINDOWS\system32\drivers\pya41.sys
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\fjgtloqf.dll
C:\WINDOWS\system32\fqoltgjf.ini
C:\WINDOWS\system32\ftpdll.dll
C:\WINDOWS\system32\igfxhk.dll
C:\WINDOWS\system32\khfcaby.dll
C:\WINDOWS\system32\lphcjhcj0ec89.exe
C:\WINDOWS\system32\maxpaynow1.exe
C:\WINDOWS\system32\maxpaynowti1.exe
C:\WINDOWS\system32\mssrv32.exe
C:\WINDOWS\system32\phcjhcj0ec89.bmp
C:\WINDOWS\system32\qqtss.ini
C:\WINDOWS\system32\qqtss.ini2
C:\WINDOWS\system32\sstqq.dll
C:\WINDOWS\system32\tuvwtsp.dll
C:\WINDOWS\system32\winds32.exe
C:\WINDOWS\system32\winhoo32.dll
C:\WINDOWS\system32\wvvwa.ini
C:\WINDOWS\system32\wvvwa.ini2

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))

-------\Legacy_ASC3550P
-------\Legacy_msupdate
-------\Legacy_pya41
-------\Service_asc3550p
-------\Service_pya41
--------------------------------------
2008-07-03 21:09 . 2008-07-03 21:09 30,208 --a------ C:\WINDOWS\system32\drivers\Jry32.sys
2008-07-03 21:00 . 2008-07-03 21:00 29 --a------ C:\WINDOWS\system32\sreiwpof.tmp
2008-07-03 20:59 . 2008-07-03 20:59 235,189 --a------ C:\d1.exe
2008-07-03 20:59 . 2008-07-03 20:59 5,120 --a------ C:\drvrfw.exe
2008-07-03 20:59 . 2008-07-03 20:59 2 --a------ C:\-797566696
2008-07-03 20:50 . 2008-07-06 11:28 65,970 --a------ C:\WINDOWS\system32\drivers\b9438b61.sys
2008-07-03 20:50 . 2008-07-03 20:50 46,592 --a------ C:\adgjig.exe
2008-07-03 20:50 . 2008-07-03 20:50 25,600 --a------ C:\WINDOWS\system32\winrge32.dll
2008-06-07 23:39 . 2008-07-03 23:00 312 --a------ C:\WINDOWS\wininit.ini
2008-06-07 18:32 . 2008-06-07 18:32 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-07 18:32 . 2008-06-07 18:32 2,555 --a------ C:\WINDOWS\unins000.dat
2007-04-16 15:53 4,608 ----a-w C:\Dokumente und Einstellungen\%Username%\explorer.dll
2007-04-16 15:53 23,552 ----a-w C:\Dokumente und Einstellungen\%Username%\ms_tcp.dll

--------------------------------------

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jry32.sys]
R0 jry32;jry32;C:\WINDOWS\system32\Drivers\Jry32.sys [2008-07-03 21:09]

• Avenger

Drivers to disable:
jry32
b9438b61

Drivers to delete:
jry32
b9438b61

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\jry32.sys
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\jry32.sys
HKLM\SYSTEM\ControlSet001\Enum\Root\legacy_jry32
HKLM\SYSTEM\ControlSet003\Enum\Root\legacy_jry32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jry32.sys

Files to delete:
C:\Dokumente und Einstellungen\%Username%\explorer.dll
C:\Dokumente und Einstellungen\%Username%\ms_tcp.dll
C:\WINDOWS\wininit.ini
C:\WINDOWS\unins000.exe
C:\WINDOWS\unins000.dat
C:\WINDOWS\system32\drivers\Jry32.sys
C:\WINDOWS\system32\drivers\b9438b61.sys
C:\WINDOWS\system32\sreiwpof.tmp
C:\d1.exe
C:\drvrfw.exe
C:\-797566696
C:\adgjig.exe
C:\WINDOWS\system32\winrge32.dll

C:\Dokumente und Einstellungen\%Username%\explorer.dll

AntiVir 7.8.0.64 2008.07.02 TR/Spy.Gen
Avast 4.8.1195.0 2008.07.02 Win32:Spyware-gen
AVG 7.5.0.516 2008.07.02 PSW.Agent.TRM
BitDefender 7.2 2008.07.03 Trojan.Generic.322446
DrWeb 4.44.0.09170 2008.07.02 Trojan.DownLoader.origin
NOD32v2 3237 2008.07.03 probably a variant of Win32/PSW.Agent.NHG
Sophos 4.30.0 2008.07.03 Mal/Generic-A
Sunbelt 3.1.1509.1 2008.07.03 Trojan.Spy.Gen
TrendMicro 8.700.0.1004 2008.07.02 PAK_Generic.001

C:\Dokumente und Einstellungen\%Username%\ms_tcp.dll

AntiVir - - HEUR/Malware
BitDefender - - Generic.PWS.Games.3.3353885D
F-Prot - - W32/Virtumonde.Q.gen!Eldorado
TrendMicro - - PAK_Generic.001

Counter-Box.de

Sicherheit im InterNet

AntiSpywareBot, geBsqPHB.dll, geBuUkjJ.dll, ms_tcp.dll

Anti
SpywareBot

AntiSpywareBot

C:\Dokumente und Einstellungen\%Username%\explorer.dll

C:\Dokumente und Einstellungen\%Username%\ms_tcp.dll

Sicherheit im InterNet

AntiSpywareBot, geBsqPHB.dll, geBuUkjJ.dll, ms_tcp.dll

Anti SpywareBot

AntiSpywareBot

C:\Dokumente und Einstellungen\%Username%\explorer.dll

C:\Dokumente und Einstellungen\%Username%\ms_tcp.dll

Anti
SpywareBot