Name: FullContext Pshope ->> PurityScan.EP ->> ConsumerAlertSystem.CASClient
C:\Programme\Batty2
HijackThis
O4 - HKCU\..\Run: [PSHope] "C:\Programme\PSHope\PSHope.exe"
O4 - HKCU\..\Run: [PSCastor] "C:\Programme\PSCastor\PSCastor.exe"
O4 - HKCU\..\Run: [CMSystem] "C:\Program Files\CMSystem\CMSystem.exe"
O4 - HKCU\..\Run: [FCEngine] "C:\Program Files\FCEngine\FCEngine.exe"
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346E99} - C:\Programme\Batty\Batty.dll
O18 - Filter: text/html - {724D478A-2BD0-4DB4-AE42-288B1E346EF7} - C:\Program Files\FCEngine\Plugin.dll
O20 - AppInit_DLLs: BattyRun.dll,BattyRun.dll,
O20 - AppInit_DLLs: BattyRun2.dll
Combofix
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - C:\Programme\Batty2\Batty2.dll
O20 - AppInit_DLLs: BattyRun2.dll
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))
C:\WINDOWS\system32\BattyRun.dll
2006-10-24 07:45 -------- d-------- C:\Programme\PSDream
2006-10-24 07:45 -------- d-------- C:\Programme\PSCastor
2006-10-19 15:56 32208 ---hs---- C:\Programme\Gemeinsame Dateien\Y1324OU.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32
07.08.2006 17:17 61.440 BattyRun2.dll
C:\Programme\PSHope\PSHope.exe
C:\Programme\PSHope\Uninstall.exe
C:\Programme\CMFibula\CMFibula.exe
C:\Programme\PSLister\PSLister.exe
C:\Program Files\PSLister\Uninstall.exe
Avenger
Registry values to delete:
HKCU\software\microsoft\windows\currentversion\run|PSCastor
HKCU\software\microsoft\windows\currentversion\run|PSHope
registry keys to delete:
HKLM\Software\CLASSES\CLSID\{994D478A-45D0-4DB4-AE27-738B1E346F99}
HKLM\SOFTWARE\Classes\TypeLib\{1B8B502E-455B-4022-BE27-736D9F808A18}
Files to delete:
C:\Programme\Batty2\Batty2.dll
C:\WINDOWS\system32\BattyRun2.dll
C:\WINDOWS\system32\BattyRun.dll
C:\updater2.exe
C:\ac3_0003.exe
C:\Programme\Gemeinsame Dateien\Y1324OU.exe
Folders to delete:
C:\Programme\Batty2
C:\Programme\Batty
C:\Programme\CMFibula
C:\Programme\PSHope
C:\Programme\PSLister
C:\Programme\PSCastor
C:\Programme\PSDream
C:\Programme\PSCloner
C:\Programme\SearchHelper
C:\Programme\MediaCoder
C:\Programme\FCEngine
C:\Programme\wincmapp
|
HKCU\Software\Batty2
HKCU\Software\Batty
---------------------------------
C:\WINDOWS\system32\BattyRun.dll
C:\WINDOWS\system32\BattyRun2.dll
C:\WINDOWS\system32\tpuninstall.exe
C:\WINDOWS\srvosflfxz.exe
C:\WINDOWS\srvfymtobt.exe
C:\WINDOWS\srvwgxuuqd.exe
C:\WINDOWS\srvaqdxgwb.exe
C:\WINDOWS\srvfmzfulp.exe
C:\WINDOWS\srvhkfqine.exe
C:\WINDOWS\srvizxgrno.exe
C:\WINDOWS\srvwjrkxcu.exe
C:\WINDOWS\srvwrjpqvx.exe
C:\WINDOWS\system32\93_app13.exe
C:\WINDOWS\system32\blfflmhn.dll
C:\WINDOWS\system32\eoaiaplc.dll
C:\WINDOWS\system32\ephlaomh.dll
C:\WINDOWS\system32\fejkdghk.dll
C:\WINDOWS\system32\redist.dll
C:\WINDOWS\system32\redistributor.exe
C:\Programme\PSHope\PSHope.exe
C:\Programme\PSHope\Uninstall.exe
C:\Programme\Batty\Batty.dll
C:\Programme\Batty\datajava.sdf
C:\Programme\Batty\Batty.exe
C:\Programme\Batty\Uninstall.exe
C:\Programme\Batty2\Batty2.dll
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\minisetup?.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\xsetup?.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\setup.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\echo.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ac2_0006.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\cas2setup.exe
Panda - Online
Spyware:Spyware/7r7t - C:\Programme\pshope\pshope.exe
Spyware:Spyware/7r7t - C:\WINNT\system32\tpuninstall.exe
Spyware:Spyware/7r7t - C:\WINNT\srvfymtobt.exe
Spyware:Spyware/7r7t - C:\Programme\PSHope\Uninstall.exe
ewido
C:\Programme\Batty2\Batty2.dll -> Adware.CASClient
C:\Programme\Batty2\Batty2.exe -> Adware.CASClient
C:\Programme\Batty2\Batty2.exe -> Adware.CASClient
C:\Programme\Batty2\Batty2.dll -> Adware.CASClient
C:\Programme\Batty2\Batty2.dll
C:\Programme\CMFibula\CMFibula.exe -> Adware.CASClient
C:\Programme\PSLister\PSLister.exe -> Adware.PurityScan
C:\Programme\PSLister\Uninstall.exe
C:\System Volume Information\_restore{30F71744-7195-4A81-BC43-76AFE6B4AF0F}\RP850\A0082374.exe -> Adware.CASClient
Counterspy
C:\Programme\axfibula\axfibula.exe
C:\Programme\axvenore\axvenore.exe
C:\Programme\batty2\batty2.dll
C:\Programme\batty2\batty2.exe
C:\Programme\cas\client\casclient.exe
C:\Programme\cas\client\casmf.dll
C:\Programme\cas\client\uninstall.exe
C:\Programme\cas2stub\cas2stub.exe
C:\Programme\casstub\casstub.exe
C:\Programme\cmapp\client\cmappclient.exe
C:\Programme\cmapp\client\cmappmf.dll
C:\Programme\cmapp\cmappstub.exe
C:\Programme\cmfibula\cmfibula.exe
C:\Programme\cmman\cmman.exe
C:\Programme\cmman\mfhlp.dll
C:\Programme\cmsystem\cmsystem.exe
C:\Programme\cmsystem\plugin.dll
C:\Programme\cmsystem\uninstall.exe
C:\Programme\fcengine\fcengine.exe
C:\Programme\fcengine\plugin.dll
C:\Programme\fcengine\uninstall.exe
C:\Programme\system files\plugin.dll
C:\Programme\system files\system.exe
C:\Programme\system files\uninstall.exe
C:\Programme\wincmapp\wincmapp.exe
anderer PC
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PSLister"=-
"CMFibula"=-
"SurfSideKick 3"=-
"PSCastor"=-
"PSHope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SurfSideKick 3"=-
|
Combofix
((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log ))))))))))))))))))))
C:\Dokumente und Einstellungen\Fischoeder\Anwendungsdaten\Sskknwrd.dll
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))
C:\WINDOWS\system32\BattyRun.dll
C:\Programme\cmfibula
C:\Programme\batty2
C:\Programme\PSLister
((((((((((((((((((((((((((((((( Files Created from 2006-08-06 to 2006-09-06 )))))))))))))))))))
2006-08-07 17:17 61,440 --a------ C:\WINDOWS\system32\BattyRun2.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))
2006-08-25 12:20 -------- d-------- C:\Programme\Batty
2006-08-16 10:18 -------- d-------- C:\Programme\SearchHelper
2006-08-04 21:41 32208 ---hs---- C:\Programme\Gemeinsame Dateien\Y1324OU.exe
2006-08-02 20:21 -------- d-------- C:\Programme\PSHope
2006-07-04 12:07 69632 --a------ C:\WINDOWS\system32\pdjdofbf.dll
2006-06-29 10:47 69632 --a------ C:\WINDOWS\system32\oghfllfk.dll
2006-06-15 16:27 69632 --a------ C:\WINDOWS\system32\ciajjnbc.dll
2006-06-15 16:27 69632 --a------ C:\WINDOWS\system32\bhdmjcei.dll
Avenger
Files to delete:
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Sskknwrd.dll
C:\Programme\Gemeinsame Dateien\Y1324OU.exe
C:\WINDOWS\system32\pdjdofbf.dll
C:\WINDOWS\system32\oghfllfk.dll
C:\WINDOWS\system32\ciajjnbc.dll
C:\WINDOWS\system32\bhdmjcei.dll
C:\WINDOWS\system32\BattyRun2.dll
C:\WINDOWS\system32\BattyRun.dll
Folders to delete:
C:\Programme\SurfSideKick 3
C:\Programme\PSHope
C:\Programme\Batty
C:\Programme\batty2
C:\Programme\SearchHelper
C:\Programme\cmfibula
|
anderer PC
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))
C:\WINDOWS\system32\BattyRun.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\spoolsv.dll
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\Programme\batty2
C:\Programme\cmfibula
C:\Programme\outlook
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))
2006-09-12 22:45 -------- d-------- C:\Programme\Gemeinsame Dateien\okzz
2006-09-14 17:16 32177 ---hs---- C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
2006-09-08 17:45 -------- d-------- C:\Programme\PSCloner
2006-08-18 10:38 -------- d-------- C:\Programme\SearchHelper
2006-08-07 17:17 61440 --a------ C:\WINDOWS\system32\BattyRun2.dll
2006-08-05 00:48 93664 --ahs---- C:\Programme\Gemeinsame Dateien\Y1324OU.exe
2006-08-04 20:08 225280 --a------ C:\Programme\Uninstall My Global Search Bar.dll
2006-08-04 20:08 -------- d-------- C:\Programme\MyGlobalSearch
anderer PC
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {40A2988E-C954-4DDE-BD08-453191805BB9} - C:\WINDOWS\system32\durvilx.dll (file missing)
O2 - BHO: (no name) - {43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79} - C:\Programme\Online Services\hotef.dll (file missing)
O2 - BHO: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvbav.dll,startup
O4 - HKLM\..\Run: [kblrggkA] C:\WINDOWS\kblrggkA.exe
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: winwll32 - winwll32.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Fkigdphh.dll (file missing)
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINDOWS\kblrggk.exe (file missing)
-----------------------------------------------------------------------------------
Verzeichnis von C:\WINDOWS\system32
27.11.2006 14:54 561 ldinfo.ldr
27.11.2006 14:03 80 url.dat
27.11.2006 11:54 768 d3d8caps.dat
19.11.2006 19:32 59'392 drvbav.dll
19.11.2006 19:31 0 asfds
19.11.2006 19:31 0 dlh9jkd1q8.exe
19.11.2006 19:31 1 kr_done1
09.11.2006 01:17 0 z16.exe
09.11.2006 01:17 0 z15.exe
09.11.2006 01:17 0 z14.exe
09.11.2006 01:16 0 z13.exe
09.11.2006 01:16 0 z11.exe
09.11.2006 01:16 0 z12.exe
Verzeichnis von C:\WINDOWS
19.11.2006 21:17 47 tcb.pmw
19.11.2006 19:31 183'476 srvnicjwcw.exe
Verzeichnis von C:\
19.11.2006 19:31 0 oglyosmm.exe
19.11.2006 19:31 0 chwdh.exe
19.11.2006 19:31 0 msagft.exe
19.11.2006 19:31 220 dbg.txt
19.11.2006 19:31 0 ikcibwmx.exe
19.11.2006 19:31 0 gbmt.exe
19.11.2006 19:31 0 srusprsr.exe
19.11.2006 19:31 0 nehrfem.exe
19.11.2006 19:31 0 umnsclry.exe
19.11.2006 19:31 0 uniq
13.09.2006 15:13 118'784 AutoSearch.dll
2006-11-19 19:32 59,392 --a------ C:\WINDOWS\system32\drvbav.dll
2006-11-19 19:31 307,824 -r-hs---- C:\WINDOWS\kblrggkA.exe
2006-11-19 19:31 183,476 --a------ C:\WINDOWS\srvnicjwcw.exe
2006-11-19 19:31 118,784 --a------ C:\AutoSearch.dll
2006-11-19 19:31 0 --a------ C:\WINDOWS\system32\dlh9jkd1q8.exe
2006-11-19 19:31 0 --a------ C:\umnsclry.exe
2006-11-19 19:31 0 --a------ C:\srusprsr.exe
2006-11-19 19:31 0 --a------ C:\oglyosmm.exe
2006-11-19 19:31 0 --a------ C:\nehrfem.exe
2006-11-19 19:31 0 --a------ C:\msagft.exe
2006-11-19 19:31 0 --a------ C:\ikcibwmx.exe
2006-11-19 19:31 0 --a------ C:\gbmt.exe
2006-11-19 19:31 0 --a------ C:\chwdh.exe
2006-11-19 19:31 DIR d-------- C:\Programme\PSDream
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]
"{ECFD45E8-018D-1031-0524-990029}"="\"C:\\Programme\\Gemeinsame Dateien\\{ECFD45E8-018D-1031-0524-990029}\\Update.exe\" mc-110-12-0000272"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Internet Explorer"="{F28A40D7-AD0E-034A-C651-5F0ED76232E6}"
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
REGEDIT4
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]
"{ECFD45E8-018D-1031-0524-990029}"=-
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]
"{ECFD45E8-018D-1031-0524-990029}"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"PSDream"=-
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"PSDream"=-
|
Avenger
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|Internet Explorer
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ControlPanel
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Systems
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|kblrggkA
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwll32
HKLM\SOFTWARE\Classes\CLSID\{40A2988E-C954-4DDE-BD08-453191805BB9}
HKLM\SOFTWARE\Classes\CLSID\{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79}
HKLM\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\SOFTWARE\Classes\CLSID\{F28A40D7-AD0E-034A-C651-5F0ED76232E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OvMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Overlay Components
Files to delete:
C:\WINDOWS\System32\ldcore.dll
C:\WINDOWS\System32\sysmon.exe
C:\WINDOWS\system32\ldinfo.ldr
C:\WINDOWS\system32\url.dat
C:\WINDOWS\system32\drvbav.dll
C:\WINDOWS\system32\asfds
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\z16.exe
C:\WINDOWS\system32\z15.exe
C:\WINDOWS\system32\z14.exe
C:\WINDOWS\system32\z13.exe
C:\WINDOWS\system32\z11.exe
C:\WINDOWS\system32\z12.exe
C:\WINDOWS\tcb.pmw
C:\WINDOWS\srvnicjwcw.exe
C:\WINDOWS\kblrggkA.exe
C:\oglyosmm.exe
C:\chwdh.exe
C:\msagft.exe
C:\dbg.txt
C:\ikcibwmx.exe
C:\gbmt.exe
C:\srusprsr.exe
C:\nehrfem.exe
C:\umnsclry.exe
C:\uniq
C:\AutoSearch.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\E.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\C.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\A.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\8.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\6.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\4.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\1.tmp
Folders to delete:
C:\Programme\PSDream
C:\Programme\Gemeinsame Dateien\{ECFD45E8-018D-1031-0524-990029}
|
|
