Fehlermeldung: Fehler beim Laden von ...dll
HijackThis
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrb_3.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdb_3.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmb_3.exe
O4 - HKLM\..\Run: [ofw8bbab] RUNDLL32.EXE w003b3c1.dll,n 0018bbaa0000000a003b3c1
O4 - HKLM\..\Run: [Win32] msnsrv.exe
O4 - HKLM\..\Run: [Yahoo Load] msnchecker.exe
O4 - HKLM\..\RunServices: [Win32] msnsrv.exe
O4 - HKLM\..\RunServices: [Yahoo Load] msnchecker.exe
O4 - HKCU\..\Run: [Lnbu] "C:\PROGRA~1\COMMON~1\APPATC~1\netdde.exe" -vt yazr
O4 - HKCU\..\Run: [Sdnhe] C:\WINDOWS\system32\?racle\n?pdb.exe
O4 - HKCU\..\Run: [Win32] msnsrv.exe
O4 - HKCU\..\Run: [Service] svchost32.exe
O4 - HKCU\..\Run: [Yahoo Load] msnchecker.exe
O4 - HKCU\..\RunServices: [Yahoo Load] msnchecker.exe
O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe -> lsass.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe
O23 - Service: Windows Kernel Services - Unknown owner - C:\WINDOWS\winlogon.exe
Combofix
((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhhg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkjgd
REGISTRY ENTRIES REMOVED:
[HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}]
@=""
"IDEx"="ADDR"
[HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}\InprocServer32]
@="C:\\WINDOWS\\system32\\irnathlp.dll"
"ThreadingModel"="Apartment"
------------------------------------
2006-07-31 20:35:02 61440 ( A.... ) "C:\WINDOWS\system32\ofw8bbab.dll
2006-07-31 20:35:02 1064 ( A.... ) "C:\WINDOWS\system32\ofw8bbab.sys
2006-07-31 20:35:02 1064 ( A.... ) "C:\WINDOWS\system32\ofw8bbab.sys
2006-07-30 17:57:34 151112 ( A.... ) "C:\WINDOWS\system32\mc-110-12-0000107.exe
2006-07-30 17:23:56 38925 ( ..SH. ) "C:\WINDOWS\system32\jkkjgfd.dll
2006-07-27 17:18:54 62091 ( ..SHR ) "C:\WINDOWS\winlogon.exe
2006-07-16 21:06:38 289792 ( ..SHR ) "C:\WINDOWS\system32\msnchecker.exe
2006-07-10 12:44:22 ( .D... ) "C:\Programme\Gemeinsame Dateien\{8885D6CE-0BC6-1040-0924-030924030027}
2006-07-09 19:06:38 39437 ( ..... ) "C:\WINDOWS\system32\nnnkjgd.dll
2006-07-09 15:21:04 94208 ( A...R ) "C:\WINDOWS\system32\msnsrv.exe
2006-07-06 17:51:18 ( .D... ) "C:\Programme\ipwins
2006-07-06 17:46:46 ( .D... ) "C:\Programme\InetGet2
2006-07-06 17:44:36 2 ( A.... ) "C:\WINDOWS\system32\wnsapisv.exe
2006-06-30 20:22:48 962560 ( ..SHR ) "C:\WINDOWS\lsass.exe
2006-06-30 17:48:20 569396 ( ..... ) "C:\WINDOWS\system32\jkhhg.dll
2006-06-30 17:48:14 ( .D... ) "C:\Programme\Gemeinsame Dateien\rukq
2006-06-29 19:45:18 29696 ( ..... ) "C:\WINDOWS\system32\w003b3c1.dll
2006-06-29 19:44:12 ( .D... ) "C:\Programme\Windows
2006-06-29 19:44:12 ( .D... ) "C:\Programme\Gemeinsame Dateien\InetGet
2006-07-31 20:35 61.440 C:\WINDOWS\system32\ofw8bbab.dll
2006-07-31 20:35 1.064 C:\WINDOWS\system32\ofw8bbab.sys
2006-07-30 17:23 38.925 C:\WINDOWS\system32\jkkjgfd.dll
2006-07-29 20:24 151.112 C:\WINDOWS\system32\mc-110-12-0000107.exe
2006-07-16 21:06 289.792 C:\WINDOWS\system32\msnchecker.exe
2006-07-14 22:33 62.091 C:\WINDOWS\winlogon.exe
2006-07-09 19:06 39.437 C:\WINDOWS\system32\nnnkjgd.dll
http://virus-protect.org/artikel/tools/vundofixx.html
2006-07-09 15:20 94.208 C:\WINDOWS\system32\msnsrv.exe
2006-06-30 20:22 962.560 C:\WINDOWS\lsass.exe -> Link: lsass.exe
2006-06-30 17:48 569.396 C:\WINDOWS\system32\jkhhg.dll
2006-06-29 19:45 29.696 C:\WINDOWS\system32\w003b3c1.dll
2006-06-29 19:45 2 C:\WINDOWS\system32\wnsapisv.exe
Löschen:
C:\Programme\ipwins
C:\Programme\InetGet2
C:\Programme\Windows
C:\Programme\Gemeinsame Dateien\rukq
C:\WINDOWS\update\updmangr.exe
C:\Programme\Gemeinsame Dateien\{8885D6CE-0BC6-1040-0924-030924030027}
C:\\WINDOWS\system32\irnathlp.dll
C:\WINDOWS\system32\drsmartload292a.exe
C:\WINDOWS\system32\wnsapisv.exe
C:\WINDOWS\system32\w003b3c1.dll
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\nnnkjgd.dll
C:\WINDOWS\system32\msnchecker.exe
C:\WINDOWS\system32\mc-110-12-0000107.exe
C:\WINDOWS\system32\ofw8bbab.dll
C:\WINDOWS\system32\ofw8bbab.sys
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\lsass.exe
C:\WINDOWS\winlogon.exe
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHA70DE7\drsmartload396a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WD6B456R\drsmartload292a[1].exe
Purityscan:
C:\Programme
20/07/2006 21.33 -DIR- ipwins
06/07/2006 18.15 -DIR- InetGet2
30/07/2006 14.11 -DIR- Common Files
C:\PROGRA~1\COMMON~1\APPATC~1\netdde.exe
C:\WINDOWS\system32\?racle\n?pdb.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Microsoft (R) Windows Update Manager Tool"="C:\\WINDOWS\\update\\updmangr.exe"
"ofw8bbab"="RUNDLL32.EXE w003b3c1.dll,n 0018bbaa0000000a003b3c1"
"Win32"="msnsrv.exe"
"Yahoo Load"="msnchecker.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Lnbu"="\"C:\\PROGRA~1\\COMMON~1\\APPATC~1\\netdde.exe\" -vt yazr"
"Sdnhe"="C:\\WINDOWS\\system32\\?racle\\n?pdb.exe"
"Win32"="msnsrv.exe"
"Service"="svchost32.exe"
"Yahoo Load"="msnchecker.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Win32"="msnsrv.exe"
"Yahoo Load"="msnchecker.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Yahoo Load"="msnchecker.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Win32"="msnsrv.exe"
"Yahoo Load"="msnchecker.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Yahoo Load"="msnchecker.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Win32"="msnsrv.exe"
"Yahoo Load"="msnchecker.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"Yahoo Load"="msnchecker.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{8885D6CE-0BC6-1040-0924-030924030027}"="\"C:\\Programme\\Gemeinsame Dateien\\{8885D6CE-0BC6-1040-0924-030924030027}\\Update.exe\" mc-110-12-0000182"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhhg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkjgd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdk
|
anderer PC
O2 - BHO: (no name) - {39E462CE-A877-F8AF-0A90-FB4A3DDDF4CB} - C:\WINDOWS\System32\wazxfs.dll
O4 - HKLM\..\Run: [xjkbc836] RUNDLL32.EXE w00191ac.dll,n 001bc8350000000a00191ac
O4 - HKCU\..\Run: [Rmcs] "C:\PROGRA~1\YMBOLS~1\dexplore.exe" -vt yazb
O4 - HKCU\..\Run: [Njuzb] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\??crosoft\r?ndll 32.exe
datfindbat
Verzeichnis von C:\
14.07.2006 20:45 418.445 Mendoza1.exe -> Dropper/Dldr.MSIL.Agent.A / Adware.MediaTicket
14.07.2006 20:44 2.560 ac3_0010.exe -> Trojan/Dldr.Small.BCB.1
14.07.2006 20:44 81.920 dfndrad_5.exe -> Trojan/Click.VB.NH.4 / Adware DollarRevenue
Verzeichnis von C:\WINDOWS
14.07.2006 20:45 0 keyboard1.dat
13.07.2006 10:41 42 drsmartload2.dat
13.07.2006 10:37 0 newname.dat
13.07.2006 10:37 40 teller2.chk
Verzeichnis von C:\WINDOWS\system32
16.07.2006 11:43 1.063 xjkbc836.sys
14.07.2006 20:45 1.063 aaa00000.sys
14.07.2006 20:45 61.440 aaa00000.dll -> Trojan/Agent.RL.1 / Adware.IEHelper
14.07.2006 20:45 29.696 w0028e8a.dll -> Trojan/Dldr.YM
14.07.2006 20:44 234.336 guard.tmp
13.07.2006 22:21 2 wnstssv.exe
13.07.2006 22:21 81.920 ntvdm.dll
13.07.2006 10:40 81.920 cmd.dll -> Adware-Spyware/PurityScan
13.07.2006 10:37 61.440 xjkbc836.dll -> Trojan/Agent.RL.1 / Adware.IEHelper
13.07.2006 10:37 29.696 w00191ac.dll -> Trojan/Dldr.YM / Trojan.DownLoader.10919
28.06.2006 17:08 139.264 wazxfs.dll -> Adware-Spyware/PurityScan.AK.101
RootkitRevealer
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EYS0E94D\click,fAIAANqYAADKsgEA2KcAAAAADAA
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EYS0E94D\rmtag3[2].js
C:\Dokumente und Einstellungen\Administrator\Recent\aa.lnk 16.07.2006 13:49 666 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\aa2.lnk 16.07.2006 13:52 575 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\ac.lnk 16.07.2006 13:23 570 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\bmx.lnk 16.07.2006 13:42 575 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\bszip.lnk 16.07.2006 13:35 683 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\df.lnk 16.07.2006 13:26 570 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\f-look2me (2).lnk 16.07.2006 13:02 928 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Administrator\Recent\mendoza.lnk 16.07.2006 13:21 599 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\rapport.lnk 16.07.2006 12:29 599 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Administrator\Recent\rapport2.lnk 16.07.2006 12:35 606 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Administrator\Recent\settings.lnk 16.07.2006 13:46 606 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\w00.lnk 16.07.2006 13:54 575 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Recent\xjbc.lnk 16.07.2006 13:31 582 bytes Hidden from Windows API.
C:\WINDOWS\Temp\tmp000078e7\tmp00000000
C:\WINDOWS\Temp\tmp00007d0c\tmp00000000
Datei: ac3_0010.exe
Norman Virus Control
Sandbox: W32/Downloader; [ General information ]
* File length: 2560 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\w00124E5.dll.
[ Network services ]
* Downloads file from http://www.numb-soft.com/data/al3 as C:\WINDOWS\SYSTEM32\w00124E5.dll.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Attemps to Open RUNDLL32.EXE w00124E5.dll,n 000000000000000A00124E5. gefunden
anderer PC
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-08-02 00:01:16 1427907 ( A.... ) "C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat"
2006-08-02 00:00:54 1024 ( A.... ) "C:\cmeimbhj.exe"
2006-08-02 00:00:44 1232 ( A.... ) "C:\WINDOWS\system32\TheMatrixHasYou.exe"
2006-08-02 00:00:38 65654 ( A.... ) "C:\WINDOWS\system32\NvVid.exe"
2006-08-02 00:00:38 1472 ( A.... ) "C:\WINDOWS\system32\NvVid.sys"
2006-08-02 00:00:38 1472 ( A.... ) "C:\WINDOWS\system32\NvVid.sys"
2006-08-02 00:00:20 14720 ( A.... ) "C:\WINDOWS\system32\updwebmin.exe"
2006-08-01 23:59:46 1024 ( A.... ) "C:\bupjd.exe"
2006-08-01 23:59:14 32768 ( A.... ) "C:\winstall.exe"
2006-08-01 23:59:14 32768 ( A.... ) "C:\fjbncnqi.exe"
((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))
2006-08-02 00:10 42.130 C:\WINDOWS\system32\qo.dll - Bck/Haxdoor.LR
2006-08-02 00:10 20.832 C:\WINDOWS\system32\qo.sys - Bck/Haxdoor.LR
2006-08-02 00:10 20.832 C:\WINDOWS\system32\drtw3a.sys + Virus:Bck/Haxdoor.LR C:\WINDOWS\system32\drtw3a.dll (war nicht sichtbar, wurde von Panda gefunden)
2006-08-02 00:00 65.654 C:\WINDOWS\system32\NvVid.exe
2006-08-02 00:00 65.654 C:\WINDOWS\.exe
2006-08-02 00:00 14.720 C:\WINDOWS\system32\updwebmin.exe - Trj/Jupillites.G
2006-08-02 00:00 1.472 C:\WINDOWS\system32\NvVid.sys
2006-08-02 00:00 1.232 C:\WINDOWS\system32\TheMatrixHasYou.exe - Trj/Jupillites.G
2006-08-02 00:00 1.024 C:\cmeimbhj.exe - Application/KillApp.A
2006-08-01 23:59 32.768 C:\winstall.exe - Adware/SpySheriff
2006-08-01 23:59 32.768 C:\fjbncnqi.exe - Adware/SpySheriff -> spysheriff
2006-08-01 23:59 1.024 C:\bupjd.exe - Application/KillApp.A
Verzeichnis von C:\WINDOWS
02.08.2006 00:00 65.654 .exe
Verzeichnis von C:\
02.08.2006 00:00 1.024 cmeimbhj.exe
02.08.2006 00:00 3.056 secure32.html
01.08.2006 23:59 1.024 bupjd.exe
01.08.2006 23:59 32.768 winstall.exe
01.08.2006 23:59 32.768 fjbncnqi.exe
01.08.2006 23:58 0 uniq
Verzeichnis von C:\WINDOWS\system32
02.08.2006 00:10 320 lps.dat
02.08.2006 00:10 0 kgctini.dat
02.08.2006 00:00 1.232 TheMatrixHasYou.exe
02.08.2006 00:00 1.472 NvVid.sys
02.08.2006 00:00 65.654 NvVid.exe
02.08.2006 00:00 0 winrknj
02.08.2006 00:00 14.720 updwebmin.exe
Verzeichnis von C:\Program Files
02.08.2006 00:00 3.056 secure32.html
02.08.2006 00:01 -DIR- SpySheriff
C:\Program Files\SpySheriff\base.avd
C:\Program Files\SpySheriff\base001.avd
C:\Program Files\SpySheriff\base002.avd
C:\Program Files\SpySheriff\found.wav
C:\Program Files\SpySheriff\heur000.dll
C:\Program Files\SpySheriff\heur001.dll
C:\Program Files\SpySheriff\heur002.dll
C:\Program Files\SpySheriff\heur003.dll
C:\Program Files\SpySheriff\notfound.wav
C:\Program Files\SpySheriff\removed.wav
C:\Program Files\SpySheriff\SpySheriff.dvm
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\SpySheriff\Uninstall.exe
C:\Program Files\secure32.html
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Install.dat
Verzeichnis von C:\WINDOWS\system32
19.07.2006 01:14 520.192 DivXsm.exe
19.07.2006 01:14 4.276 divxsm.tlb
19.07.2006 01:13 3.596.288 qt-dx331.dll
19.07.2006 01:13 108.544 pxcpyi64.exe
19.07.2006 01:13 109.568 pxinsi64.exe
19.07.2006 01:13 1.044.480 libdivx.dll
19.07.2006 01:13 200.704 ssldivx.dll
19.07.2006 01:09 53.248 dpuGUI10.dll
19.07.2006 01:09 90.112 dpl100.dll
2006-07-19 01:14:02 520192 ( A.... ) "C:\WINDOWS\system32\DivXsm.exe"
2006-07-19 01:14:00 3596288 ( A.... ) "C:\WINDOWS\system32\qt-dx331.dll"
2006-07-19 01:13:56 108544 ( ..... ) "C:\WINDOWS\system32\pxcpyi64.exe"
2006-07-19 01:13:54 109568 ( ..... ) "C:\WINDOWS\system32\pxinsi64.exe"
2006-07-19 01:13:52 1044480 ( A.... ) "C:\WINDOWS\system32\libdivx.dll"
2006-07-19 01:13:52 200704 ( A.... ) "C:\WINDOWS\system32\ssldivx.dll"
2006-07-19 01:09:32 593920 ( A.... ) "C:\WINDOWS\system32\dpuGUI11.dll"
2006-07-19 01:09:32 344064 ( A.... ) "C:\WINDOWS\system32\dpus11.dll"
2006-07-19 01:09:32 294912 ( A.... ) "C:\WINDOWS\system32\dpu11.dll"
2006-07-19 01:09:32 294912 ( A.... ) "C:\WINDOWS\system32\dpu10.dll"
2006-07-19 01:09:32 200704 ( A.... ) "C:\WINDOWS\system32\dtu100.dll"
2006-07-19 01:09:32 90112 ( A.... ) "C:\WINDOWS\system32\dpl100.dll"
2006-07-19 01:09:32 57344 ( A.... ) "C:\WINDOWS\system32\dpv11.dll"
2006-07-19 01:09:32 53248 ( A.... ) "C:\WINDOWS\system32\dpuGUI10.dll"
2006-07-19 01:09:30 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx07.dll"
2006-07-19 01:09:28 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx0c.dll"
2006-07-19 01:09:28 761856 ( A.... ) "C:\WINDOWS\system32\divx_xx11.dll"
2006-07-19 01:09:28 620180 ( A.... ) "C:\WINDOWS\system32\DivX.dll"
2006-07-19 01:09:06 118784 ( A.... ) "C:\WINDOWS\system32\DivXCodecUpdateChecker.exe"
2006-07-19 01:09:06 12288 ( A.... ) "C:\WINDOWS\system32\DivXWMPExtType.dll"
Avenger
Files to delete:
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\lps.dat
C:\WINDOWS\system32\kgctini.dat
C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\WINDOWS\system32\NvVid.sys
C:\WINDOWS\system32\NvVid.exe
C:\WINDOWS\system32\winrknj
C:\WINDOWS\system32\updwebmin.exe
C:\WINDOWS\system32\qo.dll
C:\WINDOWS\system32\qo.sys
C:\WINDOWS\system32\drtw3a.sys
C:\WINDOWS\system32\drtw3a.dll
C:\cmeimbhj.exe
C:\secure32.html
C:\bupjd.exe
C:\fjbncnqi.exe
C:\uniq
C:\WINDOWS\.exe
Folders to delete:
C:\Program Files\SpySheriff
|
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"updwebmin"=-
"NvVideoCenter"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"updwebmin"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"updwebmin"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NvVideoCenter]
|
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NvVideoCenter]
; Contents of value:
; \??\c:\windows\system32\nvvid.sys
anderer PC
O4 - HKLM\..\Run: [bmg78389] RUNDLL32.EXE w001b07e.dll,n 002783870000000a001b07e
Verzeichnis von D:\WINDOWS\system32
02.08.2006 16:09 1.167 bmg78389.sys
02.08.2006 16:05 61.952 bmg78389.dll ->> (McAfee) Downloader-AXF
02.08.2006 16:01 137.410 mc-110-12-0000137.exe ->> Adware.Toolbar888.A
02.08.2006 16:01 32.768 setup.exe.tmp
02.08.2006 16:01 147.456 vbzip10.dll
Verzeichnis von D:\WINDOWS
10.07.2006 22:50 7.695 ktd32.atm
D:\Programme\Gemeinsame Dateien\mfzu\mfzup.exe
D:\Programme\Gemeinsame Dateien\mfzu\mfzul.exe
D:\WINDOWS\Setup.exe
--------------------------------------------
Look2Me-Destroyer anwenden
http://virus-protect.org/l2mfix.html
Scanning for infected files.....
Infected! D:\WINDOWS\system32\uyrv42a.dll
anderer PC
2006-08-03 10:46:50 1167 ( A.... ) "C:\WINDOWS\system32\zvp80d3f.sys"
2006-08-03 10:46:50 1167 ( A.... ) "C:\WINDOWS\system32\zvp80d3f.sys"
2006-08-03 08:50:22 61952 ( A.... ) "C:\WINDOWS\system32\zvp80d3f.dll"
2006-07-21 18:55:38 127578 ( A.... ) "C:\WINDOWS\system32\tsuninst.exe"
Verzeichnis von C:\WINDOWS\system32
03.08.2006 16:36 236.057 n8l8li3u18.dll
03.08.2006 10:46 1.167 zvp80d3f.sys
03.08.2006 08:50 61.952 zvp80d3f.dll
21.07.2006 18:55 127.578 tsuninst.exe
anderer PC
O4 - HKLM\..\Run: [rjx68c31] RUNDLL32.EXE w0943c5d.dll,n 00268c2f0000000a0943c5d
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"rjx68c31"="RUNDLL32.EXE w0943c5d.dll,n 00268c2f0000000a0943c5d"
Combofix
(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))
2006-08-01 12:17 687.592 C:\WINDOWS\system32\atmtd.dll
2006-08-01 12:17 127.578 C:\WINDOWS\system32\tsuninst.exe
2006-08-01 12:17 1.064 C:\WINDOWS\system32\rjx68c31.sys
2006-08-01 12:17:46 1064 ( A.... ) "C:\WINDOWS\system32\rjx68c31.sys"
2006-08-01 12:17:46 1064 ( A.... ) "C:\WINDOWS\system32\rjx68c31.sys"
2006-08-01 12:17:26 687592 ( A.... ) "C:\WINDOWS\system32\atmtd.dll"
2006-08-01 12:16:36 ( .D... ) "C:\Programme\Gemeinsame Dateien\{F8459504-0BB7-1031-1007-050922050031}"
2006-07-21 18:55:38 127578 ( A.... ) "C:\WINDOWS\system32\tsuninst.exe"
Verzeichnis von C:\WINDOWS\system32
01.08.2006 12:17 1.064 rjx68c31.sys
01.08.2006 12:17 687.592 atmtd.dll
01.08.2006 12:17 687.592 atmtd.dll._
21.07.2006 18:55 127.578 tsuninst.exe
Verzeichnis von C:\WINDOWS
01.08.2006 12:17 40 teller2.chk
anderer PC
Look2Me-Destroyer V1.0.5 abarbeiten
http://virus-protect.org/l2mfix.html
combofix
2006-08-06 16:21:04 15337 ( A.... ) "C:\WINDOWS\system32\winlog.dll"
2006-08-04 18:29:26 ( .D... ) "C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\WinAntiVirus Pro 2006"
2006-08-04 18:29:08 ( .D... ) "C:\Programme\WinAntiVirus Pro 2006"
2006-08-04 18:29:08 ( .D... ) "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006"
2006-08-04 15:02:12 1167 ( A.... ) "C:\WINDOWS\system32\jsc840e1.sys"
2006-08-04 15:02:12 1167 ( A.... ) "C:\WINDOWS\system32\jsc840e1.sys"
2006-08-03 22:01:48 61952 ( A.... ) "C:\WINDOWS\system32\jsc840e1.dll"
2006-08-03 17:25:40 ( .D... ) "C:\Programme\Enigma Software Group"
2006-08-03 15:32:44 ( .D... ) "C:\Programme\Cowabanga"
2006-08-03 15:30:20 14617 ( A.... ) "C:\WINDOWS\xload.exe"
2006-08-03 15:25:26 ( .D... ) "C:\Programme\Gemeinsame Dateien\imzw"
2006-08-03 15:25:18 29696 ( A.... ) "C:\WINDOWS\system32\w08b9b13.dll"
2006-08-03 15:25:02 2560 ( A.... ) "C:\ac3_0010.exe"
2006-08-03 15:24:46 ( .D... ) "C:\Programme\Network Monitor"
2006-08-03 15:24:08 32768 ( A.... ) "C:\WINDOWS\unstall.exe"
2006-07-21 18:55:38 127578 ( A.... ) "C:\WINDOWS\system32\tsuninst.exe"
--------------
2006-08-03 15:30 14.617 C:\WINDOWS\xload.exe
2006-08-03 15:28 61.952 C:\WINDOWS\system32\jsc840e1.dll
2006-08-03 15:28 1.167 C:\WINDOWS\system32\jsc840e1.sys
2006-08-03 15:25 29.696 C:\WINDOWS\system32\w08b9b13.dll
2006-08-03 15:25 2.560 C:\ac3_0010.exe
2006-08-03 15:25 127.578 C:\WINDOWS\system32\tsuninst.exe
2006-08-03 15:24 32.768 C:\WINDOWS\unstall.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32
06.08.2006 16:22 6.607 ban_list.txt
06.08.2006 16:21 18.624 senscygh.dat
06.08.2006 16:21 4.714 netuirf.dat
06.08.2006 16:21 595.593 mlanvsyg.dat
06.08.2006 16:21 0 atmtd.dll.tmp
06.08.2006 16:21 15.337 winlog.dll
04.08.2006 15:02 1.167 jsc840e1.sys
03.08.2006 22:01 61.952 jsc840e1.dll
03.08.2006 21:19 82 kbdsmsng.dat
03.08.2006 21:18 4.212 zllictbl.dat
03.08.2006 21:13 465 mhvcrt4k.dat
03.08.2006 21:09 24 dinpit.dat
03.08.2006 21:08 264 kbdkafz.dat
03.08.2006 16:09 2 stera.job
03.08.2006 15:25 29.696 w08b9b13.dll
21.07.2006 18:55 127.578 tsuninst.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\
03.08.2006 15:30 358.404 tsupdate_4_0_4_1_b3.exe
03.08.2006 15:30 16.384 ~DF5EE0.tmp
03.08.2006 15:30 95.696 SystemDoctor2006FreeInstall.exe
03.08.2006 15:30 14.617 xload.exe
03.08.2006 15:30 54.706 winfix.chm
03.08.2006 15:30 153.244 mta.chm
03.08.2006 15:30 39.858 mma.chm
03.08.2006 15:24 66 cfin
03.08.2006 15:24 45 cfout.txt
03.08.2006 15:23 16.384 ~DF261C.tmp
03.08.2006 15:22 32.820 mc-110-12-0000103.exe
03.08.2006 15:22 27.188 drsmartload180a.exe
03.08.2006 15:22 43.572 mmxsnet.exe
03.08.2006 15:22 31.284 pre.exe
Verzeichnis von C:\WINDOWS
03.08.2006 15:30 14.617 xload.exe
03.08.2006 15:29 0 newname.dat
03.08.2006 15:24 0 keyboard1.dat
03.08.2006 15:24 40 teller2.chk
03.08.2006 15:24 32.768 unstall.exe
03.08.2006 15:24 184 mm06y.ini
03.08.2006 15:23 79.816 amm06.ocx
Verzeichnis von C:\
03.08.2006 16:13 5.646 unaerror.log
03.08.2006 15:25 2.560 ac3_0010.exe
---------------------------------------------------------------
C:\WINDOWS\RmFubnkgV2Vp3w
C:\Programme\Network Monitor
C:\Programme\Cowabanga
C:\Programme\WinAntiVirus Pro 2006
C:\Programme\Common Files\Companion Wizard
C:\Programme\Gemeinsame Dateien\imzw
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\User\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\senscygh.dat
C:\WINDOWS\system32\netuirf.dat
C:\WINDOWS\system32\mlanvsyg.dat
C:\WINDOWS\system32\atmtd.dll.tmp
C:\WINDOWS\system32\jsc840e1.sys
C:\WINDOWS\system32\jsc840e1.dll
C:\WINDOWS\system32\kbdsmsng.dat
C:\WINDOWS\system32\mhvcrt4k.dat
C:\WINDOWS\system32\dinpit.dat
C:\WINDOWS\system32\kbdkafz.dat
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\w08b9b13.dll
C:\WINDOWS\system32\tsuninst.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\winlog.exe
C:\WINDOWS\system32\winlog.dll
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\unstall.exe
C:\WINDOWS\xload.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\mm06y.ini
C:\WINDOWS\amm06.ocx
C:\WINDOWS\tempf.txt
C:\WINDOWS\affbun.txt
C:\ac3_0010.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\92211E.dmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\GLM15.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\GLK14.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\GLC13.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tsupdate_4_0_4_1_b3.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\SystemDoctor2006FreeInstall.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\xload.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\winfix.chm
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\mta.chm
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\mma.chm
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\cfin
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\cfout.txt
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\~DF261C.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\mc-110-12-0000103.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\drsmartload180a.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\mmxsnet.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\pre.exe
C:\WINDOWS\RmFubnkgV2Vp3w\command.exe
C:\WINDOWS\RmFubnkgV2Vp3w\asappsrv.dll
C:\Programme\Network Monitor\netmon.exe
|
anderer PC
O4 - HKLM\..\Run: [oyzb0fc2] RUNDLL32.EXE w00164ef.dll,n 002b0fc00000000a00164ef
O4 - HKCU\..\Run: [DNS] C:\Programme\Gemeinsame Dateien\mc-110-12-0000228.exe
O4 - HKLM\..\Run: [nwvhuybn] C:\asdwycpk.bat
O20 - AppInit_DLLs: C:\WINNT\system32\dllhost.dll C:\WINNT\system32\wuauclt.dll
Verzeichnis von C:\WINNT\system32
08.08.2006 20:28 1.167 oyzb0fc2.sys
07.08.2006 10:54 61.952 oyzb0fc2.dll
07.08.2006 19:58 2 wnsapiit.exe
07.07.2006 14:19 81.920 dllhost.dll
29.06.2006 21:48 0 atmtd.dll.tmp
28.06.2006 00:41 7.406 Bingo.ico
anderer PC
Verzeichnis von C:\WINDOWS\system32
12.08.2006 18:46 236.192 guard.tmp
12.08.2006 18:43 236.192 ayrace.dll
12.08.2006 18:43 234.206 m6julg1916.dll
12.08.2006 17:41 236.192 i624lgfq162e.dll
03.08.2006 10:55 1.167 lbs81ae7.sys
03.08.2006 10:55 61.952 lbs81ae7.dll
Look2Me-Destroyer V1.0.5 anwenden
http://virus-protect.org/l2mfix.html
anderer PC
HijackThis
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [qnn025b3] RUNDLL32.EXE w08fbebb.dll,n 003025b00000000a08fbebb
O4 - HKCU\..\Run: [iowk] C:\Programme\Gemeinsame Dateien\iowk\iowkm.exe
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\aza6l1js1.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32
19.08.2006 15:15 12.408 tablet.dat
19.08.2006 15:15 235.307 __delete_on_reboot__k_o_d_k_y_r_._d_l_l_
19.08.2006 14:09 234.908 n0r2la9o1d.dll
19.08.2006 12:10 235.307 lvro0993e.dll
17.08.2006 00:00 1.167 aaa00000.sys
15.08.2006 09:02 1.167 qnn025b3.sys
15.08.2006 08:16 2 stera.job
15.08.2006 08:04 61.952 aaa00000.dll
14.08.2006 22:47 61.952 qnn025b3.dll
14.08.2006 22:46 32.768 setup.exe.tmp
14.08.2006 22:46 0 tracert.com
14.08.2006 22:46 0 cmd.com
14.08.2006 22:46 0 netstat.com
14.08.2006 22:46 0 ping.com
14.08.2006 22:46 0 taskkill.com
14.08.2006 22:46 0 tasklist.com
14.08.2006 22:46 0 regedit.com
10.08.2006 16:50 278.528 pncrt.dll
21.07.2006 18:55 127.578 tsuninst.exe
Verzeichnis von C:\WINDOWS
17.08.2006 00:00 0 1.dat
15.08.2006 08:00 0 keyboard1.dat
14.08.2006 22:47 0 newname.dat
Verzeichnis von C:\
16.08.2006 00:02 251.262 deskbar.exe
------------------------------------------------------------
Combofix
((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
[HKEY_CLASSES_ROOT\CLSID\{234BFF33-C48C-46A2-9B64-BF98865214E3}\InprocServer32]
@="C:\\WINDOWS\\system32\\dr32gt.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{C5D1C89D-8D42-4A3B-A7EB-49A48D90FFE6}\InprocServer32]
@="C:\\WINDOWS\\system32\\kodkyr.dll"
"ThreadingModel"="Apartment"
FILES REMOVED:
C:\WINDOWS\system32\lvro0993e.dll
C:\WINDOWS\system32\n0r2la9o1d.dll
((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sskknwrd.dll
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sskuknwrd.dll
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\tsuninst.exe
C:\deskbar.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Deskbar
C:\Programme\Inetget2
C:\Programme\outlook
C:\Programme\network monitor
C:\Programme\Gemeinsame Dateien\{CCC938B3-05DF-1031-0903-030407080031}
((((((((((((((((((((((((((((((( Files Created from 2006-07-19 to 2006-08-19 ))))))))))))))))))))))))))))))))))
2006-08-15 08:16 89,088 C:\WINDOWS\system32\atl71.dll
2006-08-15 08:16 8,704 C:\WINDOWS\system32\SpOrder.dll
2006-08-15 08:16 499,712 C:\WINDOWS\system32\msvcp71.dll
2006-08-15 08:16 1,060,864 C:\WINDOWS\system32\mfc71.dll
2006-08-15 08:04 61,952 C:\WINDOWS\system32\aaa00000.dll
2006-08-15 08:04 1,167 C:\WINDOWS\system32\aaa00000.sys
2006-08-14 22:47 61,952 C:\WINDOWS\system32\qnn025b3.dll
2006-08-14 22:47 1,167 C:\WINDOWS\system32\qnn025b3.sys
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-08-17 00:00 1167 --a------ C:\WINDOWS\system32\aaa00000.sys
2006-08-15 19:32 -------- d-------- C:\Programme\Gemeinsame Dateien\iowk
2006-08-15 09:02 1167 --a------ C:\WINDOWS\system32\qnn025b3.sys
2006-08-15 08:17 -------- d-------- C:\Programme\Common Files
2006-08-15 08:16 -------- d-------- C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
2006-08-15 08:16 -------- d-------- C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\WinAntiVirus Pro 2006
2006-08-15 08:04 61952 --a------ C:\WINDOWS\system32\aaa00000.dll
2006-08-14 22:47 61952 --a------ C:\WINDOWS\system32\qnn025b3.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qnn025b3"="RUNDLL32.EXE w08fbebb.dll,n 003025b00000000a08fbebb"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iowk"="C:\\Programme\\Gemeinsame Dateien\\iowk\\iowkm.exe"
anderer PC
HijackThis
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\System32\0106.exe
O4 - HKLM\..\Run: [01234567890123456789012345678901234567890123456
78901234567890123456789012345678901234567890123456789012345678901234567
89012345678901234567890123456789012345678901234567890123456789012
345678901234567890123456789012345678901234567
890123456789012345678912345678] C:\Programme\dr.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_12.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_12.exe
O4 - HKLM\..\Run: [gjk56367] RUNDLL32.EXE w0022197.dll,n 003563640000000a0022197
O4 - HKLM\..\Run: [newname] C:\\nwnmff_12.exe
O4 - HKCU\..\Run: [iffu] C:\PROGRA~1\GEMEIN~1\iffu\iffum.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\i2060cdsef060.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Tmlscw\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
--------------
datfindbat
C:\WINDOWS\dr.exe
C:\WINDOWS\user32.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\1.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\hosts
C:\WINDOWS\teller2.chk
C:\WINDOWS\system32\gjk56367.sys
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\kfdhela3.dll
C:\WINDOWS\system32\ktjul7191.dll
C:\WINDOWS\system32\cymodem.dll
C:\WINDOWS\system32\i2060cdsef060.dll
C:\WINDOWS\system32\gjk56367.dll
C:\WINDOWS\system32\lv4m09h1e.dll
C:\WINDOWS\system32\CfdbMusicIDSamsung.dll
C:\WINDOWS\system32\mlgina.dll
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\gskcsp.dll
C:\WINDOWS\system32\w0022197.dll
C:\WINDOWS\system32\l6l6lg3s16.dll
C:\WINDOWS\system32\nhrsfi.dll
C:\WINDOWS\system32\frameori1604.exe
C:\WINDOWS\system32\wupdtmngr.exe
C:\WINDOWS\system32\drsmartload261a.exe
C:\WINDOWS\system32\tsuninst.exe
C:\WINDOWS\system32\TFTP1876
C:\WINDOWS\system32\TFTP1552
C:\WINDOWS\system32\TFTP684
C:\WINDOWS\system32\TFTP800
C:\WINDOWS\system32\TFTP1784
C:\WINDOWS\system32\TFTP1852
C:\WINDOWS\system32\o
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\WINDOWS\Tmlscw\command.exe
C:\Programme\dr.exe
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
C:\Programme\Deskbar\deskbar.dll
--------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UCmore
HKEY_LOCAL_MACHINE\SOFTWARE\Effective-i
C:\Programme\TheSearchAccelerator
C:\Programme\TheSearchAccelerator\INSTALL.LOG
C:\Programme\TheSearchAccelerator\IUCmore.dll
C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
C:\Programme\TheSearchAccelerator\UNWISE.EXE
C:\Programme\TheSearchAccelerator\logo.ico
C:\Programme\TheSearchAccelerator\toolbar.cfg
Verzeichnis von C:\Programme
16.04.2006 22:42 9.096 dr.exe
18.04.2006 17:16 25.660 shell32.exe
16.04.2006 18:32 8.704 user32.exe
Look2Me-Destroyer
Look2Me-Destroyer V1.0.12
Infected! C:\WINDOWS\system32\h22olcf31f2.dll
Infected! C:\WINDOWS\system32\aytiveds.dll
Infected! C:\WINDOWS\system32\CfdbMusicIDSamsung.dll
Infected! C:\WINDOWS\system32\cymodem.dll
Infected! C:\WINDOWS\system32\gskcsp.dll
Infected! C:\WINDOWS\system32\h22olcf31f2.dll
Infected! C:\WINDOWS\system32\j62qlgf5162.dll
Infected! C:\WINDOWS\system32\l6l6lg3s16.dll
Infected! C:\WINDOWS\system32\lv4m09h1e.dll
Infected! C:\WINDOWS\system32\mlgina.dll
Infected! C:\WINDOWS\system32\nhrsfi.dll
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\drsmartload261a.exe
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\system32\tsuninst.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\w0022197.dll
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\TheSearchAccelerator
C:\WINDOWS\system32\w0022197.dll
C:\Programme\Deskbar
C:\Programme\network monitor
C:\WINDOWS\Tmlscw
((((((((((((((((((((((((((((((( Files Created from 2006-07-24 to 2006-08-24 ))))))))))))))))))))))))))))))))))
2006-08-21 20:01 61,952 --a------ C:\WINDOWS\system32\gjk56367.dll
2006-08-21 20:01 29,696 --a------ C:\WINDOWS\system32\w0022197.dll
2006-08-21 20:01 1,233 --a------ C:\WINDOWS\system32\gjk56367.sys
2006-08-21 19:54 6,197 --a------ C:\WINDOWS\system32\frameori1604.exe
2006-08-21 19:54 45,733 --a------ C:\WINDOWS\system32\wupdtmngr.exe
2006-08-15 16:06 69,632 --a------ C:\WINDOWS\system32\Gksui16.EXE
anderer PC
Verzeichnis von D:\WINDOWS\system32
22.08.2006 16:37 1.167 rztd65f9.sys
13.08.2006 13:04 3.082 affv208325p1now.sys
13.08.2006 12:54 3.082 affv9869p2now.sys
10.08.2006 18:38 114.688 wmatimer.dll
10.08.2006 15:51 147.456 vbzip10.dll
10.08.2006 15:49 2 cmd.com
10.08.2006 15:49 2 regedit.com
10.08.2006 15:49 2 tasklist.com
10.08.2006 15:49 2 tracert.com
10.08.2006 15:49 2 ping.com
10.08.2006 15:45 61.952 rztd65f9.dll
10.08.2006 15:45 29.696 w025d82b.dll_tobedeleted
10.08.2006 15:43 62.464 bszip.dll
09.08.2006 17:08 23.392 nscompat.tlb
09.08.2006 17:08 16.832 amcompat.tlb
anderer PC
http://virus-protect.org/artikel/tools/combofix.html
FILES REMOVED:
C:\WINDOWS\system32\dnjs0117e.dll
C:\WINDOWS\system32\hrrs0597e.dll
C:\WINDOWS\system32\svtupdll.dll
C:\WINDOWS\system32\wwasf.dll
C:\WINDOWS\system32\guard.tmp
Granting sedebugprivilege to Administratoren ... successful
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\teller2.chk
C:\warebundlenewer.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat
C:\deskbar.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\atmtd.dll.tmp
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\ToolBar888
C:\Programme\Deskbar
C:\Programme\network monitor
C:\Programme\Gemeinsame Dateien\{54A58EF0-06C1-1031-1219-041217040031}
C:\WINDOWS\UmVpbmFjaw
((((((((((((((((((((((((((((((( Files Created from 2006-07-25 to 2006-08-25 ))))))))))))))))))))))))))))))))))
2006-08-25 17:26 50,912 --a------ C:\WINDOWS\iconu.exe
2006-08-25 16:38 573,492 ---hs---- C:\WINDOWS\system32\ddcca.dll
2006-08-24 22:04 13,312 --a------ C:\WINDOWS\system32\eb6d5f56.exe
2006-08-24 21:50 40,973 ---hs---- C:\WINDOWS\system32\fcccddb.dll
2006-08-24 21:43 15,872 --a------ C:\WINDOWS\system32\winccf32.dll
Verzeichnis von C:\WINDOWS\system32
25.08.2006 20:52 1.171 accdd.ini
25.08.2006 20:50 17.548 nvapps.xml
25.08.2006 16:38 573.492 ddcca.dll
24.08.2006 22:04 13.312 eb6d5f56.exe
24.08.2006 21:50 40.973 fcccddb.dll
24.08.2006 21:43 15.872 winccf32.dll
Verzeichnis von C:\WINDOWS
25.08.2006 17:26 50.912 iconu.exe
------------------------------
wende Vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html
Avenger
http://virus-protect.org/artikel/tools/avenger.html
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcca
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccddb
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winccf32
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Files to delete:
C:\WINDOWS\TEMP\idd47.tmp.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\eb6d5f56.exe
C:\WINDOWS\system32\accdd.ini
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\eb6d5f56.exe
C:\WINDOWS\system32\fcccddb.dll
C:\WINDOWS\system32\winccf32.dll
C:\WINDOWS\iconu.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
|
HijackThis
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_13.exe
O4 - HKLM\..\Run: [eb6d5f56.exe] C:\WINDOWS\system32\eb6d5f56.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [eb6d5f56.exe] C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Anwendungsdaten\eb6d5f56.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
|
