Adware
|
Adware.IEHelperFehlermeldung: Fehler beim Laden von ...dll
HijackThis
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe O4 - HKLM\..\Run: [defender] C:\\dfndrb_3.exe O4 - HKLM\..\Run: [keyboard] C:\\kybrdb_3.exe O4 - HKLM\..\Run: [newname] C:\\nwnmb_3.exe O4 - HKLM\..\Run: [ofw8bbab] RUNDLL32.EXE w003b3c1.dll,n 0018bbaa0000000a003b3c1 O4 - HKLM\..\Run: [Win32] msnsrv.exe O4 - HKLM\..\Run: [Yahoo Load] msnchecker.exe O4 - HKLM\..\RunServices: [Win32] msnsrv.exe O4 - HKLM\..\RunServices: [Yahoo Load] msnchecker.exe O4 - HKCU\..\Run: [Lnbu] "C:\PROGRA~1\COMMON~1\APPATC~1\netdde.exe" -vt yazr O4 - HKCU\..\Run: [Sdnhe] C:\WINDOWS\system32\?racle\n?pdb.exe O4 - HKCU\..\Run: [Win32] msnsrv.exe O4 - HKCU\..\Run: [Service] svchost32.exe O4 - HKCU\..\Run: [Yahoo Load] msnchecker.exe O4 - HKCU\..\RunServices: [Yahoo Load] msnchecker.exe O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe -> Link: lsass O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe O23 - Service: Windows Kernel Services - Unknown owner - C:\WINDOWS\winlogon.exe
Combofix
((((((((((((((((((((( Look2Me's Log ))))))))))))))) HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhhg HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkjgd REGISTRY ENTRIES REMOVED: [HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}] @="" "IDEx"="ADDR" [HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\clsid\{82D5C528-4E5A-4BB1-B74B-E458C002FFEB}\InprocServer32] @="C:\\WINDOWS\\system32\\irnathlp.dll" "ThreadingModel"="Apartment" ------------------------------------ 2006-07-31 20:35:02 61440 ( A.... ) "C:\WINDOWS\system32\ofw8bbab.dll 2006-07-31 20:35:02 1064 ( A.... ) "C:\WINDOWS\system32\ofw8bbab.sys 2006-07-31 20:35:02 1064 ( A.... ) "C:\WINDOWS\system32\ofw8bbab.sys 2006-07-30 17:57:34 151112 ( A.... ) "C:\WINDOWS\system32\mc-110-12-0000107.exe 2006-07-30 17:23:56 38925 ( ..SH. ) "C:\WINDOWS\system32\jkkjgfd.dll 2006-07-27 17:18:54 62091 ( ..SHR ) "C:\WINDOWS\winlogon.exe 2006-07-16 21:06:38 289792 ( ..SHR ) "C:\WINDOWS\system32\msnchecker.exe 2006-07-10 12:44:22 ( .D... ) "C:\Programme\Gemeinsame Dateien\{8885D6CE-0BC6-1040-0924-030924030027} 2006-07-09 19:06:38 39437 ( ..... ) "C:\WINDOWS\system32\nnnkjgd.dll 2006-07-09 15:21:04 94208 ( A...R ) "C:\WINDOWS\system32\msnsrv.exe 2006-07-06 17:51:18 ( .D... ) "C:\Programme\ipwins 2006-07-06 17:46:46 ( .D... ) "C:\Programme\InetGet2 2006-07-06 17:44:36 2 ( A.... ) "C:\WINDOWS\system32\wnsapisv.exe 2006-06-30 20:22:48 962560 ( ..SHR ) "C:\WINDOWS\lsass.exe 2006-06-30 17:48:20 569396 ( ..... ) "C:\WINDOWS\system32\jkhhg.dll 2006-06-30 17:48:14 ( .D... ) "C:\Programme\Gemeinsame Dateien\rukq 2006-06-29 19:45:18 29696 ( ..... ) "C:\WINDOWS\system32\w003b3c1.dll 2006-06-29 19:44:12 ( .D... ) "C:\Programme\Windows 2006-06-29 19:44:12 ( .D... ) "C:\Programme\Gemeinsame Dateien\InetGet 2006-07-31 20:35 61.440 C:\WINDOWS\system32\ofw8bbab.dll 2006-07-31 20:35 1.064 C:\WINDOWS\system32\ofw8bbab.sys 2006-07-30 17:23 38.925 C:\WINDOWS\system32\jkkjgfd.dll 2006-07-29 20:24 151.112 C:\WINDOWS\system32\mc-110-12-0000107.exe 2006-07-16 21:06 289.792 C:\WINDOWS\system32\msnchecker.exe 2006-07-14 22:33 62.091 C:\WINDOWS\winlogon.exe 2006-07-09 19:06 39.437 C:\WINDOWS\system32\nnnkjgd.dll
Vundofix
2006-07-09 15:20 94.208 C:\WINDOWS\system32\msnsrv.exe 2006-06-30 20:22 962.560 C:\WINDOWS\lsass.exe -> Link: lsass 2006-06-30 17:48 569.396 C:\WINDOWS\system32\jkhhg.dll 2006-06-29 19:45 29.696 C:\WINDOWS\system32\w003b3c1.dll 2006-06-29 19:45 2 C:\WINDOWS\system32\wnsapisv.exe
Löschen:
C:\Programme\ipwins
C:\Programme\InetGet2
C:\Programme\Windows
C:\Programme\Gemeinsame Dateien\rukq
C:\WINDOWS\update\updmangr.exe
C:\Programme\Gemeinsame Dateien\{8885D6CE-0BC6-1040-0924-030924030027}
C:\\WINDOWS\system32\irnathlp.dll
C:\WINDOWS\system32\drsmartload292a.exe
C:\WINDOWS\system32\wnsapisv.exe
C:\WINDOWS\system32\w003b3c1.dll
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\nnnkjgd.dll
C:\WINDOWS\system32\msnchecker.exe
C:\WINDOWS\system32\mc-110-12-0000107.exe
C:\WINDOWS\system32\ofw8bbab.dll
C:\WINDOWS\system32\ofw8bbab.sys
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\lsass.exe
C:\WINDOWS\winlogon.exe
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHA70DE7\drsmartload396a[1].exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WD6B456R\drsmartload292a[1].exe
Purityscan
C:\Programme 20/07/2006 21.33 -DIR- ipwins 06/07/2006 18.15 -DIR- InetGet2 30/07/2006 14.11 -DIR- Common Files C:\PROGRA~1\COMMON~1\APPATC~1\netdde.exe C:\WINDOWS\system32\?racle\n?pdb.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Microsoft (R) Windows Update Manager Tool"="C:\\WINDOWS\\update\\updmangr.exe" "ofw8bbab"="RUNDLL32.EXE w003b3c1.dll,n 0018bbaa0000000a003b3c1" "Win32"="msnsrv.exe" "Yahoo Load"="msnchecker.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Lnbu"="\"C:\\PROGRA~1\\COMMON~1\\APPATC~1\\netdde.exe\" -vt yazr" "Sdnhe"="C:\\WINDOWS\\system32\\?racle\\n?pdb.exe" "Win32"="msnsrv.exe" "Service"="svchost32.exe" "Yahoo Load"="msnchecker.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] "Win32"="msnsrv.exe" "Yahoo Load"="msnchecker.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices] "Yahoo Load"="msnchecker.exe" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "Win32"="msnsrv.exe" "Yahoo Load"="msnchecker.exe" [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices] "Yahoo Load"="msnchecker.exe" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "Win32"="msnsrv.exe" "Yahoo Load"="msnchecker.exe" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices] "Yahoo Load"="msnchecker.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] "{8885D6CE-0BC6-1040-0924-030924030027}"="\"C:\\Programme\\Gemeinsame Dateien\\{8885D6CE-0BC6-1040-0924-030924030027}\\Update.exe\" mc-110-12-0000182" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhhg HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkjgd
anderer PC
HijackThis
O2 - BHO: (no name) - {39E462CE-A877-F8AF-0A90-FB4A3DDDF4CB} - C:\WINDOWS\System32\wazxfs.dll O4 - HKLM\..\Run: [xjkbc836] RUNDLL32.EXE w00191ac.dll,n 001bc8350000000a00191ac O4 - HKCU\..\Run: [Rmcs] "C:\PROGRA~1\YMBOLS~1\dexplore.exe" -vt yazb O4 - HKCU\..\Run: [Njuzb] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\??crosoft\r?ndll 32.exe
datfindbat
Verzeichnis von C:\ 14.07.2006 20:45 418.445 Mendoza1.exe -> Dropper/Dldr.MSIL.Agent.A / Adware.MediaTicket 14.07.2006 20:44 2.560 ac3_0010.exe -> Trojan/Dldr.Small.BCB.1 14.07.2006 20:44 81.920 dfndrad_5.exe -> Trojan/Click.VB.NH.4 / Adware DollarRevenue Verzeichnis von C:\WINDOWS 14.07.2006 20:45 0 keyboard1.dat 13.07.2006 10:41 42 drsmartload2.dat 13.07.2006 10:37 0 newname.dat 13.07.2006 10:37 40 teller2.chk Verzeichnis von C:\WINDOWS\system32 16.07.2006 11:43 1.063 xjkbc836.sys 14.07.2006 20:45 1.063 aaa00000.sys 14.07.2006 20:45 61.440 aaa00000.dll -> Trojan/Agent.RL.1 / Adware.IEHelper 14.07.2006 20:45 29.696 w0028e8a.dll -> Trojan/Dldr.YM 14.07.2006 20:44 234.336 guard.tmp 13.07.2006 22:21 2 wnstssv.exe 13.07.2006 22:21 81.920 ntvdm.dll 13.07.2006 10:40 81.920 cmd.dll -> Adware-Spyware/PurityScan 13.07.2006 10:37 61.440 xjkbc836.dll -> Trojan/Agent.RL.1 / Adware.IEHelper 13.07.2006 10:37 29.696 w00191ac.dll -> Trojan/Dldr.YM / Trojan.DownLoader.10919 28.06.2006 17:08 139.264 wazxfs.dll -> Adware-Spyware/PurityScan.AK.101 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EYS0E94D\click,fAIAANqYAADKsgEA2KcAAAAADAA C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EYS0E94D\rmtag3[2].js C:\Dokumente und Einstellungen\Administrator\Recent\aa.lnk 16.07.2006 13:49 666 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\aa2.lnk 16.07.2006 13:52 575 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\ac.lnk 16.07.2006 13:23 570 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\bmx.lnk 16.07.2006 13:42 575 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\bszip.lnk 16.07.2006 13:35 683 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\df.lnk 16.07.2006 13:26 570 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\f-look2me (2).lnk 16.07.2006 13:02 928 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Administrator\Recent\mendoza.lnk 16.07.2006 13:21 599 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\rapport.lnk 16.07.2006 12:29 599 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Administrator\Recent\rapport2.lnk 16.07.2006 12:35 606 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Administrator\Recent\settings.lnk 16.07.2006 13:46 606 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\w00.lnk 16.07.2006 13:54 575 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Administrator\Recent\xjbc.lnk 16.07.2006 13:31 582 bytes Hidden from Windows API. C:\WINDOWS\Temp\tmp000078e7\tmp00000000 C:\WINDOWS\Temp\tmp00007d0c\tmp00000000
Datei: ac3_0010.exe
Norman Virus Control Sandbox: W32/Downloader; [ General information ] * File length: 2560 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM32\w00124E5.dll. [ Network services ] * Downloads file from http://www.numb-soft.com/data/al3 as C:\WINDOWS\SYSTEM32\w00124E5.dll. [ Security issues ] * Starting downloaded file - potential security problem. [ Process/window information ] * Attemps to Open RUNDLL32.EXE w00124E5.dll,n 000000000000000A00124E5. gefunden anderer PC (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))) 2006-08-02 00:01:16 ( A.... ) "C:\Dokumente und Einstellungen\%Username%\ Anwendungsdaten\Install.dat" 2006-08-02 00:00:54 1024 ( A.... ) "C:\cmeimbhj.exe" 2006-08-02 00:00:44 1232 ( A.... ) "C:\WINDOWS\system32\TheMatrixHasYou.exe" 2006-08-02 00:00:38 65654 ( A.... ) "C:\WINDOWS\system32\NvVid.exe" 2006-08-02 00:00:38 1472 ( A.... ) "C:\WINDOWS\system32\NvVid.sys" 2006-08-02 00:00:38 1472 ( A.... ) "C:\WINDOWS\system32\NvVid.sys" 2006-08-02 00:00:20 14720 ( A.... ) "C:\WINDOWS\system32\updwebmin.exe" 2006-08-01 23:59:46 1024 ( A.... ) "C:\bupjd.exe" 2006-08-01 23:59:14 32768 ( A.... ) "C:\winstall.exe" 2006-08-01 23:59:14 32768 ( A.... ) "C:\fjbncnqi.exe" ((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))) 2006-08-02 00:10 42.130 C:\WINDOWS\system32\qo.dll - Bck/Haxdoor.LR 2006-08-02 00:10 20.832 C:\WINDOWS\system32\qo.sys - Bck/Haxdoor.LR 2006-08-02 00:10 20.832 C:\WINDOWS\system32\drtw3a.sys + Virus:Bck/Haxdoor.LR C:\WINDOWS\system32\drtw3a.dll (war nicht sichtbar, wurde von Panda gefunden) 2006-08-02 00:00 65.654 C:\WINDOWS\system32\NvVid.exe 2006-08-02 00:00 65.654 C:\WINDOWS\.exe 2006-08-02 00:00 14.720 C:\WINDOWS\system32\updwebmin.exe - Trj/Jupillites.G 2006-08-02 00:00 1.472 C:\WINDOWS\system32\NvVid.sys 2006-08-02 00:00 1.232 C:\WINDOWS\system32\TheMatrixHasYou.exe - Trj/Jupillites.G 2006-08-02 00:00 1.024 C:\cmeimbhj.exe - Application/KillApp.A 2006-08-01 23:59 32.768 C:\winstall.exe - Adware/SpySheriff 2006-08-01 23:59 32.768 C:\fjbncnqi.exe - Adware/SpySheriff 2006-08-01 23:59 1.024 C:\bupjd.exe - Application/KillApp.A Verzeichnis von C:\WINDOWS 02.08.2006 00:00 65.654 .exe Verzeichnis von C:\ 02.08.2006 00:00 1.024 cmeimbhj.exe 02.08.2006 00:00 3.056 secure32.html 01.08.2006 23:59 1.024 bupjd.exe 01.08.2006 23:59 32.768 winstall.exe 01.08.2006 23:59 32.768 fjbncnqi.exe 01.08.2006 23:58 0 uniq Verzeichnis von C:\WINDOWS\system32 02.08.2006 00:10 320 lps.dat 02.08.2006 00:10 0 kgctini.dat 02.08.2006 00:00 1.232 TheMatrixHasYou.exe 02.08.2006 00:00 1.472 NvVid.sys 02.08.2006 00:00 65.654 NvVid.exe 02.08.2006 00:00 0 winrknj 02.08.2006 00:00 14.720 updwebmin.exe Verzeichnis von C:\Program Files 02.08.2006 00:00 3.056 secure32.html 02.08.2006 00:01 -DIR- SpySheriff C:\Program Files\SpySheriff\base.avd C:\Program Files\SpySheriff\base001.avd C:\Program Files\SpySheriff\base002.avd C:\Program Files\SpySheriff\found.wav C:\Program Files\SpySheriff\heur000.dll C:\Program Files\SpySheriff\heur001.dll C:\Program Files\SpySheriff\heur002.dll C:\Program Files\SpySheriff\heur003.dll C:\Program Files\SpySheriff\notfound.wav C:\Program Files\SpySheriff\removed.wav C:\Program Files\SpySheriff\SpySheriff.dvm C:\Program Files\SpySheriff\SpySheriff.exe C:\Program Files\SpySheriff\Uninstall.exe C:\Program Files\secure32.html C:\Dokumente und Einstellungen\User\Anwendungsdaten\Install.dat Verzeichnis von C:\WINDOWS\system32 19.07.2006 01:14 520.192 DivXsm.exe 19.07.2006 01:14 4.276 divxsm.tlb 19.07.2006 01:13 3.596.288 qt-dx331.dll 19.07.2006 01:13 108.544 pxcpyi64.exe 19.07.2006 01:13 109.568 pxinsi64.exe 19.07.2006 01:13 1.044.480 libdivx.dll 19.07.2006 01:13 200.704 ssldivx.dll 19.07.2006 01:09 53.248 dpuGUI10.dll 19.07.2006 01:09 90.112 dpl100.dll 2006-07-19 01:14:02 520192 ( A.... ) "C:\WINDOWS\system32\DivXsm.exe" 2006-07-19 01:14:00 3596288 ( A.... ) "C:\WINDOWS\system32\qt-dx331.dll" 2006-07-19 01:13:56 108544 ( ..... ) "C:\WINDOWS\system32\pxcpyi64.exe" 2006-07-19 01:13:54 109568 ( ..... ) "C:\WINDOWS\system32\pxinsi64.exe" 2006-07-19 01:13:52 ( A.... ) "C:\WINDOWS\system32\libdivx.dll" 2006-07-19 01:13:52 200704 ( A.... ) "C:\WINDOWS\system32\ssldivx.dll" 2006-07-19 01:09:32 593920 ( A.... ) "C:\WINDOWS\system32\dpuGUI11.dll" 2006-07-19 01:09:32 344064 ( A.... ) "C:\WINDOWS\system32\dpus11.dll" 2006-07-19 01:09:32 294912 ( A.... ) "C:\WINDOWS\system32\dpu11.dll" 2006-07-19 01:09:32 294912 ( A.... ) "C:\WINDOWS\system32\dpu10.dll" 2006-07-19 01:09:32 200704 ( A.... ) "C:\WINDOWS\system32\dtu100.dll" 2006-07-19 01:09:32 90112 ( A.... ) "C:\WINDOWS\system32\dpl100.dll" 2006-07-19 01:09:32 57344 ( A.... ) "C:\WINDOWS\system32\dpv11.dll" 2006-07-19 01:09:32 53248 ( A.... ) "C:\WINDOWS\system32\dpuGUI10.dll" 2006-07-19 01:09:30 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx07.dll" 2006-07-19 01:09:28 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx0c.dll" 2006-07-19 01:09:28 761856 ( A.... ) "C:\WINDOWS\system32\divx_xx11.dll" 2006-07-19 01:09:28 620180 ( A.... ) "C:\WINDOWS\system32\DivX.dll" 2006-07-19 01:09:06 118784 ( A.... ) "C:\WINDOWS\system32\DivXCodecUpdateChecker.exe" 2006-07-19 01:09:06 12288 ( A.... ) "C:\WINDOWS\system32\DivXWMPExtType.dll"
Avenger (Beispiel)
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit
'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NvVideoCenter] ; Contents of value: ; \??\c:\windows\system32\nvvid.sys anderer PC
HijackThis
O4 - HKLM\..\Run: [bmg78389] RUNDLL32.EXE w001b07e.dll,n 002783870000000a001b07e Verzeichnis von D:\WINDOWS\system32 02.08.2006 16:09 1.167 bmg78389.sys 02.08.2006 16:05 61.952 bmg78389.dll ->> (McAfee) Downloader-AXF 02.08.2006 16:01 137.410 mc-110-12-0000137.exe ->> Adware.Toolbar888.A 02.08.2006 16:01 32.768 setup.exe.tmp 02.08.2006 16:01 147.456 vbzip10.dll Verzeichnis von D:\WINDOWS 10.07.2006 22:50 7.695 ktd32.atm D:\Programme\Gemeinsame Dateien\mfzu\mfzup.exe D:\Programme\Gemeinsame Dateien\mfzu\mfzul.exe D:\WINDOWS\Setup.exe
Look2Me-Destroyer
Scanning for infected files..... Infected! D:\WINDOWS\system32\uyrv42a.dll anderer PC 2006-08-03 10:46:50 1167 ( A.... ) "C:\WINDOWS\system32\zvp80d3f.sys" 2006-08-03 10:46:50 1167 ( A.... ) "C:\WINDOWS\system32\zvp80d3f.sys" 2006-08-03 08:50:22 61952 ( A.... ) "C:\WINDOWS\system32\zvp80d3f.dll" 2006-07-21 18:55:38 127578 ( A.... ) "C:\WINDOWS\system32\tsuninst.exe" Verzeichnis von C:\WINDOWS\system32 03.08.2006 16:36 236.057 n8l8li3u18.dll 03.08.2006 10:46 1.167 zvp80d3f.sys 03.08.2006 08:50 61.952 zvp80d3f.dll 21.07.2006 18:55 127.578 tsuninst.exe anderer PC
HijackThis
O4 - HKLM\..\Run: [rjx68c31] RUNDLL32.EXE w0943c5d.dll,n 00268c2f0000000a0943c5d [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "rjx68c31"="RUNDLL32.EXE w0943c5d.dll,n 00268c2f0000000a0943c5d"
Combofix
(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))) 2006-08-01 12:17 687.592 C:\WINDOWS\system32\atmtd.dll 2006-08-01 12:17 127.578 C:\WINDOWS\system32\tsuninst.exe 2006-08-01 12:17 1.064 C:\WINDOWS\system32\rjx68c31.sys 2006-08-01 12:17:46 1064 ( A.... ) "C:\WINDOWS\system32\rjx68c31.sys" 2006-08-01 12:17:46 1064 ( A.... ) "C:\WINDOWS\system32\rjx68c31.sys" 2006-08-01 12:17:26 687592 ( A.... ) "C:\WINDOWS\system32\atmtd.dll" 2006-08-01 12:16:36 ( .D... ) "C:\Programme\Gemeinsame Dateien\{F8459504-0BB7-1031-1007-050922050031}" 2006-07-21 18:55:38 127578 ( A.... ) "C:\WINDOWS\system32\tsuninst.exe" Verzeichnis von C:\WINDOWS\system32 01.08.2006 12:17 1.064 rjx68c31.sys 01.08.2006 12:17 687.592 atmtd.dll 01.08.2006 12:17 687.592 atmtd.dll._ 21.07.2006 18:55 127.578 tsuninst.exe Verzeichnis von C:\WINDOWS 01.08.2006 12:17 40 teller2.chk anderer PC
Combofix
2006-08-06 16:21:04 15337 ( A.... ) "C:\WINDOWS\system32\winlog.dll" 2006-08-04 18:29:26 ( .D... ) "C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\WinAntiVirus Pro 2006" 2006-08-04 18:29:08 ( .D... ) "C:\Programme\WinAntiVirus Pro 2006" 2006-08-04 18:29:08 ( .D... ) "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006" 2006-08-04 15:02:12 1167 ( A.... ) "C:\WINDOWS\system32\jsc840e1.sys" 2006-08-04 15:02:12 1167 ( A.... ) "C:\WINDOWS\system32\jsc840e1.sys" 2006-08-03 22:01:48 61952 ( A.... ) "C:\WINDOWS\system32\jsc840e1.dll" 2006-08-03 17:25:40 ( .D... ) "C:\Programme\Enigma Software Group" 2006-08-03 15:32:44 ( .D... ) "C:\Programme\Cowabanga" 2006-08-03 15:30:20 14617 ( A.... ) "C:\WINDOWS\xload.exe" 2006-08-03 15:25:26 ( .D... ) "C:\Programme\Gemeinsame Dateien\imzw" 2006-08-03 15:25:18 29696 ( A.... ) "C:\WINDOWS\system32\w08b9b13.dll" 2006-08-03 15:25:02 2560 ( A.... ) "C:\ac3_0010.exe" 2006-08-03 15:24:46 ( .D... ) "C:\Programme\Network Monitor" 2006-08-03 15:24:08 32768 ( A.... ) "C:\WINDOWS\unstall.exe" 2006-07-21 18:55:38 127578 ( A.... ) "C:\WINDOWS\system32\tsuninst.exe" 2006-08-03 15:30 14.617 C:\WINDOWS\xload.exe 2006-08-03 15:28 61.952 C:\WINDOWS\system32\jsc840e1.dll 2006-08-03 15:28 1.167 C:\WINDOWS\system32\jsc840e1.sys 2006-08-03 15:25 29.696 C:\WINDOWS\system32\w08b9b13.dll 2006-08-03 15:25 2.560 C:\ac3_0010.exe 2006-08-03 15:25 127.578 C:\WINDOWS\system32\tsuninst.exe 2006-08-03 15:24 32.768 C:\WINDOWS\unstall.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 06.08.2006 16:22 6.607 ban_list.txt 06.08.2006 16:21 18.624 senscygh.dat 06.08.2006 16:21 4.714 netuirf.dat 06.08.2006 16:21 595.593 mlanvsyg.dat 06.08.2006 16:21 0 atmtd.dll.tmp 06.08.2006 16:21 15.337 winlog.dll 04.08.2006 15:02 1.167 jsc840e1.sys 03.08.2006 22:01 61.952 jsc840e1.dll 03.08.2006 21:19 82 kbdsmsng.dat 03.08.2006 21:18 4.212 zllictbl.dat 03.08.2006 21:13 465 mhvcrt4k.dat 03.08.2006 21:09 24 dinpit.dat 03.08.2006 21:08 264 kbdkafz.dat 03.08.2006 16:09 2 stera.job 03.08.2006 15:25 29.696 w08b9b13.dll 21.07.2006 18:55 127.578 tsuninst.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\ 03.08.2006 15:30 358.404 tsupdate_4_0_4_1_b3.exe 03.08.2006 15:30 16.384 ~DF5EE0.tmp 03.08.2006 15:30 95.696 SystemDoctor2006FreeInstall.exe 03.08.2006 15:30 14.617 xload.exe 03.08.2006 15:30 54.706 winfix.chm 03.08.2006 15:30 153.244 mta.chm 03.08.2006 15:30 39.858 mma.chm 03.08.2006 15:24 66 cfin 03.08.2006 15:24 45 cfout.txt 03.08.2006 15:23 16.384 ~DF261C.tmp 03.08.2006 15:22 32.820 mc-110-12-0000103.exe 03.08.2006 15:22 27.188 drsmartload180a.exe 03.08.2006 15:22 43.572 mmxsnet.exe 03.08.2006 15:22 31.284 pre.exe Verzeichnis von C:\WINDOWS 03.08.2006 15:30 14.617 xload.exe 03.08.2006 15:29 0 newname.dat 03.08.2006 15:24 0 keyboard1.dat 03.08.2006 15:24 40 teller2.chk 03.08.2006 15:24 32.768 unstall.exe 03.08.2006 15:24 184 mm06y.ini 03.08.2006 15:23 79.816 amm06.ocx Verzeichnis von C:\ 03.08.2006 16:13 5.646 unaerror.log 03.08.2006 15:25 2.560 ac3_0010.exe --------------------------------------------------------------- C:\WINDOWS\RmFubnkgV2Vp3w C:\Programme\Network Monitor C:\Programme\Cowabanga C:\Programme\WinAntiVirus Pro 2006 C:\Programme\Common Files\Companion Wizard C:\Programme\Gemeinsame Dateien\imzw C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 C:\Dokumente und Einstellungen\User\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
anderer PC
HijackThis
O4 - HKLM\..\Run: [oyzb0fc2] RUNDLL32.EXE w00164ef.dll,n 002b0fc00000000a00164ef O4 - HKCU\..\Run: [DNS] C:\Programme\Gemeinsame Dateien\mc-110-12-0000228.exe O4 - HKLM\..\Run: [nwvhuybn] C:\asdwycpk.bat O20 - AppInit_DLLs: C:\WINNT\system32\dllhost.dll C:\WINNT\system32\wuauclt.dll Verzeichnis von C:\WINNT\system32 08.08.2006 20:28 1.167 oyzb0fc2.sys 07.08.2006 10:54 61.952 oyzb0fc2.dll 07.08.2006 19:58 2 wnsapiit.exe 07.07.2006 14:19 81.920 dllhost.dll 29.06.2006 21:48 0 atmtd.dll.tmp 28.06.2006 00:41 7.406 Bingo.ico anderer PC Verzeichnis von C:\WINDOWS\system32 12.08.2006 18:46 236.192 guard.tmp 12.08.2006 18:43 236.192 ayrace.dll 12.08.2006 18:43 234.206 m6julg1916.dll 12.08.2006 17:41 236.192 i624lgfq162e.dll 03.08.2006 10:55 1.167 lbs81ae7.sys 03.08.2006 10:55 61.952 lbs81ae7.dll anderer PC
HijackThis
O4 - HKLM\..\Run: [winlog] winlog.exe O4 - HKLM\..\Run: [qnn025b3] RUNDLL32.EXE w08fbebb.dll,n 003025b00000000a08fbebb O4 - HKCU\..\Run: [iowk] C:\Programme\Gemeinsame Dateien\iowk\iowkm.exe O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\aza6l1js1.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 19.08.2006 15:15 12.408 tablet.dat 19.08.2006 15:15 235.307 __delete_on_reboot__k_o_d_k_y_r_._d_l_l_ 19.08.2006 14:09 234.908 n0r2la9o1d.dll 19.08.2006 12:10 235.307 lvro0993e.dll 17.08.2006 00:00 1.167 aaa00000.sys 15.08.2006 09:02 1.167 qnn025b3.sys 15.08.2006 08:16 2 stera.job 15.08.2006 08:04 61.952 aaa00000.dll 14.08.2006 22:47 61.952 qnn025b3.dll 14.08.2006 22:46 32.768 setup.exe.tmp 14.08.2006 22:46 0 tracert.com 14.08.2006 22:46 0 cmd.com 14.08.2006 22:46 0 netstat.com 14.08.2006 22:46 0 ping.com 14.08.2006 22:46 0 taskkill.com 14.08.2006 22:46 0 tasklist.com 14.08.2006 22:46 0 regedit.com 10.08.2006 16:50 278.528 pncrt.dll 21.07.2006 18:55 127.578 tsuninst.exe Verzeichnis von C:\WINDOWS 17.08.2006 00:00 0 1.dat 15.08.2006 08:00 0 keyboard1.dat 14.08.2006 22:47 0 newname.dat Verzeichnis von C:\ 16.08.2006 00:02 251.262 deskbar.exe
Combofix
((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log )))))))))) [HKEY_CLASSES_ROOT\CLSID\{234BFF33-C48C-46A2-9B64-BF98865214E3}\InprocServer32] @="C:\\WINDOWS\\system32\\dr32gt.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{C5D1C89D-8D42-4A3B-A7EB-49A48D90FFE6}\InprocServer32] @="C:\\WINDOWS\\system32\\kodkyr.dll" "ThreadingModel"="Apartment" FILES REMOVED: C:\WINDOWS\system32\lvro0993e.dll C:\WINDOWS\system32\n0r2la9o1d.dll ((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sskknwrd.dll C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sskuknwrd.dll (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\keyboard1.dat C:\WINDOWS\newname.dat C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\setup.exe.tmp C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\tsuninst.exe C:\deskbar.exe C:\WINDOWS\uninstall_nmon.vbs C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon C:\Programme\Deskbar C:\Programme\Inetget2 C:\Programme\outlook C:\Programme\network monitor C:\Programme\Gemeinsame Dateien\{CCC938B3-05DF-1031-0903-030407080031} ((((((((((((((((((((((((((((((( Files Created from 2006-07-19 to 2006-08-19 ))))))) 2006-08-15 08:16 89,088 C:\WINDOWS\system32\atl71.dll 2006-08-15 08:16 8,704 C:\WINDOWS\system32\SpOrder.dll 2006-08-15 08:16 499,712 C:\WINDOWS\system32\msvcp71.dll 2006-08-15 08:16 1,060,864 C:\WINDOWS\system32\mfc71.dll 2006-08-15 08:04 61,952 C:\WINDOWS\system32\aaa00000.dll 2006-08-15 08:04 1,167 C:\WINDOWS\system32\aaa00000.sys 2006-08-14 22:47 61,952 C:\WINDOWS\system32\qnn025b3.dll 2006-08-14 22:47 1,167 C:\WINDOWS\system32\qnn025b3.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-17 00:00 1167 --a------ C:\WINDOWS\system32\aaa00000.sys 2006-08-15 19:32 -------- d-------- C:\Programme\Gemeinsame Dateien\iowk 2006-08-15 09:02 1167 --a------ C:\WINDOWS\system32\qnn025b3.sys 2006-08-15 08:17 -------- d-------- C:\Programme\Common Files 2006-08-15 08:16 -------- d-------- C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 2006-08-15 08:16 -------- d-------- C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\WinAntiVirus Pro 2006 2006-08-15 08:04 61952 --a------ C:\WINDOWS\system32\aaa00000.dll 2006-08-14 22:47 61952 --a------ C:\WINDOWS\system32\qnn025b3.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "qnn025b3"="RUNDLL32.EXE w08fbebb.dll,n 003025b00000000a08fbebb" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "iowk"="C:\\Programme\\Gemeinsame Dateien\\iowk\\iowkm.exe" anderer PC
HijackThis
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\System32\0106.exe O4 - HKLM\..\Run: [01234567890123456789012345678901234567890123456 78901234567890123456789012345678901234567890123456789012345678901234567 89012345678901234567890123456789012345678901234567890123456789012 345678901234567890123456789012345678901234567 890123456789012345678912345678] C:\Programme\dr.exe O4 - HKLM\..\Run: [defender] C:\\dfndrff_12.exe O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_12.exe O4 - HKLM\..\Run: [gjk56367] RUNDLL32.EXE w0022197.dll,n 003563640000000a0022197 O4 - HKLM\..\Run: [newname] C:\\nwnmff_12.exe O4 - HKCU\..\Run: [iffu] C:\PROGRA~1\GEMEIN~1\iffu\iffum.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\PartyPoker\RunApp.exe O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\i2060cdsef060.dll O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Tmlscw\command.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
datfindbat
C:\WINDOWS\dr.exe C:\WINDOWS\user32.exe C:\WINDOWS\keyboard1.dat C:\WINDOWS\1.dat C:\WINDOWS\drsmartload2.dat C:\WINDOWS\newname.dat C:\WINDOWS\hosts C:\WINDOWS\teller2.chk C:\WINDOWS\system32\gjk56367.sys C:\WINDOWS\system32\nvapps.xml C:\WINDOWS\system32\kfdhela3.dll C:\WINDOWS\system32\ktjul7191.dll C:\WINDOWS\system32\cymodem.dll C:\WINDOWS\system32\i2060cdsef060.dll C:\WINDOWS\system32\gjk56367.dll C:\WINDOWS\system32\lv4m09h1e.dll C:\WINDOWS\system32\CfdbMusicIDSamsung.dll C:\WINDOWS\system32\mlgina.dll C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\atmtd.dll._ C:\WINDOWS\system32\gskcsp.dll C:\WINDOWS\system32\w0022197.dll C:\WINDOWS\system32\l6l6lg3s16.dll C:\WINDOWS\system32\nhrsfi.dll C:\WINDOWS\system32\frameori1604.exe C:\WINDOWS\system32\wupdtmngr.exe C:\WINDOWS\system32\drsmartload261a.exe C:\WINDOWS\system32\tsuninst.exe C:\WINDOWS\system32\TFTP1876 C:\WINDOWS\system32\TFTP1552 C:\WINDOWS\system32\TFTP684 C:\WINDOWS\system32\TFTP800 C:\WINDOWS\system32\TFTP1784 C:\WINDOWS\system32\TFTP1852 C:\WINDOWS\system32\o C:\Programme\Network Monitor\netmon.exe C:\WINDOWS\uninstall_nmon.vbs C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon C:\WINDOWS\Tmlscw\command.exe C:\Programme\dr.exe C:\Programme\TheSearchAccelerator\UCMTSAIE.dll C:\Programme\Deskbar\deskbar.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UCmore HKEY_LOCAL_MACHINE\SOFTWARE\Effective-i C:\Programme\TheSearchAccelerator C:\Programme\TheSearchAccelerator\INSTALL.LOG C:\Programme\TheSearchAccelerator\IUCmore.dll C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0 C:\Programme\TheSearchAccelerator\UCMTSAIE.dll C:\Programme\TheSearchAccelerator\UNWISE.EXE C:\Programme\TheSearchAccelerator\logo.ico C:\Programme\TheSearchAccelerator\toolbar.cfg Verzeichnis von C:\Programme 16.04.2006 22:42 9.096 dr.exe 18.04.2006 17:16 25.660 shell32.exe 16.04.2006 18:32 8.704 user32.exe
Look2Me-Destroyer
Infected! C:\WINDOWS\system32\h22olcf31f2.dll Infected! C:\WINDOWS\system32\aytiveds.dll Infected! C:\WINDOWS\system32\CfdbMusicIDSamsung.dll Infected! C:\WINDOWS\system32\cymodem.dll Infected! C:\WINDOWS\system32\gskcsp.dll Infected! C:\WINDOWS\system32\h22olcf31f2.dll Infected! C:\WINDOWS\system32\j62qlgf5162.dll Infected! C:\WINDOWS\system32\l6l6lg3s16.dll Infected! C:\WINDOWS\system32\lv4m09h1e.dll Infected! C:\WINDOWS\system32\mlgina.dll Infected! C:\WINDOWS\system32\nhrsfi.dll
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\drsmartload261a.exe C:\WINDOWS\drsmartload2.dat C:\WINDOWS\keyboard1.dat C:\WINDOWS\newname.dat C:\WINDOWS\teller2.chk C:\WINDOWS\system32\tsuninst.exe C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\atmtd.dll._ C:\WINDOWS\system32\w0022197.dll C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon C:\Programme\TheSearchAccelerator C:\WINDOWS\system32\w0022197.dll C:\Programme\Deskbar C:\Programme\network monitor C:\WINDOWS\Tmlscw ((((((((((((((((((((((((((((((( Files Created from 2006-07-24 to 2006-08-24 )))))))))))))))))))))))))))))))))) 2006-08-21 20:01 61,952 --a------ C:\WINDOWS\system32\gjk56367.dll 2006-08-21 20:01 29,696 --a------ C:\WINDOWS\system32\w0022197.dll 2006-08-21 20:01 1,233 --a------ C:\WINDOWS\system32\gjk56367.sys 2006-08-21 19:54 6,197 --a------ C:\WINDOWS\system32\frameori1604.exe 2006-08-21 19:54 45,733 --a------ C:\WINDOWS\system32\wupdtmngr.exe 2006-08-15 16:06 69,632 --a------ C:\WINDOWS\system32\Gksui16.EXE anderer PC Verzeichnis von D:\WINDOWS\system32 22.08.2006 16:37 1.167 rztd65f9.sys 13.08.2006 13:04 3.082 affv208325p1now.sys 13.08.2006 12:54 3.082 affv9869p2now.sys 10.08.2006 18:38 114.688 wmatimer.dll 10.08.2006 15:51 147.456 vbzip10.dll 10.08.2006 15:49 2 cmd.com 10.08.2006 15:49 2 regedit.com 10.08.2006 15:49 2 tasklist.com 10.08.2006 15:49 2 tracert.com 10.08.2006 15:49 2 ping.com 10.08.2006 15:45 61.952 rztd65f9.dll 10.08.2006 15:45 29.696 w025d82b.dll_tobedeleted 10.08.2006 15:43 62.464 bszip.dll 09.08.2006 17:08 23.392 nscompat.tlb 09.08.2006 17:08 16.832 amcompat.tlb anderer PC
Combofix
FILES REMOVED: C:\WINDOWS\system32\dnjs0117e.dll C:\WINDOWS\system32\hrrs0597e.dll C:\WINDOWS\system32\svtupdll.dll C:\WINDOWS\system32\wwasf.dll C:\WINDOWS\system32\guard.tmp Granting sedebugprivilege to Administratoren ... successful (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))) C:\WINDOWS\keyboard1.dat C:\WINDOWS\teller2.chk C:\warebundlenewer.exe C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat C:\deskbar.exe C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\system32\atmtd.dll.tmp C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon C:\Programme\ToolBar888 C:\Programme\Deskbar C:\Programme\network monitor C:\Programme\Gemeinsame Dateien\{54A58EF0-06C1-1031-1219-041217040031} C:\WINDOWS\UmVpbmFjaw ((((((((((((((((((((((((((((((( Files Created from 2006-07-25 to 2006-08-25 ))))))))) 2006-08-25 17:26 50,912 --a------ C:\WINDOWS\iconu.exe 2006-08-25 16:38 573,492 ---hs---- C:\WINDOWS\system32\ddcca.dll 2006-08-24 22:04 13,312 --a------ C:\WINDOWS\system32\eb6d5f56.exe 2006-08-24 21:50 40,973 ---hs---- C:\WINDOWS\system32\fcccddb.dll 2006-08-24 21:43 15,872 --a------ C:\WINDOWS\system32\winccf32.dll Verzeichnis von C:\WINDOWS\system32 25.08.2006 20:52 1.171 accdd.ini 25.08.2006 20:50 17.548 nvapps.xml 25.08.2006 16:38 573.492 ddcca.dll 24.08.2006 22:04 13.312 eb6d5f56.exe 24.08.2006 21:50 40.973 fcccddb.dll 24.08.2006 21:43 15.872 winccf32.dll Verzeichnis von C:\WINDOWS 25.08.2006 17:26 50.912 iconu.exe
Avenger (Beispiel)
HijackThis
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_13.exe O4 - HKLM\..\Run: [eb6d5f56.exe] C:\WINDOWS\system32\eb6d5f56.exe O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [eb6d5f56.exe] C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Anwendungsdaten\eb6d5f56.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe |
