Werbung

iwinapp.exe, netmsg.exe, dxcombin.exe, wintrust32.exe

HijackThis

O23 - Service: Net message Service - Unknown owner - C:\WINDOWS\system32\netmsg.exe
O23 - Service: IWin service - Unknown owner - C:\WINDOWS\System32\iwinapp.exe


datfindbat

Verzeichnis von C:\WINDOWS\system32

01.11.2006 15:20 1.134 pqtss.ini2
01.11.2006 14:35 443.307 pqtss.bak2
01.11.2006 14:30 137 winser.bin
01.11.2006 11:08 110.612 aqyilxgk.exe
01.11.2006 11:07 60.436 ufynjbib.dll
01.11.2006 11:07 443.565 pqtss.bak1
31.10.2006 10:19 972 pqtss.ini
31.10.2006 09:40 921 pqtss.tmp
30.10.2006 23:20 688.180 sstqp.dll
30.10.2006 23:16 51.200 drvvuw.dll
30.10.2006 23:14 40.973 byxusqr.dll
30.10.2006 23:14 18.432 winexy32.dll
30.10.2006 18:53 135.168 iwinapp.exe
30.10.2006 18:25 136 netmsg.bin
30.10.2006 18:25 137 iwinapp.bin
30.10.2006 18:20 135.168 netmsg.exe
30.10.2006 18:15 135.168 dxcombin.exe
30.10.2006 18:13 100 LuResult.txt
30.10.2006 18:09 135.168 wintrust32.exe


Verzeichnis von C:\WINDOWS\Temp

01.11.2006 15:32 33.280 win31.tmp.exe
01.11.2006 15:32 944 win30.tmp
01.11.2006 15:30 0 win2C.tmp


Combofix

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\components


2006-11-01 11:17 -------- d-------- C:\Programme\VSAdd-in
2006-11-01 11:10 -------- d-------- C:\Dokumente und Einstellungen\Username\Anwendungsdaten\SearchToolbarCorp


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexy32



Unknown Service # 11
Service Name: IWin service
Display Name: IWin service
Start Mode: Disabled
Start Name: LocalSystem
Description: Iwin Application service. If this service is stopped, some of sharing service will not function ...
Service Type: Own Process
Path: c:\windows\system32\iwinapp.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch


Unknown Service
Service Name: Net message Service
Display Name: Net message Service
Start Mode: Auto
Start Name: LocalSystem
Description: Sharing message between network protocal. If this service is stopped, some of sharing service will ...
Service Type: Own Process
Path: c:\windows\system32\netmsg.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch



- scanne mit vundofix


- Avenger Beispiel

registry keys to delete: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexy32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IWIN_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IWin service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IWIN_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IWin service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IWIN_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Net message Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Net message Service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service Files to delete: C:\WINDOWS\Temp\winCA5.tmp C:\WINDOWS\Temp\winC8B.tmp C:\WINDOWS\Temp\winC70.tmp C:\WINDOWS\Temp\slu12c2.tmp C:\WINDOWS\Temp\winC69.tmp C:\WINDOWS\Temp\winC51.tmp C:\WINDOWS\Temp\winC2E.tmp C:\WINDOWS\Temp\slu7c34.tmp C:\WINDOWS\system32\pqtss.ini2 C:\WINDOWS\system32\pqtss.bak2 C:\WINDOWS\system32\winser.bin C:\WINDOWS\system32\aqyilxgk.exe C:\WINDOWS\system32\ufynjbib.dll C:\WINDOWS\system32\pqtss.bak1 C:\WINDOWS\system32\pqtss.ini C:\WINDOWS\system32\pqtss.tmp C:\WINDOWS\system32\sstqp.dll C:\WINDOWS\system32\drvvuw.dll C:\WINDOWS\system32\byxusqr.dll C:\WINDOWS\system32\winexy32.dll C:\WINDOWS\system32\iwinapp.exe C:\WINDOWS\system32\netmsg.bin C:\WINDOWS\system32\iwinapp.bin C:\WINDOWS\system32\netmsg.exe C:\WINDOWS\system32\dxcombin.exe C:\WINDOWS\system32\wintrust32.exe Folders to delete: C:\Programme\VSAdd-in C:\Dokumente und Einstellungen\Username\Anwendungsdaten\SearchToolbarCorp

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb


«« gehe in:
Verzeichnis von C:\WINDOWS\Temp

und loesche alle tmp-Dateien !

05.11.2006 00:38 0 win8.tmp
05.11.2006 00:38 0 win7.tmp
05.11.2006 00:38 944 win6.tmp
usw.
usw.


O23 - Service: Net message Service - Unknown owner - C:\WINDOWS\system32\netmsg.exe
O23 - Service: IWin service - Unknown owner - C:\WINDOWS\System32\iwinapp.exe


dxcombin.exe
DXCOMBIN.EXE is Trojan/Backdoor.

Related files:
1 :%DESKTOP%\WINTRUST32.EXE
2 :%WINDIR%\SYSTEM32\__DELETE_ON_REBOOT__DXCOMBIN.EXE
3 :%WINDIR%\SYSTEM32\ACTSRV.EXE
4 :%WINDIR%\SYSTEM32\DXCOMBIN.EXE
5 :%WINDIR%\SYSTEM32\DXCOMBIN2.EXE
6 :%WINDIR%\SYSTEM32\IWINAPP.EXE
7 :%WINDIR%\SYSTEM32\NETID.EXE
8 :%WINDIR%\SYSTEM32\NETIDBAD.EXE
9 :%WINDIR%\SYSTEM32\NETMSG.EXE
10:%WINDIR%\SYSTEM32\ODBC.EXE



Superantispyware

Unclassified.Unknown Origin
HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}

Trojan.WinAntiSpyware/WinAntiVirus 2006
HKLM\Software\WinAntiVirus Pro 2006

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR

Adware.ClickSpring/Yazzle
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin

Adware.VSToolbar
HKU\S-1-5-21-117609710-606747145-682003330-1005\Software\Search Toolbar Corp

Trojan.Downloader-PATDUM
C:\VUNDOFIX BACKUPS\SSTQP.DLL.BAD