Startseite       Online-Scanner       Virenscanner       Gästebuch       Kontakt       Protecus.de Forum       Virus Weltkarte       Impressum


Warezov




Werbung


Warezov.CU.5 -> remove



- Sicherheitsupdates funktionieren nicht
- Reinigungs-Beispiele
- Avengerscript - Script wird immer aktualisiert, denn es gibt ständig neue Formen


INFO Über Worm/warezov.dll.c
Verbreitungsmethode:
Email - ICQ

Aliases:
Mcafee: W32/Stration@MM
Kaspersky: Email-Worm.Win32.Warezov.ab
TrendMicro: WORM_STRATION.BC
F-Secure: Email-Worm.Win32.Warezov.ab
Eset: Win32/Stration.AR

Zugriffe auf folgende Domains wird erfolgreich unterbunden:

download.microsoft.com; go.microsoft.com; msdn.microsoft.com; office.microsoft.com; windowsupdate.microsoft.com;
downloads1.kaspersky-labs.com/products
liveupdate.symantecliveupdate.com;

Warezov.CU.5 / W32/Stration - remove
Zitat:
ein Bekannter hat mir nen Link geschickt (ICQ), er hätte nen neues Spiel entdeckt, sein Nick sei sowieso und ich solle mich mal anmelden.

HijacktHis

O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\yapconf.exe
O20 - AppInit_DLLs: wbsys.dll psapdani.dll e1.dll confcon.dll constat.dll
O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32

17.10.2006 19:13 143.360 attstat.dll
17.10.2006 19:13 53.248 attprf32.dll
17.10.2006 19:13 49.152 atrconf.exe
17.10.2006 19:13 49.152 confatt.dll
17.10.2006 19:13 352.256 attmgr32.dll
17.10.2006 19:13 40.960 attperf.exe
17.10.2006 16:14 28.672 psapdani.dll
16.10.2006 17:02 270.336 constat.dll
16.10.2006 17:02 57.344 conprf32.dll
16.10.2006 17:02 61.440 confcon.dll
16.10.2006 17:02 540.672 conmgr32.dll
16.10.2006 17:02 49.152 conperf.exe
15.10.2006 15:17 106.496 samsusrr.dll
15.10.2006 15:16 8.704 e1.VIR
15.10.2006 15:16 20.480 netfrtm.VIR
15.10.2006 15:16 12.288 hypewmv9.exe
15.10.2006 15:16 28.672 psapdani.VIR

Verzeichnis von C:\WINDOWS

17.10.2006 19:13 0 concfg.tmp
17.10.2006 18:19 0 hv4e05.dll
16.10.2006 17:02 0 dbmdata.tmp
16.10.2006 17:02 0 avistat.tmp
16.10.2006 17:02 0 egadata.tmp
15.10.2006 19:23 0 h6j40x.txt
15.10.2006 19:23 3.144.800 dqpdroc.ini
15.10.2006 15:22 0 sc.xml1


2. Durchlauf:

Verzeichnis von C:\WINDOWS\system32

18.10.2006 11:15 80.996 samsusrr.exe


Combofix 
((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 ))))

2006-10-17 19:13 53,248 --ah----- C:\WINDOWS\system32\attprf32.dll
2006-10-17 19:13 49,152 --ah----- C:\WINDOWS\system32\confatt.dll
2006-10-17 19:13 49,152 --ah----- C:\WINDOWS\system32\atrconf.exe
2006-10-17 19:13 40,960 --ah----- C:\WINDOWS\system32\attperf.exe
2006-10-17 19:13 352,256 --ah----- C:\WINDOWS\system32\attmgr32.dll
2006-10-17 19:13 143,360 --ah----- C:\WINDOWS\system32\attstat.dll
2006-10-17 19:13 108,511 --a------ C:\WINDOWS\smm126.exe
2006-10-17 19:12 80,996 --------- C:\WINDOWS\system32\samsusrr.exe
2006-10-17 18:19 0 --a------ C:\WINDOWS\hv4e05.dll
2006-10-17 16:14 28,672 --------- C:\WINDOWS\system32\psapdani.dll
2006-10-16 17:02 61,440 --ah----- C:\WINDOWS\system32\confcon.dll
2006-10-16 17:02 57,344 --ah----- C:\WINDOWS\system32\conprf32.dll
2006-10-16 17:02 540,672 --ah----- C:\WINDOWS\system32\conmgr32.dll
2006-10-16 17:02 49,152 --ah----- C:\WINDOWS\system32\conperf.exe
2006-10-16 17:02 270,336 --ah----- C:\WINDOWS\system32\constat.dll
2006-10-15 15:17 106,496 --a------ C:\WINDOWS\system32\samsusrr.dll
2006-10-15 15:16 8,704 --a------ C:\WINDOWS\system32\e1.VIR
2006-10-15 15:16 28,672 --a------ C:\WINDOWS\system32\psapdani.VIR
2006-10-15 15:16 20,480 --a------ C:\WINDOWS\system32\netfrtm.VIR
2006-10-15 15:16 12,288 --a------ C:\WINDOWS\system32\hypewmv9.exe


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"egdiag"="C:\\WINDOWS\\system32\\atrconf.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr

Avengerscript anwenden: weiter


anderer Rechner

O20 - AppInit_DLLs: msisnwcf.dll e1.dll
O20 - Winlogon Notify: lprmneth - C:\WINDOWS\system32\lprmneth.dll


datfindbat

C:\WINDOWS\system32\confcon.dll
C:\WINDOWS\system32\confega.dll
C:\WINDOWS\system32\conmgr32.dll
C:\WINDOWS\system32\constat.dll
C:\WINDOWS\system32\dmimmdt2.exe
C:\WINDOWS\system32\dssconf.exe
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\egaavi.exe
C:\WINDOWS\system32\egamgr32.dll
C:\WINDOWS\system32\egastat.dll
C:\WINDOWS\system32\egperf32.dll
C:\WINDOWS\system32\evenncob.dll
C:\WINDOWS\system32\ixsswmas.exe
C:\WINDOWS\system32\lprmneth.dll
C:\WINDOWS\system32\lprmneth.exe
C:\WINDOWS\system32\msisnwcf.dll
C:\WINDOWS\system32\snmpmmcn.dll
C:\WINDOWS\system32\sysshtic.dll
C:\WINDOWS\system32\sysshtic.exe
C:\WINDOWS\system32\tscfvjoy.dll
C:\WINDOWS\system32\vbscqdv.exe
C:\WINDOWS\system32\winbpowr.exe
C:\WINDOWS\system32\yapconf.exe


anderer Rechner

O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll
O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll
O20 - Winlogon Notify: uregdeve - C:\WINDOWS\


anderer Rechner

O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\yapconf.exe
O20 - AppInit_DLLs: msisnwcf.dll e1.dll confcon.dll constat.dll psapdani.dll
O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll
O20 - Winlogon Notify: lprmneth - C:\WINDOWS\system32\lprmneth.dll (file missing)
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll


anderer Rechner

((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 )))))))))))

2006-10-06 16:01 24 --a------ C:\WINDOWS\system32\sysmwwod.dll + C:\Programme\Direct MIDI to MP3 Converter


datfindbat

Verzeichnis von C:\WINDOWS\system32
16.10.2006 17:44 24 sysmwwod.dll


anderer Rechner

O20 - AppInit_DLLs: mp4sglmf.dll e1.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll


C:\DOKUME~1\Username\LOKALE~1\Temp\15B.tmp
C:\WINDOWS\System32\vmhevnet.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vmhevnet


Combofix

((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 )))))))))))))))

2006-10-17 17:03 8,704 --a------ C:\WINDOWS\system32\e1.dll
2006-10-17 17:03 32,768 --a------ C:\WINDOWS\system32\mp4sglmf.dll
2006-10-17 17:03 24,576 --a------ C:\WINDOWS\system32\msihftpw.dll
2006-10-17 17:03 20,480 --a------ C:\WINDOWS\system32\ipxpextm.exe
2006-10-17 17:03 122,880 --a------ C:\WINDOWS\system32\vmhevnet.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32

18.10.2006 00:30 20.480 ipxpextm.exe
17.10.2006 22:29 94.720 vmhevnet.exe
17.10.2006 17:03 122.880 vmhevnet.dll
17.10.2006 17:03 8.704 e1.dll
17.10.2006 17:03 24.576 msihftpw.dll
17.10.2006 17:03 32.768 mp4sglmf.dll


Avengerscript anwenden: weiter

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k


Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten... virustotal

C:\WINDOWS\system32\attstat.dll
Complete scanning result of "attstat.dll"

Panda 9.0.0.4 10.17.2006 Suspicious file
UNA 1.83 10.17.2006 I-Worm.Warezov.aw
VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.2 (paranoid heuristics)

C:\WINDOWS\system32\attprf32.dll

NOD32v2 1.1808 10.17.2006 probably a variant of Win32/Stration
VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.1 (paranoid heuristics)

C:\WINDOWS\system32\atrconf.exe

AntiVir 7.2.0.30 10.18.2006 HEUR/Malware
Panda 9.0.0.4 10.17.2006 Suspicious file
VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.2 (paranoid heuristics)

C:\WINDOWS\system32\conperf.exe

AntiVir 7.2.0.30 10.18.2006 Worm/Stration.BG
AVG 386 10.17.2006 I-Worm/Stration.QX
BitDefender 7.2 10.18.2006 Win32.Worm.Stration.BG
DrWeb 4.33 10.18.2006 Win32.HLLM.Limar
Kaspersky 4.0.2.24 10.18.2006 Email-Worm.Win32.Warezov.aw
NOD32v2 1.1809 10.18.2006 Win32/Stration.HM
UNA 1.83 10.17.2006 I-Worm.Warezov.aw
VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.1 (paranoid heuristics)


datfindbat

Verzeichnis von C:\WINDOWS\system32

17.10.2006 19:13 143.360 attstat.dll
17.10.2006 19:13 53.248 attprf32.dll
17.10.2006 19:13 49.152 atrconf.exe
17.10.2006 19:13 49.152 confatt.dll
17.10.2006 19:13 352.256 attmgr32.dll
17.10.2006 19:13 40.960 attperf.exe
17.10.2006 16:14 28.672 psapdani.dll
16.10.2006 17:02 270.336 constat.dll
16.10.2006 17:02 57.344 conprf32.dll
16.10.2006 17:02 61.440 confcon.dll
16.10.2006 17:02 540.672 conmgr32.dll
16.10.2006 17:02 49.152 conperf.exe
15.10.2006 15:17 106.496 samsusrr.dll
15.10.2006 15:16 8.704 e1.VIR
15.10.2006 15:16 20.480 netfrtm.VIR
15.10.2006 15:16 12.288 hypewmv9.exe
15.10.2006 15:16 28.672 psapdani.VIR


anderer Rechner

datfindbat

C:\WINDOWS\

17.10.2006 18:54 108.511 smm126.exe
16.10.2006 15:49 3.144.800 dqpdroc.ini
16.10.2006 06:51 0 sc.xml1

Verzeichnis von C:\

17.10.2006 20:38 38.684 viren.html

Verzeichnis von C:\WINDOWS\system32

17.10.2006 22:41 80.996 samsusrr.exe
17.10.2006 19:54 12.288 hypewmv9.exe
17.10.2006 19:54 28.672 psapdani.dll
17.10.2006 18:54 143.360 attstat.dll
17.10.2006 18:54 53.248 attprf32.dll
17.10.2006 18:54 49.152 confatt.dll
17.10.2006 18:54 49.152 atrconf.exe
17.10.2006 18:54 352.256 attmgr32.dll
17.10.2006 18:54 40.960 attperf.exe
17.10.2006 16:02 61.440 GTMQF608R7.DLL.vir
17.10.2006 16:02 57.344 fsxsh4.dll
16.10.2006 06:46 106.496 samsusrr.dll
15.10.2006 15:38 20.480 NETFRTM.DLL.vir

Avengerscript anwenden: weiter


anderer PC

Combofix

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))

2006-10-08 21:04 1056 --ahs---- C:\xjhjovma.sys

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))

C:\WINDOWS\secure32.html

((((((((((((((((((((((((((((((( Files Created from 2006-09-16 to 2006-10-16 )))))))))))

2006-10-16 21:45 80,996 --a------ C:\WINDOWS\system32\samsusrr.exe
2006-10-16 19:37 61,440 --ah----- C:\WINDOWS\system32\confcon.dll
2006-10-16 19:37 57,344 --ah----- C:\WINDOWS\system32\conprf32.dll
2006-10-16 19:37 540,672 --ah----- C:\WINDOWS\system32\conmgr32.dll
2006-10-16 19:37 270,336 --ah----- C:\WINDOWS\system32\constat.dll
2006-10-14 21:46 106,496 --a------ C:\WINDOWS\system32\samsusrr.dll
2006-10-14 21:45 8,704 --a------ C:\WINDOWS\system32\E1.DLL.vir
2006-10-14 21:45 28,672 --a------ C:\WINDOWS\system32\PSAPDANI.DLL.vir
2006-10-14 21:45 20,480 --a------ C:\WINDOWS\system32\netfrtm.dll
2006-10-14 21:45 12,288 --a------ C:\WINDOWS\system32\hypewmv9.exe.vir


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"egdiag"="C:\\WINDOWS\\System32\\yapconf.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr


anderer PC

O20 - AppInit_DLLs: mp4sglmf.dll e1.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll


Combofix

((((((((((((((((((((((((((((((( Files Created from 2006-09-19 to 2006-10-19 )))))))))))))))

2006-10-19 10:38 94,720 --a------ C:\WINDOWS\system32\vmhevnet.exe
2006-10-17 18:33 0 --a------ C:\WINDOWS\hv4e05.dll
2006-10-17 18:31 8,704 --a------ C:\WINDOWS\system32\e1.dll
2006-10-17 18:31 32,768 --a------ C:\WINDOWS\system32\mp4sglmf.dll
2006-10-17 18:31 24,576 --a------ C:\WINDOWS\system32\msihftpw.dll
2006-10-17 18:31 20,480 --a------ C:\WINDOWS\system32\ipxpextm.exe
2006-10-17 18:31 122,880 --a------ C:\WINDOWS\system32\vmhevnet.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32

19.10.2006 10:38 94.720 vmhevnet.exe
17.10.2006 18:31 122.880 vmhevnet.dll
17.10.2006 18:31 8.704 e1.dll
17.10.2006 18:31 24.576 msihftpw.dll
17.10.2006 18:31 32.768 mp4sglmf.dll
17.10.2006 18:31 20.480 ipxpextm.exe


anderer Rechner

O20 - AppInit_DLLs: confatt.dll attstat.dll
O20 - Winlogon Notify: attmgr - C:\WINDOWS\SYSTEM32\attmgr32.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32

17.10.2006 19:10 143.360 attstat.dll
17.10.2006 19:10 53.248 attprf32.dll
17.10.2006 19:10 49.152 atrconf.exe
17.10.2006 19:10 49.152 confatt.dll
17.10.2006 19:10 352.256 attmgr32.dll
17.10.2006 19:10 40.960 attperf.exe

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

17.10.2006 17:08 18.765 avsmtptmp.$$$
16.10.2006 19:56 9.292.400 EAD6.exe
16.10.2006 19:55 0 EAD6.tmp

Verzeichnis von C:\WINDOWS

17.10.2006 19:09 0 dbmdata.tmp
17.10.2006 19:09 0 egadata.tmp
17.10.2006 19:09 0 concfg.tmp
17.10.2006 18:13 0 hv4e05.dll
16.10.2006 16:49 0 h6j40x.txt
16.10.2006 05:09 8.120 sc.tmp


((((((((((((((((((((((((((((((( Files Created from 2006-09-20 to 2006-10-20 ))))))))))))

2006-10-19 18:51 30,601 --a------ C:\Dokumente und Einstellungen\Username\x.exe
2006-10-19 17:18 11,648 --a------ C:\WINDOWS\system32\drivers\pxscrmbl.sys
2006-10-19 05:00 53,248 --a------ C:\WINDOWS\system32\reg.exe
2006-10-17 19:10 53,248 --ah----- C:\WINDOWS\system32\attprf32.dll
2006-10-17 19:10 49,152 --ah----- C:\WINDOWS\system32\confatt.dll
2006-10-17 19:10 49,152 --ah----- C:\WINDOWS\system32\atrconf.exe
2006-10-17 19:10 40,960 --ah----- C:\WINDOWS\system32\attperf.exe
2006-10-17 19:10 352,256 --ah----- C:\WINDOWS\system32\attmgr32.dll
2006-10-17 19:10 143,360 --ah----- C:\WINDOWS\system32\attstat.dll
2006-10-17 18:13 0 --a------ C:\WINDOWS\hv4e05.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr

Win32.Warezov.bw - Email Worm
-Error
-Good Day
-hello
-Mail Delivery System
-Mail server report
-Mail Transaction Failed
-picture
-Server Report
-status


HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serv

C:\WINDOWS\system32\cssewmpd (16384 bytes)
C:\WINDOWS\system32\e1.dll (8192 bytes)
C:\WINDOWS\system32\regaufat.dll (24576 bytes)
C:\WINDOWS\system32\wupstlnt.dll (28672 bytes)
C:\WINDOWS\serv.dll (7680 bytes)
C:\WINDOWS\serv.s
C:\WINDOWS\serv.wax
C:\WINDOWS\serv.exe

The worm also creates the following entries in the system registry to ensure that the worm file is run each time Windows is rebooted on the victim machine:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"serv"="%Windir%\serv.exe s"

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"AppInit_DLLs"="wupstlnt.dll e1.dll"


anderer Rechner

datfindbat

Verzeichnis von C:\WINDOWS\system32

20.10.2006 16:39 94.720 dfssrasc.exe
19.10.2006 17:43 53.248 audprf32.dll
19.10.2006 17:43 143.360 audstat.dll
19.10.2006 17:43 49.152 audconf.exe
19.10.2006 17:43 53.248 confaud.dll
19.10.2006 17:43 356.352 audmgr32.dll
19.10.2006 17:43 40.960 audperf.exe
18.10.2006 13:34 122.880 dfssrasc.dll
18.10.2006 13:33 24.576 offfmsre.dll
18.10.2006 13:33 20.480 ipsmwebh.exe
18.10.2006 13:33 28.672 psbaavic.dll
20.07.2006 14:26 104 attfd42.dll ->> ??

Verzeichnis von C:\WINDOWS\

20.10.2006 16:39 109.100 msupdate.exe
19.10.2006 17:43 0 concfg.tmp
19.10.2006 17:43 0 egadata.tmp
19.10.2006 17:43 0 attcfg.tmp


((((((((((((((((((((((((((((((( Files Created from 2006-09-20 to 2006-10-20 )))))))))))

2006-10-20 16:39 94,720 --a--c--- C:\WINDOWS\system32\dfssrasc.exe
2006-10-20 16:39 109,100 --a--c--- C:\WINDOWS\msupdate.exe
2006-10-19 17:43 53,248 --ah-c--- C:\WINDOWS\system32\confaud.dll
2006-10-19 17:43 53,248 --ah-c--- C:\WINDOWS\system32\audprf32.dll
2006-10-19 17:43 49,152 --ah-c--- C:\WINDOWS\system32\audconf.exe
2006-10-19 17:43 40,960 --ah-c--- C:\WINDOWS\system32\audperf.exe
2006-10-19 17:43 356,352 --ah-c--- C:\WINDOWS\system32\audmgr32.dll
2006-10-19 17:43 143,360 --ah-c--- C:\WINDOWS\system32\audstat.dll
2006-10-18 13:34 122,880 --a--c--- C:\WINDOWS\system32\dfssrasc.dll
2006-10-18 13:33 28,672 --a--c--- C:\WINDOWS\system32\psbaavic.dll
2006-10-18 13:33 24,576 --a--c--- C:\WINDOWS\system32\offfmsre.dll
2006-10-18 13:33 20,480 --a--c--- C:\WINDOWS\system32\ipsmwebh.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dfssrasc


- fixe mit dem hijackThis, soweit es noch vorhanden ist

- öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe
O20 - AppInit_DLLs: confaud.dll audstat.dll psbaavic.dll
O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll
O20 - Winlogon Notify: dfssrasc - C:\WINDOWS\System32\dfssrasc.dll


anderer Rechner

O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe
O20 - AppInit_DLLs: mp4sglmf.dll e1.dll confaud.dll audstat.dll
O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\System32\vmhevnet.dll

datfindbat

Verzeichnis von C:\WINDOWS

21.10.2006 11:54 109.100 msupdate.exe

Verzeichnis von C:\WINDOWS\system32

21.10.2006 11:53 94.720 vmhevnet.exe
19.10.2006 17:10 53.248 audprf32.dll
19.10.2006 17:10 143.360 audstat.dll
19.10.2006 17:10 53.248 confaud.dll
19.10.2006 17:10 356.352 audmgr32.dll
19.10.2006 17:10 40.960 audperf.exe
17.10.2006 15:05 122.880 vmhevnet.dll
17.10.2006 15:04 8.704 e1.dll
17.10.2006 15:04 20.480 ipxpextm.exe
17.10.2006 15:04 24.576 msihftpw.dll
17.10.2006 15:04 32.768 mp4sglmf.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vmhevnet


anderer Rechner

O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\atrconf.exe
O20 - AppInit_DLLs: psapdani.dll confatt.dll attstat.dll
O20 - Winlogon Notify: attmgr - C:\WINDOWS\SYSTEM32\attmgr32.dll
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32

06-10-18 10:07 49,152 atrconf.exe
06-10-17 19:19 143,360 attstat.dll
06-10-17 19:19 49,152 confatt.dll
06-10-17 19:19 53,248 attprf32.dll
06-10-17 19:19 352,256 attmgr32.dll
06-10-17 19:19 40,960 attperf.exe

Verzeichnis von C:\DOKUME~1\Weda\LOKALE~1\Temp

06-10-18 16:46 107,444 bt3235.bat

Verzeichnis von C:\WINDOWS

06-10-17 19:19 0 concfg.tmp
06-10-17 19:19 0 dbmdata.tmp
06-10-17 19:19 0 egadata.tmp
06-10-17 12:37 0 hv4e05.dll
06-10-15 04:02 0 sc.xml1
06-10-15 03:59 0 h6j40x.txt


Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktvieren)


hoster.zip anwenden
Press 'Restore Original Hosts' and press 'OK' Exit Program.


anderer Rechner

O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe

O20 - AppInit_DLLs: psbaavic.dll e1.dll confaud.dll audstat.dll
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: dfssrasc - C:\WINDOWS\system32\dfssrasc.dll

datfindbat

C:\WINDOWS

23.10.2006 11:19 0 egadata.tmp
23.10.2006 11:19 0 attcfg.tmp
23.10.2006 11:19 0 concfg.tmp
23.10.2006 11:14 0 0.log
18.10.2006 18:22 0 jw9ucgel.scf
18.10.2006 18:21 0 sc.xml1

C:\WINDOWS\system32

23.10.2006 11:24 94.720 dfssrasc.exe
19.10.2006 17:38 143.360 audstat.dll
19.10.2006 17:38 53.248 audprf32.dll
19.10.2006 17:38 49.152 audconf.exe
19.10.2006 17:38 40.960 audperf.exe
18.10.2006 17:19 122.880 dfssrasc.dll
18.10.2006 17:19 8.704 e1.dll
18.10.2006 17:19 24.576 offfmsre.dll
18.10.2006 17:19 20.480 ipsmwebh.exe
18.10.2006 17:19 28.672 psbaavic.dll


anderer Rechner


O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe
O4 - HKLM\..\Run: [sserrvv] C:\WINDOWS\sserrvv.exe s
O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\cc5.exe s
O20 - AppInit_DLLs: e1.dll psbaavic.dll confaud.dll audstat.dll
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: dfssrasc - C:\WINDOWS\system32\dfssrasc.dll

datfindbat

Verzeichnis von C:\WINDOWS\system32

23.10.2006 15:54 9.216 e1.dll
22.10.2006 11:43 40.448 scsm.exe
19.10.2006 17:12 143.360 audstat.dll
19.10.2006 17:12 40.960 audperf.exe
18.10.2006 12:01 122.880 dfssrasc.dll
18.10.2006 12:01 8.704 e1.dll
18.10.2006 12:01 28.672 psbaavic.dll
18.10.2006 12:01 20.480 ipsmwebh.exe
18.10.2006 12:01 24.576 offfmsre.dll

Verzeichnis von C:\WINDOWS

C:\WINDOWS\msupdtwiz.exe
23.10.2006 17:49 4 msupdtwiz.c
23.10.2006 15:56 0 msupdtwiz.s
23.10.2006 15:54 0 msupdtwiz.z
23.10.2006 15:54 16 msupdtwiz.dat
22.10.2006 16:06 1.969.581.653 sc.tmp
22.10.2006 15:49 1.986.479.607 sserrvv.wax
22.10.2006 15:47 4 sserrvv.c
22.10.2006 14:32 0 sserrvv.s
22.10.2006 12:50 16 serrv.dat
22.10.2006 12:44 0 sserrvv.z
22.10.2006 11:45 0 jw9ucgel.scf
19.10.2006 17:12 0 attcfg.tmp
19.10.2006 17:12 0 concfg.tmp
19.10.2006 17:12 0 egadata.tmp


anderer PC

O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll

datfindbat

Verzeichnis von C:\WINDOWS\system32

22.10.2006 15:09 143.360 brwstat.dll
22.10.2006 15:09 53.248 brwprf32.dll
22.10.2006 15:09 49.152 confbrw.dll
22.10.2006 15:09 352.256 brwmgr32.dll
22.10.2006 15:09 40.960 brwperf.exe
19.10.2006 08:55 9.216 e1.dll

Verzeichnis von C:\WINDOWS

23.10.2006 09:54 16 sserrvv.dat
19.10.2006 08:58 16 serrv.dat


anderer PC

O20 - AppInit_DLLs: evenncob.dll e1.dll confcon.dll constat.dll
O20 - Winlogon Notify: conmgr - C:\windows\SYSTEM32\conmgr32.dll
O20 - Winlogon Notify: dssmgr - egamgr32.dll (file missing)
O20 - Winlogon Notify: sysshtic - C:\windows\system32\sysshtic.dll
O20 - Winlogon Notify: WgaLogon - C:\windows\


2006-10-19 06:52 0 --a------ C:\WINDOWS\c6wsq6.reg
2006-10-19 06:19 134,144 --a------ C:\WINDOWS\msout.exe
2006-10-19 03:18 8,704 --a------ C:\WINDOWS\SYSTEM32\e1.dll
2006-10-19 03:18 133,120 --a------ C:\WINDOWS\serrv.exe
2006-10-18 19:13 53,248 --ah----- C:\WINDOWS\SYSTEM32\brwprf32.dll
2006-10-18 19:13 49,152 --ah----- C:\WINDOWS\SYSTEM32\confbrw.dll
2006-10-18 19:13 49,152 --ah----- C:\WINDOWS\SYSTEM32\brwconf.exe
2006-10-18 19:13 40,960 --ah----- C:\WINDOWS\SYSTEM32\brwperf.exe
2006-10-18 19:13 352,256 --ah----- C:\WINDOWS\SYSTEM32\brwmgr32.dll
2006-10-18 19:13 143,360 --ah----- C:\WINDOWS\SYSTEM32\brwstat.dll
2006-10-18 19:13 109,256 --a------ C:\WINDOWS\twain22.exe
2006-10-18 11:12 141,312 --a------ C:\WINDOWS\cc3.exe
2006-10-17 14:37 0 --a------ C:\WINDOWS\hv4e05.dll
2006-10-17 14:04 142,336 --a------ C:\WINDOWS\cc2.exe
2006-10-17 14:03 81,932 --a------ C:\WINDOWS\SYSTEM32\sysshtic.exe
2006-10-17 13:33 81,920 --ah----- C:\WINDOWS\SYSTEM32\yapconf.exe
2006-10-16 16:01 53,248 --ah----- C:\WINDOWS\SYSTEM32\confatt.dll
2006-10-16 16:01 53,248 --ah----- C:\WINDOWS\SYSTEM32\attprf32.dll
2006-10-16 16:01 49,152 --ah----- C:\WINDOWS\SYSTEM32\atrconf.exe
2006-10-16 16:01 40,960 --ah----- C:\WINDOWS\SYSTEM32\attperf.exe
2006-10-16 16:01 356,352 --ah----- C:\WINDOWS\SYSTEM32\attmgr32.dll
2006-10-16 16:01 143,360 --ah----- C:\WINDOWS\SYSTEM32\attstat.dll
2006-10-13 11:39 528,384 --ah----- C:\WINDOWS\SYSTEM32\conmgr32.dll
2006-10-13 11:39 34,304 --a------ C:\WINDOWS\SYSTEM32\alerter.exe
2006-10-13 11:39 258,048 --ah----- C:\WINDOWS\SYSTEM32\constat.dll
2006-10-13 11:39 133,961 --a------ C:\WINDOWS\cct.exe
2006-10-10 18:39 0 --a------ C:\WINDOWS\cesm9q.reg
2006-10-06 22:35 0 --a------ C:\WINDOWS\eevmwk.reg
2006-10-06 21:57 3,144,800 --a------ C:\WINDOWS\semr8u8j8n.dll
2006-10-06 21:54 28,672 --a------ C:\WINDOWS\SYSTEM32\evenncob.dll
2006-10-06 21:54 110,592 --a------ C:\WINDOWS\SYSTEM32\sysshtic.dll

2006-10-14 19:59 -------- d-------- C:\Program Files\SpyCQ
2006-10-13 17:03 -------- d-------- C:\Program Files\????? ????


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"brwdiag"="C:\\windows\\system32\\brwconf.exe"
"serrv"="C:\\windows\\serrv.exe s"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dssmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sysshtic

C:\windows\tasks\??????-??????? ?????.job
C:\windows\tasks\??????-???? ?????.job
C:\windows\tasks\??????-????? ????.job


anderer PC

datfindbat

Verzeichnis von C:\WINDOWS\system32

24.10.2006 17:20 80.996 samsusrr.exe
24.10.2006 15:22 12.288 hypewmv9.exe
23.10.2006 21:26 28.672 psapdani.dll
21.10.2006 22:48 0 tdifmon.log
21.10.2006 21:44 8.704 e1.dll
20.10.2006 14:48 143.360 audstat.dll
20.10.2006 14:48 53.248 audprf32.dll
20.10.2006 14:48 40.960 audperf.exe
14.10.2006 18:22 106.496 samsusrr.dll

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

24.10.2006 17:41 107.540 bt2578.bat

Verzeichnis von C:\WINDOWS

24.10.2006 15:23 2.105.494.259 msupdtwiz.wax
23.10.2006 22:32 135.680 cc5.exe
23.10.2006 22:32 0 msupdtwiz.z
23.10.2006 22:32 16 msupdtwiz.dat
23.10.2006 22:31 103.936 msupdtwiz.exe
21.10.2006 23:25 775.328.256 serrv.wax
21.10.2006 23:25 4 serrv.c
21.10.2006 22:54 2.560 _MSRSTRT.EXE
21.10.2006 21:54 0 serrv.s
21.10.2006 21:44 0 serrv.z
21.10.2006 21:44 0 jw9ucgel.scf
20.10.2006 16:19 0 attcfg.tmp
17.10.2006 19:10 0 dbmdata.tmp
17.10.2006 19:10 0 egadata.tmp
17.10.2006 19:10 0 concfg.tmp
17.10.2006 17:08 3.144.800 ec2md8g.log
16.10.2006 16:35 337.782 setupapi.log
14.10.2006 18:35 0 h6j40x.txt
14.10.2006 18:32 0 sc.xml1


5 = Lokalen Administrator ermöglichen, Einstellung auszuwählen
Mit dieser Option lassen Sie zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung eine gewünschte Konfigurationsoption auswählen. Sie können z. B. einen Zeitpunkt für eine Installation nach Zeitplan auswählen. Lokale Administratoren können die automatischen Updates nicht deaktivieren.

http://www.wsus.de

http://www.tu-braunschweig.de


anderer Rechner

blauen hintergrund habe und da drauf steht: Delete SPYware! System Error #384

O4 - HKLM\..\Run: [isrdiag] E:\WINDOWS\System32\isrconf.exe
O4 - HKLM\..\Run: [brwdiag] E:\WINDOWS\System32\brwconf.exe
O4 - HKCU\..\Run: [sys32] E:\WINDOWS\alerter.exe

O20 - AppInit_DLLs: e1.dll diagisr.dll statisr.dll confbrw.dll brwstat.dll alrsbatt.dll kbdcrtut.dll
O20 - Winlogon Notify: brwmgr - E:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: inetzlco - E:\WINDOWS\System32\inetzlco.dll
O20 - Winlogon Notify: isrconf - E:\WINDOWS\SYSTEM32\cfgisr.dll
O20 - Winlogon Notify: wmspmsv1 - E:\WINDOWS\System32\wmspmsv1.dll (file missing)
O20 - Winlogon Notify: zlcocard - E:\WINDOWS\System32\zlcocard.dll

datfindbat

Verzeichnis von E:\WINDOWS\system32

02.12.2006 20:14 94.720 inetzlco.exe
02.12.2006 20:14 96.256 zlcocard.exe
02.12.2006 20:05 1.830 system_error.html
02.12.2006 14:09 122.880 inetzlco.dll
02.12.2006 14:09 24.576 mprmsfma.dll
02.12.2006 14:09 20.480 imagalrs.exe
02.12.2006 14:09 28.672 kbdcrtut.dll
30.11.2006 19:16 20.480 packwlda.exe
30.11.2006 19:16 24.576 strmwin8.dll
30.11.2006 19:16 28.672 alrsbatt.dll
30.11.2006 19:16 0 wmspmsv1.z1
30.11.2006 19:16 122.880 zlcocard.dll
30.11.2006 19:16 0 40.tmp
30.11.2006 19:16 135.168 40.tmp.exe
30.11.2006 10:34 143.360 brwstat.dll
30.11.2006 10:34 49.152 brwconf.exe
30.11.2006 10:34 53.248 brwprf32.dll
30.11.2006 10:34 49.152 confbrw.dll
30.11.2006 10:34 352.256 brwmgr32.dll
30.11.2006 10:34 40.960 brwperf.exe
29.11.2006 14:35 192.520 statisr.dll
29.11.2006 14:35 53.248 isrprf32.dll
29.11.2006 14:35 49.152 isrconf.exe
29.11.2006 14:35 49.152 diagisr.dll
29.11.2006 14:35 401.416 cfgisr.dll
29.11.2006 14:35 40.960 isrprov.exe
27.11.2006 21:17 20.480 e1.dll

Verzeichnis von E:\WINDOWS

02.12.2006 21:37 0 dxtdata.tmp
02.12.2006 21:37 0 concfg.tmp
02.12.2006 21:37 0 fsddata.tmp
02.12.2006 21:37 0 egadata.tmp
02.12.2006 21:37 0 attcfg.tmp
02.12.2006 21:37 0 ekfdata.tmp
02.12.2006 13:55 16 reggserv.dat
02.12.2006 13:52 40.448 alerter.exe
29.11.2006 19:18 52 cddabase.ini
28.11.2006 20:10 0 k6jb7v.scf


O20 - AppInit_DLLs: mididpnh.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll

sbeddem.dll - brwmgr.dll - ccsserv.exe

AntiVir 7.2.0.46 11.27.2006 WORM/Stration.Gen - Worm/Stration.BL.3 - TR/Dldr.Stration.I
Authentium 4.93.8 11.24.2006 W32/Warezov.gen4
AVG 386 11.27.2006 I-Worm/Stration.BCD
BitDefender 7.2 11.27.2006 Win32.Warezov.FY@mm
DrWeb 4.33 11.27.2006 Win32.HLLM.Limar
Ewido 4.0 11.27.2006 Worm.Warezov.fz
F-Prot 3.16f 11.24.2006 W32/Warezov.gen4
F-Prot4 4.2.1.29 11.24.2006 W32/Warezov.gen4
Kaspersky 4.0.2.24 11.27.2006 Email-Worm.Win32.Warezov.fz
McAfee 4904 11.24.2006 W32/Stration@MM
Microsoft 1.1804 11.27.2006 no virus found
NOD32v2 1885 11.27.2006 Win32/Stration.PH
Norman 5.80.02 11.27.2006 W32/Stration.CGT
Panda 9.0.0.4 11.26.2006 Trj/Spamtaload.BJ


* Decompressing UPX.
* File length: 112128 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\ccsserv.exe
* Creates file C:\WINDOWS\ccsserv.dat
* Creates file C:\WINDOWS\SYSTEM32\e1.dll

[ Changes to registry ]
* Creates value "ccsserv"="C:WINDOWSccsserv.exe s" in key


2006-12-08 22:26 87,552 --a------ C:\WINDOWS\system32\sbeddem.exe
2006-11-22 15:45 53,248 --ah----- C:\WINDOWS\system32\brwprf32.dll
2006-11-22 15:45 49,152 --ah----- C:\WINDOWS\system32\confbrw.dll
2006-11-22 15:45 40,960 --ah----- C:\WINDOWS\system32\brwperf.exe
2006-11-22 15:45 352,256 --ah----- C:\WINDOWS\system32\brwmgr32.dll
2006-11-22 15:45 143,360 --ah----- C:\WINDOWS\system32\brwstat.dll
2006-11-20 22:42 0 --a------ C:\WINDOWS\f8or9s.exe
2006-11-20 20:32 28,672 --a------ C:\WINDOWS\system32\mididpnh.dll
2006-11-20 20:32 24,576 --a------ C:\WINDOWS\system32\jgawmsne.dll
2006-11-20 20:32 20,480 --a------ C:\WINDOWS\system32\e1.dll
2006-11-20 20:32 16,384 --a------ C:\WINDOWS\system32\fpwppgpm.exe
2006-11-20 20:32 110,592 --a------ C:\WINDOWS\system32\sbeddem.dll
2006-11-19 16:15 20,992 --a------ C:\WINDOWS\jestertb.dll


anderer Rechner

O4 - HKLM\..\Run: [mspradme] C:\windows\system32\mspradme.exe

datfindbat

Verzeichnis von C:\WINDOWS
10.01.2007 18:02 736 RMTEMP~.EXE

Verzeichnis von C:\WINDOWS\system32
20.01.2007 13:35 20.480 e1.dll
20.01.2007 13:35 20.480 rdpwmsjt.exe
20.01.2007 13:35 28.672 vb5dmspo.dll
19.01.2007 14:21 24.576 mcd3mscm.dll
18.12.2006 20:47 64.512 mspradme.exe


2007-01-20 13:35 28,672 --a------ C:\WINDOWS\system32\vb5dmspo.dll
2007-01-20 13:35 20,480 --a------ C:\WINDOWS\system32\rdpwmsjt.exe
2007-01-20 13:35 20,480 --a------ C:\WINDOWS\system32\e1.dll
2007-01-19 14:21 24,576 --a------ C:\WINDOWS\system32\mcd3mscm.dll
2007-01-10 18:02 736 --a------ C:\WINDOWS\rmtemp~.exe
2006-12-18 20:47 64512 --a------ C:\WINDOWS\system32\mspradme.exe


weiter








©virus-protect.org      
startseite Valid HTML 4.01 Ranking-Hits antispam