Warezov
|
Warezov.CU.5 -> remove
Sicherheitsupdates funktionieren nicht
Beispiele
Avengerscript - Script wird aktualisiert, denn es gibt ständig neue Warezov-Varianten
INFO Über Worm/warezov.dll.c Verbreitungsmethode: Email - ICQ Aliases: Mcafee: W32/Stration@MM Kaspersky: Email-Worm.Win32.Warezov.ab TrendMicro: WORM_STRATION.BC F-Secure: Email-Worm.Win32.Warezov.ab Eset: Win32/Stration.AR Zugriffe auf folgende Domains wird erfolgreich unterbunden: download.microsoft.com; go.microsoft.com; msdn.microsoft.com; office.microsoft.com; windowsupdate.microsoft.com; downloads1.kaspersky-labs.com/products liveupdate.symantecliveupdate.com; Warezov.CU.5 / W32/Stration - removeZitat:"ein Bekannter hat mir nen Link geschickt (ICQ), er hätte nen neues Spiel entdeckt, sein Nick sei sowieso und ich solle mich mal anmelden."
HijacktHis
O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\yapconf.exe O20 - AppInit_DLLs: wbsys.dll psapdani.dll e1.dll confcon.dll constat.dll O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 17.10.2006 19:13 143.360 attstat.dll 17.10.2006 19:13 53.248 attprf32.dll 17.10.2006 19:13 49.152 atrconf.exe 17.10.2006 19:13 49.152 confatt.dll 17.10.2006 19:13 352.256 attmgr32.dll 17.10.2006 19:13 40.960 attperf.exe 17.10.2006 16:14 28.672 psapdani.dll 16.10.2006 17:02 270.336 constat.dll 16.10.2006 17:02 57.344 conprf32.dll 16.10.2006 17:02 61.440 confcon.dll 16.10.2006 17:02 540.672 conmgr32.dll 16.10.2006 17:02 49.152 conperf.exe 15.10.2006 15:17 106.496 samsusrr.dll 15.10.2006 15:16 8.704 e1.VIR 15.10.2006 15:16 20.480 netfrtm.VIR 15.10.2006 15:16 12.288 hypewmv9.exe 15.10.2006 15:16 28.672 psapdani.VIR Verzeichnis von C:\WINDOWS 17.10.2006 19:13 0 concfg.tmp 17.10.2006 18:19 0 hv4e05.dll 16.10.2006 17:02 0 dbmdata.tmp 16.10.2006 17:02 0 avistat.tmp 16.10.2006 17:02 0 egadata.tmp 15.10.2006 19:23 0 h6j40x.txt 15.10.2006 19:23 3.144.800 dqpdroc.ini 15.10.2006 15:22 0 sc.xml1 2. Durchlauf: Verzeichnis von C:\WINDOWS\system32 18.10.2006 11:15 80.996 samsusrr.exe
Combofix
((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 )))) 2006-10-17 19:13 53,248 --ah----- C:\WINDOWS\system32\attprf32.dll 2006-10-17 19:13 49,152 --ah----- C:\WINDOWS\system32\confatt.dll 2006-10-17 19:13 49,152 --ah----- C:\WINDOWS\system32\atrconf.exe 2006-10-17 19:13 40,960 --ah----- C:\WINDOWS\system32\attperf.exe 2006-10-17 19:13 352,256 --ah----- C:\WINDOWS\system32\attmgr32.dll 2006-10-17 19:13 143,360 --ah----- C:\WINDOWS\system32\attstat.dll 2006-10-17 19:13 108,511 --a------ C:\WINDOWS\smm126.exe 2006-10-17 19:12 80,996 --------- C:\WINDOWS\system32\samsusrr.exe 2006-10-17 18:19 0 --a------ C:\WINDOWS\hv4e05.dll 2006-10-17 16:14 28,672 --------- C:\WINDOWS\system32\psapdani.dll 2006-10-16 17:02 61,440 --ah----- C:\WINDOWS\system32\confcon.dll 2006-10-16 17:02 57,344 --ah----- C:\WINDOWS\system32\conprf32.dll 2006-10-16 17:02 540,672 --ah----- C:\WINDOWS\system32\conmgr32.dll 2006-10-16 17:02 49,152 --ah----- C:\WINDOWS\system32\conperf.exe 2006-10-16 17:02 270,336 --ah----- C:\WINDOWS\system32\constat.dll 2006-10-15 15:17 106,496 --a------ C:\WINDOWS\system32\samsusrr.dll 2006-10-15 15:16 8,704 --a------ C:\WINDOWS\system32\e1.VIR 2006-10-15 15:16 28,672 --a------ C:\WINDOWS\system32\psapdani.VIR 2006-10-15 15:16 20,480 --a------ C:\WINDOWS\system32\netfrtm.VIR 2006-10-15 15:16 12,288 --a------ C:\WINDOWS\system32\hypewmv9.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "egdiag"="C:\\WINDOWS\\system32\\atrconf.exe" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr
Avengerscript anwenden: weiter
anderer Rechner
HijacktHis
O20 - AppInit_DLLs: msisnwcf.dll e1.dll O20 - Winlogon Notify: lprmneth - C:\WINDOWS\system32\lprmneth.dll
datfindbat
C:\WINDOWS\system32\confcon.dll C:\WINDOWS\system32\confega.dll C:\WINDOWS\system32\conmgr32.dll C:\WINDOWS\system32\constat.dll C:\WINDOWS\system32\dmimmdt2.exe C:\WINDOWS\system32\dssconf.exe C:\WINDOWS\system32\e1.dll C:\WINDOWS\system32\egaavi.exe C:\WINDOWS\system32\egamgr32.dll C:\WINDOWS\system32\egastat.dll C:\WINDOWS\system32\egperf32.dll C:\WINDOWS\system32\evenncob.dll C:\WINDOWS\system32\ixsswmas.exe C:\WINDOWS\system32\lprmneth.dll C:\WINDOWS\system32\lprmneth.exe C:\WINDOWS\system32\msisnwcf.dll C:\WINDOWS\system32\snmpmmcn.dll C:\WINDOWS\system32\sysshtic.dll C:\WINDOWS\system32\sysshtic.exe C:\WINDOWS\system32\tscfvjoy.dll C:\WINDOWS\system32\vbscqdv.exe C:\WINDOWS\system32\winbpowr.exe C:\WINDOWS\system32\yapconf.exe anderer Rechner
HijacktHis
O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll O20 - Winlogon Notify: uregdeve - C:\WINDOWS\ anderer Rechner
HijacktHis
O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\yapconf.exe O20 - AppInit_DLLs: msisnwcf.dll e1.dll confcon.dll constat.dll psapdani.dll O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll O20 - Winlogon Notify: lprmneth - C:\WINDOWS\system32\lprmneth.dll (file missing) O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll anderer Rechner
Combofix
((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 ))))))))))) 2006-10-06 16:01 24 --a------ C:\WINDOWS\system32\sysmwwod.dll + C:\Programme\Direct MIDI to MP3 Converter
datfindbat
Verzeichnis von C:\WINDOWS\system32 16.10.2006 17:44 24 sysmwwod.dll anderer Rechner
HijacktHis
O20 - AppInit_DLLs: mp4sglmf.dll e1.dll O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll C:\DOKUME~1\Username\LOKALE~1\Temp\15B.tmp C:\WINDOWS\System32\vmhevnet.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vmhevnet
Combofix
((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 ))))))))))))))) 2006-10-17 17:03 8,704 --a------ C:\WINDOWS\system32\e1.dll 2006-10-17 17:03 32,768 --a------ C:\WINDOWS\system32\mp4sglmf.dll 2006-10-17 17:03 24,576 --a------ C:\WINDOWS\system32\msihftpw.dll 2006-10-17 17:03 20,480 --a------ C:\WINDOWS\system32\ipxpextm.exe 2006-10-17 17:03 122,880 --a------ C:\WINDOWS\system32\vmhevnet.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 18.10.2006 00:30 20.480 ipxpextm.exe 17.10.2006 22:29 94.720 vmhevnet.exe 17.10.2006 17:03 122.880 vmhevnet.dll 17.10.2006 17:03 8.704 e1.dll 17.10.2006 17:03 24.576 msihftpw.dll 17.10.2006 17:03 32.768 mp4sglmf.dll
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) -->
Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten...
virustotal
C:\WINDOWS\system32\attstat.dll Complete scanning result of "attstat.dll" Panda 9.0.0.4 10.17.2006 Suspicious file UNA 1.83 10.17.2006 I-Worm.Warezov.aw VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.2 (paranoid heuristics) C:\WINDOWS\system32\attprf32.dll NOD32v2 1.1808 10.17.2006 probably a variant of Win32/Stration VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.1 (paranoid heuristics) C:\WINDOWS\system32\atrconf.exe AntiVir 7.2.0.30 10.18.2006 HEUR/Malware Panda 9.0.0.4 10.17.2006 Suspicious file VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.2 (paranoid heuristics) C:\WINDOWS\system32\conperf.exe AntiVir 7.2.0.30 10.18.2006 Worm/Stration.BG AVG 386 10.17.2006 I-Worm/Stration.QX BitDefender 7.2 10.18.2006 Win32.Worm.Stration.BG DrWeb 4.33 10.18.2006 Win32.HLLM.Limar Kaspersky 4.0.2.24 10.18.2006 Email-Worm.Win32.Warezov.aw NOD32v2 1.1809 10.18.2006 Win32/Stration.HM UNA 1.83 10.17.2006 I-Worm.Warezov.aw VBA32 3.11.1 10.17.2006 suspected of Worm.Warezov.1 (paranoid heuristics)
datfindbat
Verzeichnis von C:\WINDOWS\system32 17.10.2006 19:13 143.360 attstat.dll 17.10.2006 19:13 53.248 attprf32.dll 17.10.2006 19:13 49.152 atrconf.exe 17.10.2006 19:13 49.152 confatt.dll 17.10.2006 19:13 352.256 attmgr32.dll 17.10.2006 19:13 40.960 attperf.exe 17.10.2006 16:14 28.672 psapdani.dll 16.10.2006 17:02 270.336 constat.dll 16.10.2006 17:02 57.344 conprf32.dll 16.10.2006 17:02 61.440 confcon.dll 16.10.2006 17:02 540.672 conmgr32.dll 16.10.2006 17:02 49.152 conperf.exe 15.10.2006 15:17 106.496 samsusrr.dll 15.10.2006 15:16 8.704 e1.VIR 15.10.2006 15:16 20.480 netfrtm.VIR 15.10.2006 15:16 12.288 hypewmv9.exe 15.10.2006 15:16 28.672 psapdani.VIR anderer Rechner
datfindbat
C:\WINDOWS\ 17.10.2006 18:54 108.511 smm126.exe 16.10.2006 15:49 3.144.800 dqpdroc.ini 16.10.2006 06:51 0 sc.xml1 Verzeichnis von C:\ 17.10.2006 20:38 38.684 viren.html Verzeichnis von C:\WINDOWS\system32 17.10.2006 22:41 80.996 samsusrr.exe 17.10.2006 19:54 12.288 hypewmv9.exe 17.10.2006 19:54 28.672 psapdani.dll 17.10.2006 18:54 143.360 attstat.dll 17.10.2006 18:54 53.248 attprf32.dll 17.10.2006 18:54 49.152 confatt.dll 17.10.2006 18:54 49.152 atrconf.exe 17.10.2006 18:54 352.256 attmgr32.dll 17.10.2006 18:54 40.960 attperf.exe 17.10.2006 16:02 61.440 GTMQF608R7.DLL.vir 17.10.2006 16:02 57.344 fsxsh4.dll 16.10.2006 06:46 106.496 samsusrr.dll 15.10.2006 15:38 20.480 NETFRTM.DLL.vir anderer PC
Combofix
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))) 2006-10-08 21:04 1056 --ahs---- C:\xjhjovma.sys (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))) C:\WINDOWS\secure32.html ((((((((((((((((((((((((((((((( Files Created from 2006-09-16 to 2006-10-16 ))))))))))) 2006-10-16 21:45 80,996 --a------ C:\WINDOWS\system32\samsusrr.exe 2006-10-16 19:37 61,440 --ah----- C:\WINDOWS\system32\confcon.dll 2006-10-16 19:37 57,344 --ah----- C:\WINDOWS\system32\conprf32.dll 2006-10-16 19:37 540,672 --ah----- C:\WINDOWS\system32\conmgr32.dll 2006-10-16 19:37 270,336 --ah----- C:\WINDOWS\system32\constat.dll 2006-10-14 21:46 106,496 --a------ C:\WINDOWS\system32\samsusrr.dll 2006-10-14 21:45 8,704 --a------ C:\WINDOWS\system32\E1.DLL.vir 2006-10-14 21:45 28,672 --a------ C:\WINDOWS\system32\PSAPDANI.DLL.vir 2006-10-14 21:45 20,480 --a------ C:\WINDOWS\system32\netfrtm.dll 2006-10-14 21:45 12,288 --a------ C:\WINDOWS\system32\hypewmv9.exe.vir [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "egdiag"="C:\\WINDOWS\\System32\\yapconf.exe" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr anderer PC
HijacktHis
O20 - AppInit_DLLs: mp4sglmf.dll e1.dll O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll
Combofix
((((((((((((((((((((((((((((((( Files Created from 2006-09-19 to 2006-10-19 ))))))))))))))) 2006-10-19 10:38 94,720 --a------ C:\WINDOWS\system32\vmhevnet.exe 2006-10-17 18:33 0 --a------ C:\WINDOWS\hv4e05.dll 2006-10-17 18:31 8,704 --a------ C:\WINDOWS\system32\e1.dll 2006-10-17 18:31 32,768 --a------ C:\WINDOWS\system32\mp4sglmf.dll 2006-10-17 18:31 24,576 --a------ C:\WINDOWS\system32\msihftpw.dll 2006-10-17 18:31 20,480 --a------ C:\WINDOWS\system32\ipxpextm.exe 2006-10-17 18:31 122,880 --a------ C:\WINDOWS\system32\vmhevnet.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 19.10.2006 10:38 94.720 vmhevnet.exe 17.10.2006 18:31 122.880 vmhevnet.dll 17.10.2006 18:31 8.704 e1.dll 17.10.2006 18:31 24.576 msihftpw.dll 17.10.2006 18:31 32.768 mp4sglmf.dll 17.10.2006 18:31 20.480 ipxpextm.exe anderer Rechner
HijacktHis
O20 - AppInit_DLLs: confatt.dll attstat.dll O20 - Winlogon Notify: attmgr - C:\WINDOWS\SYSTEM32\attmgr32.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 17.10.2006 19:10 143.360 attstat.dll 17.10.2006 19:10 53.248 attprf32.dll 17.10.2006 19:10 49.152 atrconf.exe 17.10.2006 19:10 49.152 confatt.dll 17.10.2006 19:10 352.256 attmgr32.dll 17.10.2006 19:10 40.960 attperf.exe Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 17.10.2006 17:08 18.765 avsmtptmp.$$$ 16.10.2006 19:56 9.292.400 EAD6.exe 16.10.2006 19:55 0 EAD6.tmp Verzeichnis von C:\WINDOWS 17.10.2006 19:09 0 dbmdata.tmp 17.10.2006 19:09 0 egadata.tmp 17.10.2006 19:09 0 concfg.tmp 17.10.2006 18:13 0 hv4e05.dll 16.10.2006 16:49 0 h6j40x.txt 16.10.2006 05:09 8.120 sc.tmp
Combofix
((((((((((((((((((((((((((((((( Files Created from 2006-09-20 to 2006-10-20 )))))))))))) 2006-10-19 18:51 30,601 --a------ C:\Dokumente und Einstellungen\Username\x.exe 2006-10-19 17:18 11,648 --a------ C:\WINDOWS\system32\drivers\pxscrmbl.sys 2006-10-19 05:00 53,248 --a------ C:\WINDOWS\system32\reg.exe 2006-10-17 19:10 53,248 --ah----- C:\WINDOWS\system32\attprf32.dll 2006-10-17 19:10 49,152 --ah----- C:\WINDOWS\system32\confatt.dll 2006-10-17 19:10 49,152 --ah----- C:\WINDOWS\system32\atrconf.exe 2006-10-17 19:10 40,960 --ah----- C:\WINDOWS\system32\attperf.exe 2006-10-17 19:10 352,256 --ah----- C:\WINDOWS\system32\attmgr32.dll 2006-10-17 19:10 143,360 --ah----- C:\WINDOWS\system32\attstat.dll 2006-10-17 18:13 0 --a------ C:\WINDOWS\hv4e05.dll HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr Win32.Warezov.bw - Email Worm-Error-Good Day -hello -Mail Delivery System -Mail server report -Mail Transaction Failed -picture -Server Report -status HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serv C:\WINDOWS\system32\cssewmpd (16384 bytes) C:\WINDOWS\system32\e1.dll (8192 bytes) C:\WINDOWS\system32\regaufat.dll (24576 bytes) C:\WINDOWS\system32\wupstlnt.dll (28672 bytes) C:\WINDOWS\serv.dll (7680 bytes) C:\WINDOWS\serv.s C:\WINDOWS\serv.wax C:\WINDOWS\serv.exe The worm also creates the following entries in the system registry to ensure that the worm file is run each time Windows is rebooted on the victim machine: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "serv"="%Windir%\serv.exe s" [HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows] "AppInit_DLLs"="wupstlnt.dll e1.dll" anderer Rechner
datfindbat
Verzeichnis von C:\WINDOWS\system32 20.10.2006 16:39 94.720 dfssrasc.exe 19.10.2006 17:43 53.248 audprf32.dll 19.10.2006 17:43 143.360 audstat.dll 19.10.2006 17:43 49.152 audconf.exe 19.10.2006 17:43 53.248 confaud.dll 19.10.2006 17:43 356.352 audmgr32.dll 19.10.2006 17:43 40.960 audperf.exe 18.10.2006 13:34 122.880 dfssrasc.dll 18.10.2006 13:33 24.576 offfmsre.dll 18.10.2006 13:33 20.480 ipsmwebh.exe 18.10.2006 13:33 28.672 psbaavic.dll 20.07.2006 14:26 104 attfd42.dll ->> ?? Verzeichnis von C:\WINDOWS\ 20.10.2006 16:39 109.100 msupdate.exe 19.10.2006 17:43 0 concfg.tmp 19.10.2006 17:43 0 egadata.tmp 19.10.2006 17:43 0 attcfg.tmp
Combofix
((((((((((((((((((((((((((((((( Files Created from 2006-09-20 to 2006-10-20 ))))))))))) 2006-10-20 16:39 94,720 --a--c--- C:\WINDOWS\system32\dfssrasc.exe 2006-10-20 16:39 109,100 --a--c--- C:\WINDOWS\msupdate.exe 2006-10-19 17:43 53,248 --ah-c--- C:\WINDOWS\system32\confaud.dll 2006-10-19 17:43 53,248 --ah-c--- C:\WINDOWS\system32\audprf32.dll 2006-10-19 17:43 49,152 --ah-c--- C:\WINDOWS\system32\audconf.exe 2006-10-19 17:43 40,960 --ah-c--- C:\WINDOWS\system32\audperf.exe 2006-10-19 17:43 356,352 --ah-c--- C:\WINDOWS\system32\audmgr32.dll 2006-10-19 17:43 143,360 --ah-c--- C:\WINDOWS\system32\audstat.dll 2006-10-18 13:34 122,880 --a--c--- C:\WINDOWS\system32\dfssrasc.dll 2006-10-18 13:33 28,672 --a--c--- C:\WINDOWS\system32\psbaavic.dll 2006-10-18 13:33 24,576 --a--c--- C:\WINDOWS\system32\offfmsre.dll 2006-10-18 13:33 20,480 --a--c--- C:\WINDOWS\system32\ipsmwebh.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dfssrasc
HijacktHis
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe O20 - AppInit_DLLs: confaud.dll audstat.dll psbaavic.dll O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll O20 - Winlogon Notify: dfssrasc - C:\WINDOWS\System32\dfssrasc.dll anderer Rechner
HijacktHis
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe O20 - AppInit_DLLs: mp4sglmf.dll e1.dll confaud.dll audstat.dll O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\System32\vmhevnet.dll
datfindbat
Verzeichnis von C:\WINDOWS 21.10.2006 11:54 109.100 msupdate.exe Verzeichnis von C:\WINDOWS\system32 21.10.2006 11:53 94.720 vmhevnet.exe 19.10.2006 17:10 53.248 audprf32.dll 19.10.2006 17:10 143.360 audstat.dll 19.10.2006 17:10 53.248 confaud.dll 19.10.2006 17:10 356.352 audmgr32.dll 19.10.2006 17:10 40.960 audperf.exe 17.10.2006 15:05 122.880 vmhevnet.dll 17.10.2006 15:04 8.704 e1.dll 17.10.2006 15:04 20.480 ipxpextm.exe 17.10.2006 15:04 24.576 msihftpw.dll 17.10.2006 15:04 32.768 mp4sglmf.dll HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vmhevnet anderer Rechner
HijacktHis
O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\atrconf.exe O20 - AppInit_DLLs: psapdani.dll confatt.dll attstat.dll O20 - Winlogon Notify: attmgr - C:\WINDOWS\SYSTEM32\attmgr32.dll O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 06-10-18 10:07 49,152 atrconf.exe 06-10-17 19:19 143,360 attstat.dll 06-10-17 19:19 49,152 confatt.dll 06-10-17 19:19 53,248 attprf32.dll 06-10-17 19:19 352,256 attmgr32.dll 06-10-17 19:19 40,960 attperf.exe Verzeichnis von C:\DOKUME~1\Weda\LOKALE~1\Temp 06-10-18 16:46 107,444 bt3235.bat Verzeichnis von C:\WINDOWS 06-10-17 19:19 0 concfg.tmp 06-10-17 19:19 0 dbmdata.tmp 06-10-17 19:19 0 egadata.tmp 06-10-17 12:37 0 hv4e05.dll 06-10-15 04:02 0 sc.xml1 06-10-15 03:59 0 h6j40x.txt
hoster.zip anwenden
Press 'Restore Original Hosts' and press 'OK' Exit Program. anderer Rechner
HijacktHis
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe O20 - AppInit_DLLs: psbaavic.dll e1.dll confaud.dll audstat.dll O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing) O20 - Winlogon Notify: dfssrasc - C:\WINDOWS\system32\dfssrasc.dll C:\WINDOWS 23.10.2006 11:19 0 egadata.tmp 23.10.2006 11:19 0 attcfg.tmp 23.10.2006 11:19 0 concfg.tmp 23.10.2006 11:14 0 0.log 18.10.2006 18:22 0 jw9ucgel.scf 18.10.2006 18:21 0 sc.xml1 C:\WINDOWS\system32 23.10.2006 11:24 94.720 dfssrasc.exe 19.10.2006 17:38 143.360 audstat.dll 19.10.2006 17:38 53.248 audprf32.dll 19.10.2006 17:38 49.152 audconf.exe 19.10.2006 17:38 40.960 audperf.exe 18.10.2006 17:19 122.880 dfssrasc.dll 18.10.2006 17:19 8.704 e1.dll 18.10.2006 17:19 24.576 offfmsre.dll 18.10.2006 17:19 20.480 ipsmwebh.exe 18.10.2006 17:19 28.672 psbaavic.dll anderer Rechner
HijacktHis
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe O4 - HKLM\..\Run: [sserrvv] C:\WINDOWS\sserrvv.exe s O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\cc5.exe s O20 - AppInit_DLLs: e1.dll psbaavic.dll confaud.dll audstat.dll O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing) O20 - Winlogon Notify: dfssrasc - C:\WINDOWS\system32\dfssrasc.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 23.10.2006 15:54 9.216 e1.dll 22.10.2006 11:43 40.448 scsm.exe 19.10.2006 17:12 143.360 audstat.dll 19.10.2006 17:12 40.960 audperf.exe 18.10.2006 12:01 122.880 dfssrasc.dll 18.10.2006 12:01 8.704 e1.dll 18.10.2006 12:01 28.672 psbaavic.dll 18.10.2006 12:01 20.480 ipsmwebh.exe 18.10.2006 12:01 24.576 offfmsre.dll Verzeichnis von C:\WINDOWS C:\WINDOWS\msupdtwiz.exe 23.10.2006 17:49 4 msupdtwiz.c 23.10.2006 15:56 0 msupdtwiz.s 23.10.2006 15:54 0 msupdtwiz.z 23.10.2006 15:54 16 msupdtwiz.dat 22.10.2006 16:06 1.969.581.653 sc.tmp 22.10.2006 15:49 1.986.479.607 sserrvv.wax 22.10.2006 15:47 4 sserrvv.c 22.10.2006 14:32 0 sserrvv.s 22.10.2006 12:50 16 serrv.dat 22.10.2006 12:44 0 sserrvv.z 22.10.2006 11:45 0 jw9ucgel.scf 19.10.2006 17:12 0 attcfg.tmp 19.10.2006 17:12 0 concfg.tmp 19.10.2006 17:12 0 egadata.tmp anderer PC
HijacktHis
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 22.10.2006 15:09 143.360 brwstat.dll 22.10.2006 15:09 53.248 brwprf32.dll 22.10.2006 15:09 49.152 confbrw.dll 22.10.2006 15:09 352.256 brwmgr32.dll 22.10.2006 15:09 40.960 brwperf.exe 19.10.2006 08:55 9.216 e1.dll Verzeichnis von C:\WINDOWS 23.10.2006 09:54 16 sserrvv.dat 19.10.2006 08:58 16 serrv.dat anderer PC
HijacktHis
O20 - AppInit_DLLs: evenncob.dll e1.dll confcon.dll constat.dll O20 - Winlogon Notify: conmgr - C:\windows\SYSTEM32\conmgr32.dll O20 - Winlogon Notify: dssmgr - egamgr32.dll (file missing) O20 - Winlogon Notify: sysshtic - C:\windows\system32\sysshtic.dll O20 - Winlogon Notify: WgaLogon - C:\windows\ 2006-10-19 06:52 0 --a------ C:\WINDOWS\c6wsq6.reg 2006-10-19 06:19 134,144 --a------ C:\WINDOWS\msout.exe 2006-10-19 03:18 8,704 --a------ C:\WINDOWS\SYSTEM32\e1.dll 2006-10-19 03:18 133,120 --a------ C:\WINDOWS\serrv.exe 2006-10-18 19:13 53,248 --ah----- C:\WINDOWS\SYSTEM32\brwprf32.dll 2006-10-18 19:13 49,152 --ah----- C:\WINDOWS\SYSTEM32\confbrw.dll 2006-10-18 19:13 49,152 --ah----- C:\WINDOWS\SYSTEM32\brwconf.exe 2006-10-18 19:13 40,960 --ah----- C:\WINDOWS\SYSTEM32\brwperf.exe 2006-10-18 19:13 352,256 --ah----- C:\WINDOWS\SYSTEM32\brwmgr32.dll 2006-10-18 19:13 143,360 --ah----- C:\WINDOWS\SYSTEM32\brwstat.dll 2006-10-18 19:13 109,256 --a------ C:\WINDOWS\twain22.exe 2006-10-18 11:12 141,312 --a------ C:\WINDOWS\cc3.exe 2006-10-17 14:37 0 --a------ C:\WINDOWS\hv4e05.dll 2006-10-17 14:04 142,336 --a------ C:\WINDOWS\cc2.exe 2006-10-17 14:03 81,932 --a------ C:\WINDOWS\SYSTEM32\sysshtic.exe 2006-10-17 13:33 81,920 --ah----- C:\WINDOWS\SYSTEM32\yapconf.exe 2006-10-16 16:01 53,248 --ah----- C:\WINDOWS\SYSTEM32\confatt.dll 2006-10-16 16:01 53,248 --ah----- C:\WINDOWS\SYSTEM32\attprf32.dll 2006-10-16 16:01 49,152 --ah----- C:\WINDOWS\SYSTEM32\atrconf.exe 2006-10-16 16:01 40,960 --ah----- C:\WINDOWS\SYSTEM32\attperf.exe 2006-10-16 16:01 356,352 --ah----- C:\WINDOWS\SYSTEM32\attmgr32.dll 2006-10-16 16:01 143,360 --ah----- C:\WINDOWS\SYSTEM32\attstat.dll 2006-10-13 11:39 528,384 --ah----- C:\WINDOWS\SYSTEM32\conmgr32.dll 2006-10-13 11:39 34,304 --a------ C:\WINDOWS\SYSTEM32\alerter.exe 2006-10-13 11:39 258,048 --ah----- C:\WINDOWS\SYSTEM32\constat.dll 2006-10-13 11:39 133,961 --a------ C:\WINDOWS\cct.exe 2006-10-10 18:39 0 --a------ C:\WINDOWS\cesm9q.reg 2006-10-06 22:35 0 --a------ C:\WINDOWS\eevmwk.reg 2006-10-06 21:57 3,144,800 --a------ C:\WINDOWS\semr8u8j8n.dll 2006-10-06 21:54 28,672 --a------ C:\WINDOWS\SYSTEM32\evenncob.dll 2006-10-06 21:54 110,592 --a------ C:\WINDOWS\SYSTEM32\sysshtic.dll 2006-10-14 19:59 -------- d-------- C:\Program Files\SpyCQ 2006-10-13 17:03 -------- d-------- C:\Program Files\????? ???? [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "brwdiag"="C:\\windows\\system32\\brwconf.exe" "serrv"="C:\\windows\\serrv.exe s" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dssmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sysshtic C:\windows\tasks\??????-??????? ?????.job C:\windows\tasks\??????-???? ?????.job C:\windows\tasks\??????-????? ????.job anderer PC
datfindbat
Verzeichnis von C:\WINDOWS\system32 24.10.2006 17:20 80.996 samsusrr.exe 24.10.2006 15:22 12.288 hypewmv9.exe 23.10.2006 21:26 28.672 psapdani.dll 21.10.2006 22:48 0 tdifmon.log 21.10.2006 21:44 8.704 e1.dll 20.10.2006 14:48 143.360 audstat.dll 20.10.2006 14:48 53.248 audprf32.dll 20.10.2006 14:48 40.960 audperf.exe 14.10.2006 18:22 106.496 samsusrr.dll Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 24.10.2006 17:41 107.540 bt2578.bat Verzeichnis von C:\WINDOWS 24.10.2006 15:23 2.105.494.259 msupdtwiz.wax 23.10.2006 22:32 135.680 cc5.exe 23.10.2006 22:32 0 msupdtwiz.z 23.10.2006 22:32 16 msupdtwiz.dat 23.10.2006 22:31 103.936 msupdtwiz.exe 21.10.2006 23:25 775.328.256 serrv.wax 21.10.2006 23:25 4 serrv.c 21.10.2006 22:54 2.560 _MSRSTRT.EXE 21.10.2006 21:54 0 serrv.s 21.10.2006 21:44 0 serrv.z 21.10.2006 21:44 0 jw9ucgel.scf 20.10.2006 16:19 0 attcfg.tmp 17.10.2006 19:10 0 dbmdata.tmp 17.10.2006 19:10 0 egadata.tmp 17.10.2006 19:10 0 concfg.tmp 17.10.2006 17:08 3.144.800 ec2md8g.log 16.10.2006 16:35 337.782 setupapi.log 14.10.2006 18:35 0 h6j40x.txt 14.10.2006 18:32 0 sc.xml1 5 = Lokalen Administrator ermöglichen, Einstellung auszuwählen Mit dieser Option lassen Sie zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung eine gewünschte Konfigurationsoption auswählen. Sie können z. B. einen Zeitpunkt für eine Installation nach Zeitplan auswählen. Lokale Administratoren können die automatischen Updates nicht deaktivieren.
http://www.wsus.de
http://www.tu-braunschweig.de
anderer Rechner blauen Hintergrund habe und da drauf steht: Delete SPYware! System Error #384
HijacktHis
O4 - HKLM\..\Run: [isrdiag] E:\WINDOWS\System32\isrconf.exe O4 - HKLM\..\Run: [brwdiag] E:\WINDOWS\System32\brwconf.exe O4 - HKCU\..\Run: [sys32] E:\WINDOWS\alerter.exe O20 - AppInit_DLLs: e1.dll diagisr.dll statisr.dll confbrw.dll brwstat.dll alrsbatt.dll kbdcrtut.dll O20 - Winlogon Notify: brwmgr - E:\WINDOWS\SYSTEM32\brwmgr32.dll O20 - Winlogon Notify: inetzlco - E:\WINDOWS\System32\inetzlco.dll O20 - Winlogon Notify: isrconf - E:\WINDOWS\SYSTEM32\cfgisr.dll O20 - Winlogon Notify: wmspmsv1 - E:\WINDOWS\System32\wmspmsv1.dll (file missing) O20 - Winlogon Notify: zlcocard - E:\WINDOWS\System32\zlcocard.dll
datfindbat
Verzeichnis von E:\WINDOWS\system32 02.12.2006 20:14 94.720 inetzlco.exe 02.12.2006 20:14 96.256 zlcocard.exe 02.12.2006 20:05 1.830 system_error.html 02.12.2006 14:09 122.880 inetzlco.dll 02.12.2006 14:09 24.576 mprmsfma.dll 02.12.2006 14:09 20.480 imagalrs.exe 02.12.2006 14:09 28.672 kbdcrtut.dll 30.11.2006 19:16 20.480 packwlda.exe 30.11.2006 19:16 24.576 strmwin8.dll 30.11.2006 19:16 28.672 alrsbatt.dll 30.11.2006 19:16 0 wmspmsv1.z1 30.11.2006 19:16 122.880 zlcocard.dll 30.11.2006 19:16 0 40.tmp 30.11.2006 19:16 135.168 40.tmp.exe 30.11.2006 10:34 143.360 brwstat.dll 30.11.2006 10:34 49.152 brwconf.exe 30.11.2006 10:34 53.248 brwprf32.dll 30.11.2006 10:34 49.152 confbrw.dll 30.11.2006 10:34 352.256 brwmgr32.dll 30.11.2006 10:34 40.960 brwperf.exe 29.11.2006 14:35 192.520 statisr.dll 29.11.2006 14:35 53.248 isrprf32.dll 29.11.2006 14:35 49.152 isrconf.exe 29.11.2006 14:35 49.152 diagisr.dll 29.11.2006 14:35 401.416 cfgisr.dll 29.11.2006 14:35 40.960 isrprov.exe 27.11.2006 21:17 20.480 e1.dll Verzeichnis von E:\WINDOWS 02.12.2006 21:37 0 dxtdata.tmp 02.12.2006 21:37 0 concfg.tmp 02.12.2006 21:37 0 fsddata.tmp 02.12.2006 21:37 0 egadata.tmp 02.12.2006 21:37 0 attcfg.tmp 02.12.2006 21:37 0 ekfdata.tmp 02.12.2006 13:55 16 reggserv.dat 02.12.2006 13:52 40.448 alerter.exe 29.11.2006 19:18 52 cddabase.ini 28.11.2006 20:10 0 k6jb7v.scf
HijacktHis
O20 - AppInit_DLLs: mididpnh.dll e1.dll confbrw.dll brwstat.dll O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll sbeddem.dll - brwmgr.dll - ccsserv.exe AntiVir 7.2.0.46 11.27.2006 WORM/Stration.Gen - Worm/Stration.BL.3 - TR/Dldr.Stration.I Authentium 4.93.8 11.24.2006 W32/Warezov.gen4 AVG 386 11.27.2006 I-Worm/Stration.BCD BitDefender 7.2 11.27.2006 Win32.Warezov.FY@mm DrWeb 4.33 11.27.2006 Win32.HLLM.Limar Ewido 4.0 11.27.2006 Worm.Warezov.fz F-Prot 3.16f 11.24.2006 W32/Warezov.gen4 F-Prot4 4.2.1.29 11.24.2006 W32/Warezov.gen4 Kaspersky 4.0.2.24 11.27.2006 Email-Worm.Win32.Warezov.fz McAfee 4904 11.24.2006 W32/Stration@MM Microsoft 1.1804 11.27.2006 no virus found NOD32v2 1885 11.27.2006 Win32/Stration.PH Norman 5.80.02 11.27.2006 W32/Stration.CGT Panda 9.0.0.4 11.26.2006 Trj/Spamtaload.BJ * Decompressing UPX. * File length: 112128 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\ccsserv.exe * Creates file C:\WINDOWS\ccsserv.dat * Creates file C:\WINDOWS\SYSTEM32\e1.dll [ Changes to registry ] * Creates value "ccsserv"="C:WINDOWSccsserv.exe s" in key 2006-12-08 22:26 87,552 --a------ C:\WINDOWS\system32\sbeddem.exe 2006-11-22 15:45 53,248 --ah----- C:\WINDOWS\system32\brwprf32.dll 2006-11-22 15:45 49,152 --ah----- C:\WINDOWS\system32\confbrw.dll 2006-11-22 15:45 40,960 --ah----- C:\WINDOWS\system32\brwperf.exe 2006-11-22 15:45 352,256 --ah----- C:\WINDOWS\system32\brwmgr32.dll 2006-11-22 15:45 143,360 --ah----- C:\WINDOWS\system32\brwstat.dll 2006-11-20 22:42 0 --a------ C:\WINDOWS\f8or9s.exe 2006-11-20 20:32 28,672 --a------ C:\WINDOWS\system32\mididpnh.dll 2006-11-20 20:32 24,576 --a------ C:\WINDOWS\system32\jgawmsne.dll 2006-11-20 20:32 20,480 --a------ C:\WINDOWS\system32\e1.dll 2006-11-20 20:32 16,384 --a------ C:\WINDOWS\system32\fpwppgpm.exe 2006-11-20 20:32 110,592 --a------ C:\WINDOWS\system32\sbeddem.dll 2006-11-19 16:15 20,992 --a------ C:\WINDOWS\jestertb.dll anderer Rechner
HijacktHis
O4 - HKLM\..\Run: [mspradme] C:\windows\system32\mspradme.exe
datfindbat
Verzeichnis von C:\WINDOWS 10.01.2007 18:02 736 RMTEMP~.EXE Verzeichnis von C:\WINDOWS\system32 20.01.2007 13:35 20.480 e1.dll 20.01.2007 13:35 20.480 rdpwmsjt.exe 20.01.2007 13:35 28.672 vb5dmspo.dll 19.01.2007 14:21 24.576 mcd3mscm.dll 18.12.2006 20:47 64.512 mspradme.exe 2007-01-20 13:35 28,672 --a------ C:\WINDOWS\system32\vb5dmspo.dll 2007-01-20 13:35 20,480 --a------ C:\WINDOWS\system32\rdpwmsjt.exe 2007-01-20 13:35 20,480 --a------ C:\WINDOWS\system32\e1.dll 2007-01-19 14:21 24,576 --a------ C:\WINDOWS\system32\mcd3mscm.dll 2007-01-10 18:02 736 --a------ C:\WINDOWS\rmtemp~.exe 2006-12-18 20:47 64512 --a------ C:\WINDOWS\system32\mspradme.exe
weiter
|
