Wird von AntiVir erkannt, kann aber nicht eliminiert werden.

Das Teil befindet sich auf einem Rechner eines Kunden, bei selchem ich heute einige Reparaturen durchgeführt habe.

Per Google sind leider keinerlei Informationen zu bekommen.

Löschen der zugehörigen Reg-Einträge bzw. Files (im mormalen bzw. abgesicherten Modus führen zu keinem Erfolg.

Ebenso der Einsatz der hier genannten Tools nicht, netten Start- und Reg-Einträge bzw. Files werden sofort wieder erstellt.

Für eventuelle Hinweise danke ich im voraus recht herzlich.

Mike

Hallöchen,

schon mal einen Onlinescan bei Trendmicro gemacht?

http://de.trendmicro-europe.com/consumer/products/housecall_pre.php

Ansonsten mach doch mal einen Scan mit HijckThis und poste das Logfile hier. Eventuell hast du ja etwas übersehen...

http://board.protecus.de/showtopic.php?threadid=9391
hIjackThis

Du kannst es laden, save und dann ins Forum kopieren.
Kann in diesem Forum sein, oder direkt bei Protectus.
Wir schauen es uns dann mal an...vielleicht finden wir was.
....................................................................................................
Tipp:
deaktiviere die Wiederherstellung vor dem Scann....
Lade den Patch fuer Outlook
http://www.microsoft.com/technet/securi ... 4-013.mspx

MfG
Nikita

http://www.gecadsoftware.com/antivirus/?AID=773
http://de.trendmicro-europe.com/enterpr ... M_WALLON.A

Bin leider nicht mehr am betroffenen Rechner, habe aber dem Kunden eben eine Mail gesendet, mit dem Auftrag, die von euch vorgeschlagene Vorgehensweise auszuführen ... Hijack-Log wird folgen ...

Mike

Hallo, endlich hat mir mein Kunde das Log aus HijackThis gesendet:

Logfile of HijackThis v1.98.0
Scan saved at 20:33:22, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\t-online\EMAIL4\mail.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Adolf\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\WINDOWS\System32\zq6g3z33j9.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Game Service] C:\PROGRA~1\ubi.com\Core\GS4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [7kzzbzzh94] C:\WINDOWS\xfy2d4tyo0.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packa ... anager.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/godcheck/CLASSES/ExentCtl.ocx
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/softwar ... launch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48A25B60-0B28-4FE7-B260-B3D6EC0F33FD}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{48A25B60-0B28-4FE7-B260-B3D6EC0F33FD}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{48A25B60-0B28-4FE7-B260-B3D6EC0F33FD}: NameServer = 217.237.150.97 194.25.2.129
O20 - AppInit_DLLs: mydocs.tlb


Ich enthalte mich jetzt einfach mal jedes Kommentars und bin gespannt auf euer Urteil bzw. auf eure Tipps ...

mal wieder besten Dnk im voraus ...


Mike

@gmschwarz

#deaktiviere die Wiederherstellung
#lade
Killbox.
http://download.broadbandmedic.com/cgi- ... d.cgi?id=3

scanne mit dem HijackThis, dann hake an, was ich poste und dann \fix\
O2 - BHO: (no name) - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\WINDOWS\System32\zq6g3z33j9.dll
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [7kzzbzzh94] C:\WINDOWS\xfy2d4tyo0.exe
O20 - AppInit_DLLs: mydocs.tlb

das sollte aus dem Autostart raus
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

neustarten

gehe in den abgesicherten Modus

Gehe in die Registry
Start\Ausfuehren \regedit
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
loesche
[uninstal] regsvr32
[7kzzbzzh94]



Loesche mit der Killbox. oder manuell
C:\WINDOWS\system32\mydocs.tlb
C:\WINDOWS\System32\zq6g3z33j9.dll
C:\WINDOWS\xfy2d4tyo0.exe
C:\WINDOWS\regsvr32 /u /s image.dll ...falls sie auffindbar ist


#Konfiguriere den Antivirus AVGCtrl

Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

und mache einen Vollscann mit dem Antivirus.


#normal neustarten

#Lade mwav.exe...30 Tage free
und scanne \alle Datein\
http://www.mwti.net/antivirus/free_utilities.asp


Dann poste das Log noch mal, wenn du willst, zur Ueberpruefung...aber nur bis Dienstag, dann bin ich nicht mehr da bis Ende Juli...Ferien !!!!
MfG
Nikita

Hallo nikita,

ich danke Dir für die prompte Antwort und die Tipps,
ich werde die entsprechenden Maßnahmen bei meinem Kunden durchführen und die Resultate hier posten.

Mit den allerbesten Grüßen,

Mike