hijackthis

[Kanye west]

Logfile of HijackThis v1.99.1
Scan saved at 22:05:56, on 19.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Tim\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrac_6.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Dokumente und Einstellungen\Tim\Eigene Dateien\Xfire\Xfire.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0135405716
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EC90F65-6BE7-4161-AD8B-7EAEEFB40E97}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\dn6s01j7e.dll (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

danke schon mal

[Kanye west]

also ich habe kaspersky anti virus und da war die lizens abgelaufen und dann hab ich mir erst nach ein paar tagen ne neue bestellt.
und als ich dann den ganzen pc gescannt habe hatte ich ca. 7 trojaner drauf und ich habe immer werbung bekommen und immer wenn ich einen ordner öffne kommt so ein komischer ton was alles vorher noch nihct war und ich habe nichts an den einstellungen geändert.
und jetzt wollte ich mal wissen ob alles in ordnung ist..!?

[Nikita]

fixe mit dem HijackThis.

O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrac_6.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\dn6s01j7e.dll (file missing)

neustarten

1.
Look2Me-Destroyer V1.0.5 abarbeiten
http://virus-protect.org/l2mfix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

[Kanye west]

wie meinst du fixe mit dem HijackThis???

und hier ist der Look2me destroyer:


Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 20.07.2006 14:04:39

Infected! C:\WINDOWS\system32\dn6s01j7e.dll
Infected! C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088950.dll
Infected! C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088969.dll
Infected! C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088974.dll
Infected! C:\WINDOWS\System32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088950.dll
C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088950.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088969.dll
C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088969.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088974.dll
C:\System Volume Information\_restore{8093A7D8-6C6E-47B1-9CEE-D4131C47A0E0}\RP61\A0088974.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\System32\guard.tmp
C:\WINDOWS\System32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellServiceObjectDelayLoad

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{AB5C59F8-6375-4406-967C-3973F0FF50DD}"
HKCR\Clsid\{AB5C59F8-6375-4406-967C-3973F0FF50DD}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A1286AD0-41ED-46C1-9506-186CB48413D4}"
HKCR\Clsid\{A1286AD0-41ED-46C1-9506-186CB48413D4}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded




der rest kommt auch gleich

[Nikita]

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrac_6.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\dn6s01j7e.dll (file missing)

[Kanye west]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCDC-703F

Verzeichnis von C:\WINDOWS\system32

20.07.2006 14:13 0 nmp.log
20.07.2006 14:09 0 _nvidia_xxx_.log
20.07.2006 14:07 17.555 nvapps.xml
18.07.2006 14:34 4.212 zllictbl.dat
18.07.2006 13:51 32.768 setup.exe.tmp
13.07.2006 15:39 2.184 wpa.dbl
07.07.2006 20:48 98.304 CmdLineExt.dll
07.07.2006 03:21 6.757.792 MRT.exe
13.06.2006 13:56 23.392 nscompat.tlb
13.06.2006 13:56 16.832 amcompat.tlb
12.06.2006 20:17 0 h323log.txt
12.06.2006 19:52 311.604 perfh009.dat
12.06.2006 19:52 316.594 perfh007.dat
12.06.2006 19:52 39.992 perfc009.dat
12.06.2006 19:52 48.156 perfc007.dat
12.06.2006 19:52 723.744 PerfStringBackup.INI
12.06.2006 19:29 25.065 wmpscheme.xml
12.06.2006 19:28 90.296 FNTCACHE.DAT
12.06.2006 19:27 261 $winnt$.inf
12.06.2006 19:25 2.951 CONFIG.NT
12.06.2006 19:25 488 WindowsLogon.manifest
12.06.2006 19:25 488 logonui.exe.manifest
12.06.2006 19:24 749 wuaucpl.cpl.manifest
12.06.2006 19:24 749 sapi.cpl.manifest
12.06.2006 19:24 749 nwc.cpl.manifest
12.06.2006 19:24 749 ncpa.cpl.manifest
12.06.2006 19:24 749 cdplayer.exe.manifest
12.06.2006 19:23 21.740 emptyregdb.dat
02.11.2005 00:44 127.574 tsuninst.exe
22.07.2005 19:59 2.319.568 d3dx9_27.dll
03.06.2005 15:09 454.656 CapabilityTable.exe

[Kanye west]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCDC-703F

Verzeichnis von C:\DOKUME~1\Tim\LOKALE~1\Temp

20.07.2006 14:07 0 BCG3.tmp
20.07.2006 13:52 0 BCG2.tmp
18.07.2006 15:18 165.376 GLC7.tmp
18.07.2006 15:18 71.680 GLB6.tmp
18.07.2006 14:36 16.384 ~DF4EF8.tmp
18.07.2006 14:00 16.384 ~DF9902.tmp
18.07.2006 13:57 16.384 ~DF9BB7.tmp
18.07.2006 13:51 16.384 ~DFBF46.tmp
16.07.2006 19:53 717 control.xml
16.07.2006 18:06 1.780.573 1940561.dmp
16.07.2006 18:06 0 WER2D.tmp
16.07.2006 10:45 1.708 BCG1.tmp
15.07.2006 17:54 239 1F1205F7.TMP
15.07.2006 15:19 0 E4C54E.dmp
15.07.2006 15:19 0 WER56.tmp
07.07.2006 20:50 46.596 drm_dialogs.dll
07.07.2006 20:50 4.592 temp.ani
07.07.2006 18:52 226 _isdelet.ini
05.07.2006 19:31 0 fla48.tmp
25.06.2006 21:56 0 ~DF67.tmp
25.06.2006 14:09 0 fla28.tmp
25.06.2006 14:09 0 fla23.tmp
22.06.2006 22:19 73.276 ~e5.0001
21.06.2006 20:40 1.743 {35CB6715-41F8-4F99-8881-6FC75BF054B0}.mif
20.06.2006 13:22 667.688 tmp-2.xpi
16.06.2006 18:36 7.902 ICQF.tmp
16.06.2006 18:36 3.211 ICQE.tmp
16.06.2006 18:31 1.892 ICQC.tmp
16.06.2006 18:31 3.620 ICQD.tmp
16.06.2006 18:28 16.384 ~DF3D5E.tmp
16.06.2006 18:28 16.384 ~DF2D64.tmp
15.06.2006 19:47 0 WMP35.tmp
14.06.2006 12:42 16.384 ~DF83C2.tmp
14.06.2006 12:36 16.384 ~DFA0BD.tmp
14.06.2006 00:43 2.845.657 tmp-1.xpi
14.06.2006 00:42 920.068 tmp.xpi
13.06.2006 23:04 116.688 set320.tmp
13.06.2006 20:39 36.608 bas300.tmp
12.06.2006 19:48 5.310 plf1.tmp
09.05.2006 10:47 31 searchurl_de_de.txt
07.05.2006 19:12 32.855 ICQRT.dll
02.11.2005 00:44 127.574 GLF66GLF66.EXE
18.10.2005 23:47 733.184 AutoRun.exe

[Kanye west]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCDC-703F

Verzeichnis von C:\WINDOWS

20.07.2006 14:15 1.739.881 WindowsUpdate.log
20.07.2006 14:09 0 0.log
20.07.2006 14:07 2.048 bootstat.dat
20.07.2006 01:14 32.644 SchedLgU.Txt
20.07.2006 01:13 23 BlendSettings.ini
19.07.2006 18:59 898.057 setupapi.log
19.07.2006 10:59 50 wiaservc.log
19.07.2006 10:59 216 wiadebug.log
19.07.2006 10:58 210.403 iis6.log
19.07.2006 10:58 64.665 tsoc.log
19.07.2006 10:58 53.800 comsetup.log
19.07.2006 10:58 6.523 KB834707-IE6SP1-20040929.091901.log
19.07.2006 10:58 31.560 ntdtcsetup.log
19.07.2006 10:58 1.374 imsins.log
19.07.2006 10:58 64.996 ocgen.log
19.07.2006 10:58 5.284 ocmsn.log
19.07.2006 10:58 6.722 msgsocm.log
19.07.2006 10:58 126.150 FaxSetup.log
19.07.2006 10:58 51.336 msmqinst.log
19.07.2006 10:58 7.185 KB823559.log
18.07.2006 15:16 2.560 _MSRSTRT.EXE
18.07.2006 15:05 1.165 OEWABLog.txt
18.07.2006 15:02 20.096 Active Setup Log.txt
18.07.2006 14:57 1.376 ie7beta3_main.log
18.07.2006 14:24 5.491 Active Setup Log.BAK
16.07.2006 19:53 50.060 wmsetup.log
11.07.2006 22:24 325.104 DirectX.log
10.07.2006 00:53 3.869 imsins.BAK
07.07.2006 18:48 69 NeroDigital.ini
22.06.2006 21:39 220 RomeTW.ini
15.06.2006 20:12 30.324 xpsp1hfm.log
15.06.2006 20:12 21.737 Q329834.log
15.06.2006 20:12 21.336 Q329048.log
15.06.2006 20:11 19.941 KB834707-IE6-20040929.115007.log
15.06.2006 20:11 20.205 Q810577.log
15.06.2006 20:11 17.027 Q810833.log
15.06.2006 20:10 14.004 Q811630.log
15.06.2006 20:10 12.830 Q815021.log
15.06.2006 20:10 12.168 Q329441.log
15.06.2006 20:09 11.894 Q817606.log
15.06.2006 20:09 8.740 Q329170.log
15.06.2006 20:08 1.628 Q329115.log
15.06.2006 20:08 1.264 Q329390.log
15.06.2006 20:08 961 Q323255.log
14.06.2006 20:12 7.140 svcpack.log
14.06.2006 19:48 990 KB914798.log
14.06.2006 12:55 15.025 KB828741.log
14.06.2006 12:54 9.170 KB835732.log
14.06.2006 00:43 3.539 mozver.dat
13.06.2006 23:08 546 win.ini
13.06.2006 23:04 2.061 system.ini
13.06.2006 13:53 228 wmsetup10.log
13.06.2006 13:53 316.640 WMSysPr9.prx
13.06.2006 13:53 299.552 WMSysPrx.prx
12.06.2006 20:19 0 nsreg.dat
12.06.2006 20:13 1.920 regopt.log
12.06.2006 20:10 0 Sti_Trace.log
12.06.2006 20:06 6.201 KB842773.log
12.06.2006 20:06 175.303 setupact.log
12.06.2006 19:44 5.524 Ascd_tmp.ini
12.06.2006 19:39 0 _nvidia_xxx_.log
12.06.2006 19:39 26 Dateiname
12.06.2006 19:33 172 AOMUTL.log
12.06.2006 19:32 172 NVopf.log
12.06.2006 19:32 90 NVDrvInst.log
12.06.2006 19:32 157 arcobat5.log
12.06.2006 19:29 783.103 setuplog.txt
12.06.2006 19:28 8.192 REGLOCS.OLD
12.06.2006 19:27 1.246 setuperr.log
12.06.2006 19:25 0 control.ini
12.06.2006 19:25 4.161 ODBCINST.INI
12.06.2006 19:25 240 Windows Update.log
12.06.2006 19:24 749 WindowsShell.Manifest
12.06.2006 19:23 1.060 sessmgr.setup.log
12.06.2006 19:22 37 vbaddin.ini
12.06.2006 19:22 36 vb.ini
12.06.2006 19:22 128 DtcInstall.log
15.11.2004 12:20 77.824 SOUNDMAN.EXE
05.11.2004 10:29 208.896 alcupd.exe

[Kanye west]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCDC-703F

Verzeichnis von C:\

20.07.2006 14:19 0 sys.txt
20.07.2006 14:18 6.037 system.txt
20.07.2006 14:17 3.100 systemtemp.txt
20.07.2006 14:17 93.128 system32.txt
20.07.2006 14:07 1.610.612.736 pagefile.sys
18.07.2006 13:53 578.560 warebundle2.exe
18.07.2006 13:53 578.560 Installer2.exe
18.07.2006 13:52 578.560 warebundlenewer.exe
18.07.2006 13:52 32.768 drsmartload.exe
18.07.2006 13:52 32.768 drsmartload1.exe
11.07.2006 22:03 268 sqmdata04.sqm
11.07.2006 22:03 244 sqmnoopt04.sqm
11.07.2006 11:49 244 sqmnoopt03.sqm
11.07.2006 11:49 268 sqmdata03.sqm
10.07.2006 20:54 268 sqmdata02.sqm
10.07.2006 20:54 244 sqmnoopt02.sqm
10.07.2006 11:53 268 sqmdata01.sqm
10.07.2006 11:53 244 sqmnoopt01.sqm
10.07.2006 00:53 268 sqmdata00.sqm
10.07.2006 00:53 244 sqmnoopt00.sqm
12.06.2006 19:39 1.024 .rnd
12.06.2006 19:25 0 MSDOS.SYS
12.06.2006 19:25 0 AUTOEXEC.BAT
12.06.2006 19:25 0 CONFIG.SYS
12.06.2006 19:25 0 IO.SYS
12.06.2006 19:17 194 boot.ini
18.08.2001 14:00 4.952 bootfont.bin

[Nikita]

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{440BD6F1-05FD-1031-0710-020827020031}" >>files.txt
dir "C:\Programme\InetGet2" >>files.txt
dir "C:\Programme\Common Files\misc001" >>files.txt
dir "C:\Programme\Common Files\simtest" >>files.txt
dir "C:\Programme\Common Files\svchostsys" >>files.txt
notepad files.txt

[Kanye west]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCDC-703F

Verzeichnis von C:\Programme

19.07.2006 19:29 <DIR> .
19.07.2006 19:29 <DIR> ..
21.06.2006 20:35 <DIR> Ahead
12.06.2006 19:33 <DIR> AOpen
12.06.2006 19:45 <DIR> AvRack
12.06.2006 19:22 <DIR> ComPlus Applications
18.07.2006 15:05 <DIR> Gemeinsame Dateien
20.07.2006 14:26 <DIR> ICQLite
20.07.2006 13:57 <DIR> ICQToolbar
13.06.2006 23:04 <DIR> Ingenuware
18.07.2006 15:02 <DIR> Internet Explorer
12.06.2006 19:49 <DIR> Kaspersky Lab
07.07.2006 18:45 <DIR> LucasArts
06.07.2006 13:26 <DIR> Messenger
12.06.2006 19:25 <DIR> microsoft frontpage
12.06.2006 19:24 <DIR> Movie Maker
20.07.2006 14:38 <DIR> Mozilla Firefox
12.06.2006 19:22 <DIR> MSN
12.06.2006 19:22 <DIR> MSN Gaming Zone
14.06.2006 12:54 <DIR> NetMeeting
12.06.2006 19:39 <DIR> NVIDIA Corporation
12.06.2006 19:22 <DIR> Online Services
12.06.2006 19:24 <DIR> Online-Dienste
18.07.2006 15:05 <DIR> Outlook Express
13.06.2006 12:57 <DIR> PlayFirst
12.06.2006 19:45 <DIR> Realtek Sound Manager
13.06.2006 13:56 <DIR> Windows Media Player
12.06.2006 19:22 <DIR> Windows NT
13.06.2006 19:28 <DIR> WinRAR
12.06.2006 19:25 <DIR> xerox
14.06.2006 00:43 <DIR> Yahoo!
0 Datei(en) 0 Bytes
31 Verzeichnis(se), 45.013.020.672 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCDC-703F

Verzeichnis von C:\Dokumente und Einstellungen\Tim\Eigene Dateien

18.07.2006 15:05 <DIR> .
18.07.2006 15:05 <DIR> ..
18.07.2006 15:05 <DIR> Eigene Bilder
18.07.2006 15:05 <DIR> Eigene Musik
13.06.2006 13:57 <DIR> Eigene Videos
12.06.2006 20:16 <DIR> ICQ Lite
21.06.2006 18:58 <DIR> My Games
01.07.2006 00:12 <DIR> verschiedenes
20.06.2006 16:13 <DIR> windows updates
0 Datei(en) 0 Bytes
9 Verzeichnis(se), 45.013.020.672 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCDC-703F

Verzeichnis von C:\Dokumente und Einstellungen\Tim

20.07.2006 01:14 <DIR> .
20.07.2006 01:14 <DIR> ..
10.07.2006 00:53 <DIR> Contacts
20.07.2006 14:41 <DIR> Desktop
18.07.2006 15:05 <DIR> Eigene Dateien
18.07.2006 15:05 <DIR> Favoriten
02.07.2006 23:44 10.365 jap.conf
03.07.2006 11:55 <DIR> Startmen

[Kanye west]

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrac_6.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\dn6s01j7e.dll (file missing)

hab ich gemacht aber die datei : O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\dn6s01j7e.dll (file missing)

ist nicht da..??!!

[Nikita]

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Files to delete:

C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\drm_dialogs.dll
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\BCG3.tmp
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\BCG2.tmp
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\GLC7.tmp
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\GLB6.tmp
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe
C:\warebundle2.exe
C:\Installer2.exe
C:\warebundlenewer.exe
C:\drsmartload.exe
C:\drsmartload1.exe
C:\WINDOWS\_MSRSTRT.EXE
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\winlog.exe
C:\WINDOWS\system32\tsuninst.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
wende die bfu und sophos an
http://virus-protect.org/artikel/bfu/winlog_bfu.html

**
loesche: manuell (der avenger loescht keine Unterverzeichnisse)

C:\Programme\Gemeinsame Dateien\
18.07.2006 15:17 <DIR> zmwi
18.07.2006 13:52 <DIR> {CCDC703F-07DA-1031-0726-051027040031}

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

[Kanye west]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\potpngib

*******************

Script file located at: \??\C:\WINDOWS\System32\mvfflpek.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\drm_dialogs.dll deleted successfully.


File C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\BCG3.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\BCG3.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\BCG3.tmp
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\BCG2.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\GLC7.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\GLB6.tmp deleted successfully.


Could not open file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll for deletion
Deletion of file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
Status: 0xc000003a



Could not open file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe for deletion
Deletion of file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe
Status: 0xc000003a

File C:\warebundle2.exe deleted successfully.
File C:\Installer2.exe deleted successfully.
File C:\warebundlenewer.exe deleted successfully.
File C:\drsmartload.exe deleted successfully.
File C:\drsmartload1.exe deleted successfully.
File C:\WINDOWS\_MSRSTRT.EXE deleted successfully.
File C:\WINDOWS\system32\setup.exe.tmp deleted successfully.


File C:\WINDOWS\system32\winlog.exe not found!
Deletion of file C:\WINDOWS\system32\winlog.exe failed!

Could not process line:
C:\WINDOWS\system32\winlog.exe
Status: 0xc0000034

File C:\WINDOWS\system32\tsuninst.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Kanye west]

bei dem bfu was muss man da bei scriptfile to execute: eingeben??

auf der anleitung steht ja winlog.bfu das habe ich da reinkopeir und auf desktop aber der findet dann nichts