Logfile of HijackThis v1.99.1
Scan saved at 11:14:26, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RunDLL32.exe
C:WINDOWSsystem32sstray.exe
C
rogrammeGemeinsame DateienRealUpdate_OBrealsched.exe
CrogrammeMessengermsmsgs.exe
CrogrammeLogitechMouseWaresystemem_exec.exe
CrogrammeAntiVir PersonalEdition Classicsched.exe
CrogrammeAntiVir PersonalEdition Classicavguard.exe
C:WINDOWSsystem32crypserv.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
CrogrammeMozilla Firefoxfirefox.exe
[COLOR= red]C:WINDOWSsystem32audconf.exe[/COLOR]
D:HijackThis.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - CrogrammeICQToolbartoolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - CrogrammeAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - CrogrammeJavajre1.5.0_06binssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - CROGRA~1FlashGetjccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - CrogrammeICQToolbartoolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - CROGRA~1FlashGetfgiebar.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM..Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [ICQ Lite] "CrogrammeICQLiteICQLite.exe" -minimize
[COLOR= red]O4 - HKLM..Run: (audiag) C:WINDOWSsystem32audconf.exe[/COLOR]
O4 - HKLM..Run: [TkBellExe] "CrogrammeGemeinsame DateienRealUpdate_OBrealsched.exe" -osboot
O4 - HKCU..Run: [MSMSGS] "CrogrammeMessengermsmsgs.exe" /background
O4 - HKCU..RunOnce: [ICQ Lite] CrogrammeICQLiteICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res:**CrogrammeICQToolbartoolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - CrogrammeFlashGetjc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - CrogrammeFlashGetjc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:**CROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CrogrammeJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CrogrammeJavajre1.5.0_06binssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - CrogrammeICQLiteICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - CrogrammeICQLiteICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - CROGRA~1FlashGetflashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - CROGRA~1FlashGetflashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CrogrammeMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CrogrammeMessengermsmsgs.exe
O17 - HKLMSystemCCSServicesTcpip..{8D7F1CC2-311F-4695-811B-E8909A05F510}: NameServer = 192.168.102.1
[COLOR= red]O20 - AppInit_DLLs: confaud.dll audstat.dll[/COLOR]
[COLOR= red]O20 - Winlogon Notify: audmgr - C:WINDOWSSYSTEM32audmgr32.dll[/COLOR]
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - CrogrammeAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - CrogrammeAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:WINDOWSSYSTEM32crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - CrogrammeGemeinsame DateienInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
[COLOR= red]Diese markierten Einträge sind vom dem Wurm erstellt worden, da einige
Dateien im System32 vezeichnis geschützt sind durch Registry einträge, sollte man bei
der Entfernung den Avenger 2 mal ablaufen lassen um alle Dateien löschen zu können.[/COLOR]
Anleitung zum Entfernen:
Bitte ein neues Thema öffnen und folgendes ausführen:
[COLOR= blue]SCHRITT 1:[/COLOR]
ComboFix anwenden,
auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
[COLOR= blue]SCHRITT 2:[/COLOR]
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter:
Kopiere diese 6 erstellten Textdateien ab .
(rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
Die Log's und Texte bitte so posten:
Scan saved at 11:14:26, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RunDLL32.exe
C:WINDOWSsystem32sstray.exe
C
rogrammeGemeinsame DateienRealUpdate_OBrealsched.exeC
rogrammeMessengermsmsgs.exeC
rogrammeLogitechMouseWaresystemem_exec.exeC
rogrammeAntiVir PersonalEdition Classicsched.exeC
rogrammeAntiVir PersonalEdition Classicavguard.exeC:WINDOWSsystem32crypserv.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C
rogrammeMozilla Firefoxfirefox.exe[COLOR= red]C:WINDOWSsystem32audconf.exe[/COLOR]
D:HijackThis.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C
rogrammeICQToolbartoolbaru.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C
rogrammeAdobeAcrobat 7.0ActiveXAcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C
rogrammeJavajre1.5.0_06binssv.dllO2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C
ROGRA~1FlashGetjccatch.dllO3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C
rogrammeICQToolbartoolbaru.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C
ROGRA~1FlashGetfgiebar.dllO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM..Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [ICQ Lite] "C
rogrammeICQLiteICQLite.exe" -minimize[COLOR= red]O4 - HKLM..Run: (audiag) C:WINDOWSsystem32audconf.exe[/COLOR]
O4 - HKLM..Run: [TkBellExe] "C
rogrammeGemeinsame DateienRealUpdate_OBrealsched.exe" -osbootO4 - HKCU..Run: [MSMSGS] "C
rogrammeMessengermsmsgs.exe" /backgroundO4 - HKCU..RunOnce: [ICQ Lite] C
rogrammeICQLiteICQLite.exe -traybootO8 - Extra context menu item: &ICQ Toolbar Search - res:**C
rogrammeICQToolbartoolbaru.dll/SEARCH.HTMLO8 - Extra context menu item: Alles mit FlashGet laden - C
rogrammeFlashGetjc_all.htmO8 - Extra context menu item: Mit FlashGet laden - C
rogrammeFlashGetjc_link.htmO8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:**C
ROGRA~1MICROS~2Office10EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
rogrammeJavajre1.5.0_06binssv.dllO9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
rogrammeJavajre1.5.0_06binssv.dllO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C
rogrammeICQLiteICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C
rogrammeICQLiteICQLite.exeO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C
ROGRA~1FlashGetflashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C
ROGRA~1FlashGetflashget.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
rogrammeMessengermsmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
rogrammeMessengermsmsgs.exeO17 - HKLMSystemCCSServicesTcpip..{8D7F1CC2-311F-4695-811B-E8909A05F510}: NameServer = 192.168.102.1
[COLOR= red]O20 - AppInit_DLLs: confaud.dll audstat.dll[/COLOR]
[COLOR= red]O20 - Winlogon Notify: audmgr - C:WINDOWSSYSTEM32audmgr32.dll[/COLOR]
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C
rogrammeAntiVir PersonalEdition Classicsched.exeO23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C
rogrammeAntiVir PersonalEdition Classicavguard.exeO23 - Service: Crypkey License - Kenonic Controls Ltd. - C:WINDOWSSYSTEM32crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C
rogrammeGemeinsame DateienInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
[COLOR= red]Diese markierten Einträge sind vom dem Wurm erstellt worden, da einige
Dateien im System32 vezeichnis geschützt sind durch Registry einträge, sollte man bei
der Entfernung den Avenger 2 mal ablaufen lassen um alle Dateien löschen zu können.[/COLOR]
Anleitung zum Entfernen:
Bitte ein neues Thema öffnen und folgendes ausführen:
[COLOR= blue]SCHRITT 1:[/COLOR]
ComboFix anwenden,
auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
Please,
Anmelden
or
Registrieren
to view URLs content!
[COLOR= blue]SCHRITT 2:[/COLOR]
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter:
Please,
Anmelden
or
Registrieren
to view URLs content!
Kopiere diese 6 erstellten Textdateien ab .
(rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
Die Log's und Texte bitte so posten:
Please,
Anmelden
or
Registrieren
to view URLs content!
