Logfile of HijackThis v1.99.1
Scan saved at 11:14:26, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RunDLL32.exe
C:WINDOWSsystem32sstray.exe
C
rogrammeGemeinsame DateienRealUpdate_OBrealsched.exe
C
rogrammeMessengermsmsgs.exe
C
rogrammeLogitechMouseWaresystemem_exec.exe
C
rogrammeAntiVir PersonalEdition Classicsched.exe
C
rogrammeAntiVir PersonalEdition Classicavguard.exe
C:WINDOWSsystem32crypserv.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C
rogrammeMozilla Firefoxfirefox.exe
[COLOR= red]C:WINDOWSsystem32audconf.exe[/COLOR]
D:HijackThis.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C
rogrammeICQToolbartoolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C
rogrammeAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C
rogrammeJavajre1.5.0_06binssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C
ROGRA~1FlashGetjccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C
rogrammeICQToolbartoolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C
ROGRA~1FlashGetfgiebar.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM..Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [ICQ Lite] "C
rogrammeICQLiteICQLite.exe" -minimize
[COLOR= red]O4 - HKLM..Run: (audiag) C:WINDOWSsystem32audconf.exe[/COLOR]
O4 - HKLM..Run: [TkBellExe] "C
rogrammeGemeinsame DateienRealUpdate_OBrealsched.exe" -osboot
O4 - HKCU..Run: [MSMSGS] "C
rogrammeMessengermsmsgs.exe" /background
O4 - HKCU..RunOnce: [ICQ Lite] C
rogrammeICQLiteICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res:**C
rogrammeICQToolbartoolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C
rogrammeFlashGetjc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C
rogrammeFlashGetjc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:**C
ROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
rogrammeJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
rogrammeJavajre1.5.0_06binssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C
rogrammeICQLiteICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C
rogrammeICQLiteICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C
ROGRA~1FlashGetflashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C
ROGRA~1FlashGetflashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
rogrammeMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
rogrammeMessengermsmsgs.exe
O17 - HKLMSystemCCSServicesTcpip..{8D7F1CC2-311F-4695-811B-E8909A05F510}: NameServer = 192.168.102.1
[COLOR= red]O20 - AppInit_DLLs: confaud.dll audstat.dll[/COLOR]
[COLOR= red]O20 - Winlogon Notify: audmgr - C:WINDOWSSYSTEM32audmgr32.dll[/COLOR]
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C
rogrammeAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C
rogrammeAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:WINDOWSSYSTEM32crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C
rogrammeGemeinsame DateienInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
[COLOR= red]Diese markierten Einträge sind vom dem Wurm erstellt worden, da einige
Dateien im System32 vezeichnis geschützt sind durch Registry einträge, sollte man bei
der Entfernung den Avenger 2 mal ablaufen lassen um alle Dateien löschen zu können.[/COLOR]
Anleitung zum Entfernen:
Bitte ein neues Thema öffnen und folgendes ausführen:
[COLOR= blue]SCHRITT 1:[/COLOR]
ComboFix anwenden,
auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
[COLOR= blue]SCHRITT 2:[/COLOR]
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter:
Kopiere diese 6 erstellten Textdateien ab .
(rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
Die Log's und Texte bitte so posten:
Scan saved at 11:14:26, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RunDLL32.exe
C:WINDOWSsystem32sstray.exe
C
C
C
C
C
C:WINDOWSsystem32crypserv.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C
[COLOR= red]C:WINDOWSsystem32audconf.exe[/COLOR]
D:HijackThis.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM..Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [ICQ Lite] "C
[COLOR= red]O4 - HKLM..Run: (audiag) C:WINDOWSsystem32audconf.exe[/COLOR]
O4 - HKLM..Run: [TkBellExe] "C
O4 - HKCU..Run: [MSMSGS] "C
O4 - HKCU..RunOnce: [ICQ Lite] C
O8 - Extra context menu item: &ICQ Toolbar Search - res:**C
O8 - Extra context menu item: Alles mit FlashGet laden - C
O8 - Extra context menu item: Mit FlashGet laden - C
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:**C
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
O17 - HKLMSystemCCSServicesTcpip..{8D7F1CC2-311F-4695-811B-E8909A05F510}: NameServer = 192.168.102.1
[COLOR= red]O20 - AppInit_DLLs: confaud.dll audstat.dll[/COLOR]
[COLOR= red]O20 - Winlogon Notify: audmgr - C:WINDOWSSYSTEM32audmgr32.dll[/COLOR]
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:WINDOWSSYSTEM32crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
[COLOR= red]Diese markierten Einträge sind vom dem Wurm erstellt worden, da einige
Dateien im System32 vezeichnis geschützt sind durch Registry einträge, sollte man bei
der Entfernung den Avenger 2 mal ablaufen lassen um alle Dateien löschen zu können.[/COLOR]
Anleitung zum Entfernen:
Bitte ein neues Thema öffnen und folgendes ausführen:
[COLOR= blue]SCHRITT 1:[/COLOR]
ComboFix anwenden,
auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
Please,
Anmelden
or
Registrieren
to view URLs content!
[COLOR= blue]SCHRITT 2:[/COLOR]
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter:
Please,
Anmelden
or
Registrieren
to view URLs content!
Kopiere diese 6 erstellten Textdateien ab .
(rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
Die Log's und Texte bitte so posten:
Please,
Anmelden
or
Registrieren
to view URLs content!