Welcome to MalwareRemoval.com,
What if we told you that you could get malware removal help from experts, and that it was 100% free? MalwareRemoval.com provides free support for people with infected computers. Our help, and the tools we use are always 100% free. No hidden catch. We simply enjoy helping others. You enjoy a clean, safe computer.

Malware Removal Instructions

Unkown Infection - feels like dns.changer

MalwareRemoval.com provides free support for people with infected computers. Using plain language that anyone can understand, our community of volunteer experts will walk you through each step.

Unkown Infection - feels like dns.changer

Unread postby helpmeplease » August 6th, 2006, 11:24 am

Hi @all,

I get always redirected to some other pages when I try to surf.

I did the procedure as described under : http://www.malwareremoval.com/forum/viewtop ... eb81516397

but still the same problem.

here is my log from hijack :

Logfile of HijackThis v1.99.1
Scan saved at 17:16:54, on 06.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
D:\progra~1\softwin\bitdef~1\bdswitch.exe
D:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Program Files\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "D:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "D:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [BDNewsAgent] "D:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: VC Poker - {40B2063F-DB01-4962-BE63-59435C01283C} - D:\PROGRA~1\VCPOKE~1\client.exe
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{510200A9-804C-46DC-93E5-7DFD8341A105}: NameServer = 85.255.115.43 85.255.112.124
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - d:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - D:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am
Advertisement
Register to Remove

Unread postby Kimberly » August 6th, 2006, 12:32 pm

Hello helpmeplease,

Each procedure is rather made for a single computer, depending on the files found. The infection is rather stubborn and if you did mis a file, it starts all over again.

Make sure that you can see hidden files.
  1. Click Start.
  2. Click My Computer.
  3. Select the Tools menu and click Folder Options.
  4. Select the View Tab.
  5. Under the Hidden files and folders heading select Show hidden files and folders.
  6. Uncheck the Hide protected operating system files (recommended) option.
  7. Click Yes to confirm.
  8. Uncheck the Hide file extensions for known file types.
  9. Click OK.
______________________________

Click on Start, Control Panel, click on Add/Remove Programs
Look through the installed programs for the following items and remove them if present:

VC Poker
PartyGaming or PartyCasino
PartyPoker


And any Poker related entries

During the uninstall process, you might be presented with several prompts to guide you through uninstalling the product. Read these carefully to make sure you are actually choosing to uninstall rather than keep the software.
______________________________

Download Killbox by Option^Explicit to your Desktop or to your usual Download Folder.
http://www.downloads.subratam.org/KillBox.zip
Unzip it to your desktop or a convenient folder.
______________________________

Please download FixWareout from
http://swandog46.geekstogo.com/Fixwareout.exe

Note: Leave your internet connection running, the fixwareout may prompt you to download BFU from merijn.

Save it to your Desktop and run it. Click Next, then Install, then make sure "Run fixit" is checked and click Finish. The fix will begin; follow the prompts. You will be asked to reboot your computer; please do so. Your system may take longer than usual to load; this is normal.

When your system reboots, follow the prompts. Afterwards, HijackThis will launch. If hijackthis does not start, start it yourself please.

Put a check in the box on the left side of the following items if still present:

O9 - Extra button: VC Poker - {40B2063F-DB01-4962-BE63-59435C01283C} - D:\PROGRA~1\VCPOKE~1\client.exe
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{510200A9-804C-46DC-93E5-7DFD8341A105}: NameServer = 85.255.115.43 85.255.112.124

Note

O4 - HKLM\..\Run: [dmjmf.exe] C:\WINDOWS\system32\dmjmf.exe

If you see an entry like above, fix it. file will start with dm***, cs*** or jb*** - *** are 3 random letters. the description between the [ ] will be the same as the filename. Write down the filename and let me know about it. If you did reboot, you will most likely have another file listed there.

Close ALL windows and browsers except HijackThis and click Fix Checked.

At the end of the fix, you may need to restart your computer again. A log will be created, C:\fixwareout\report.txt, I will need that file later on.

If present, delete the folder C:\Program Files\WareOut (or C:\programme\WareOut or D:\programme\WareOut since you seem to have changed standard folders)

Delete the following folders using Windows Explorer:

d:\Programme\PartyGaming
d:\Programme\VCPOKE~1 <--- short name, folder starts with VCPOKE
______________________________

Please post
  1. A fresh HijackThis log
  2. C:\fixwareout\report.txt
Kim
User avatar
Kimberly
MRU Teacher Emeritus
 
Posts: 3505
Joined: June 15th, 2005, 12:57 am

Unread postby helpmeplease » August 14th, 2006, 2:07 pm

doesnt seem that anything changed ,

here are the logs :

Logfile of HijackThis v1.99.1
Scan saved at 20:00:52, on 14.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
D:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
D:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\PatBateman\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "D:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "D:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [BDNewsAgent] "D:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-48.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - d:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - D:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

-------------------------------------------------------------------------------------
no report.txt found at C:\fixwareout\report.txt
i found a report.txt at C:\fixwareout\FindT but doesnt seem to be up to date (shows wrong date) :

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
----------------------------------------

hope someone can help me

i still get redirected to sites like :

http://www.trademark-lawyers.de

http://www.google.com/search?hl=en&ie=U ... pplication

http://www.google.com/search?hl=en&q=adult%20chat


how can this be ?
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby helpmeplease » August 14th, 2006, 2:13 pm

helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby Kimberly » August 14th, 2006, 2:23 pm

Hijackthis log doesn't show anything.

This

O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll

Do you know it ? Is that Quicken ?


Download Gmer to your Desktop and unzip it to your Desktop.
http://www.gmer.net/gmer.zip

Disconnect from internet and close running programs.
There is a small chance this application may crash your computer so save any work you have open.
Double click gmer.exe.
Let the gmer.sys driver load if asked.
If it gives you a warning at program start about rootkit activity and asks if you want to run scan...say Ok.
If no warning....
Click the rootkit tab and click Scan.
Wait for scan to finish.

Once done click the Copy button.
Open Notepad and hit ctrl+v to paste the log.
Reconnect to internet and post the log please.
______________________________

Dunno if it will work since you have Anti-Hacker installed but try.

Please do an online scan with Kaspersky Online Scanner

Notice!
A new version of Kaspersky Virus Scanner has been released on August 8, 2006. If you have installed a previous version, you must unistall that program first before installing the new version. To uninstall, please go to the computer control panel and select "Add/Remove Programs." Close all Internet Explorer windows before uninstalling the Kaspersky Online Scanner.

Click on Kaspersky Online Scanner

You will be promted to install an ActiveX component from Kaspersky, Click Yes.
  • The program will launch and then start to download the latest definition files.
  • Once the scanner is installed and the definitions downloaded, click Next.
  • Now click on Scan Settings
  • In the scan settings make that the following are selected:
    • Scan using the following Anti-Virus database:
      • Extended (If available otherwise Standard)
    • Scan Options:
      • Scan Archives
      • Scan Mail Bases
  • Click OK
  • Now under select a target to scan select My Computer
  • The scan will take a while so be patient and let it run. Once the scan is complete it will display if your system has been infected.
  • Now click on the Save Report As button:
    • Save the file to your desktop.
    • File Type: Text file (*.txt).
    • Name: Kav.txt for example
  • Copy and paste that information in your next post.
Kim
User avatar
Kimberly
MRU Teacher Emeritus
 
Posts: 3505
Joined: June 15th, 2005, 12:57 am

Unread postby helpmeplease » August 14th, 2006, 3:04 pm

a million times thank you so far and here we go with gmer :

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-14 21:03:15
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwClose
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwCreateKey
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateProcess
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateProcessEx
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateSection
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateThread
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwDeleteKey
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwDeleteValueKey
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwEnumerateKey
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwEnumerateValueKey
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwFlushKey
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwLoadKey
SSDT \??\D:\Programme\Softwin\BitDefender9\bdfsdrv.sys ZwOpenFile
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwOpenKey
SSDT \??\d:\Programme\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \SystemRoot\System32\drivers\klif.sys ZwQueryInformationFile
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwQueryKey
SSDT \SystemRoot\System32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwQueryValueKey
SSDT \SystemRoot\System32\drivers\klif.sys ZwResumeThread
SSDT \SystemRoot\System32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwSetValueKey
SSDT \SystemRoot\System32\drivers\klif.sys ZwSuspendThread
SSDT \??\d:\Programme\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess
SSDT \??\D:\Programme\Softwin\BitDefender9\bdrsdrv.sys ZwUnloadKey
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[284]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[285]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[286]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[287]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[288]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[289]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[290]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[291]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[292]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[293]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[294]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[295]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[296]

---- Registry - GMER 1.0.10 ----

Reg \Registry\USER\S-1-5-21-1343024091-1606980848-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count@HRZR_EHACNGU:P:\Qbxhzragr haq Rvafgryyhatra\CngOngrzna\Qrfxgbc\OAE2orgn0.10.4\NCC-Pelfgny Nanylfvf Cebsrffvbany i9.0-(2003-04-17)\Pelfgny Nanylfvf Cebsrffvbany i9.0-(2003-04-17)-143Z-VASRPGRQ\Pelfgny Nanylfvf Cebsrffvbany i9.0-(2003-04-17)-143Z-VASRPGRQ\Vafgnyy.rkr 0x19 0x00 0x00 0x00 ...
Reg \Registry\USER\S-1-5-21-1343024091-1606980848-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count@HRZR_EHACNGU:P:\Qbxhzragr haq Rvafgryyhatra\CngOngrzna\Qrfxgbc\OAE2orgn0.10.4\NCC-Pelfgny Nanylfvf Cebsrffvbany i9.0-(2003-04-17)\Pelfgny Nanylfvf Cebsrffvbany i9.0-(2003-04-17)-143Z-VASRPGRQ\Pelfgny Nanylfvf Cebsrffvbany i9.0-(2003-04-17)-143Z-VASRPGRQ\PepPurpx.rkr 0x19 0x00 0x00 0x00 ...

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File D:\System Volume Information\MountPointManagerRemoteDatabase
File D:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby helpmeplease » August 14th, 2006, 5:22 pm

this from the online scanner :

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, August 14, 2006 11:20:09 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 14/08/2006
Kaspersky Anti-Virus database records: 214921
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 119628
Number of viruses found: 25
Number of infected objects: 51 / 0
Number of suspicious objects: 5
Duration of the scan process: 01:56:43

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip/BlackBox.class Infected: Trojan.Java.ClassLoader.f skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip/Dummy.class Infected: Trojan.Java.ClassLoader.Dummy.d skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip/Beyond.class Infected: Trojan.Java.StartPage.f skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip ZIP: infected - 4 skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-452572ae-2a625a48.zip/Counter.class Infected: Trojan.Java.ClassLoader.i skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-452572ae-2a625a48.zip/VerifierBug.class Infected: Trojan.Java.ClassLoader.k skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-452572ae-2a625a48.zip/Beyond.class Infected: Trojan.Java.ClassLoader.k skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-452572ae-2a625a48.zip ZIP: infected - 3 skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-504b5e10-43c8c807.zip/Counter.class Infected: Trojan.Java.ClassLoader.i skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-504b5e10-43c8c807.zip/VerifierBug.class Infected: Trojan.Java.ClassLoader.k skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-504b5e10-43c8c807.zip/Beyond.class Infected: Trojan.Java.ClassLoader.k skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-504b5e10-43c8c807.zip ZIP: infected - 3 skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-3b7602cb-770c8256.zip/BlackBox.class Infected: Exploit.Java.ByteVerify skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-3b7602cb-770c8256.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-3b7602cb-770c8256.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-3b7602cb-770c8256.zip ZIP: infected - 3 skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-75164529-2363134d.zip/BlackBox.class Infected: Exploit.Java.ByteVerify skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-75164529-2363134d.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-75164529-2363134d.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa skipped
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-75164529-2363134d.zip ZIP: infected - 3 skipped
C:\Dokumente und Einstellungen\PatBateman\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Desktop\52\Neuer Ordner (2)\Neuer Ordner\fgf140.exe/WISE0018.BIN/cd_clint.dll Infected: not-a-virus:AdWare.Win32.Cydoor skipped
C:\Dokumente und Einstellungen\PatBateman\Desktop\52\Neuer Ordner (2)\Neuer Ordner\fgf140.exe/WISE0018.BIN Infected: not-a-virus:AdWare.Win32.Cydoor skipped
C:\Dokumente und Einstellungen\PatBateman\Desktop\52\Neuer Ordner (2)\Neuer Ordner\fgf140.exe WiseSFX: infected - 2 skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0016.BIN/data0002 Infected: not-a-virus:AdWare.Win32.BookedSpace.a skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0016.BIN Infected: not-a-virus:AdWare.Win32.BookedSpace.a skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0017.BIN Infected: not-a-virus:AdWare.Win32.EZula.p skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0019.BIN/data0002 Infected: not-a-virus:AdWare.Win32.BargainBuddy.v skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0019.BIN/data0003 Infected: not-a-virus:AdWare.Win32.BargainBuddy.a skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0019.BIN Infected: not-a-virus:AdWare.Win32.BargainBuddy.a skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0027.BIN/data0001.cab/Save.exe Infected: not-a-virus:AdWare.Win32.SaveNow.e skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0027.BIN/data0001.cab/SaveUninst.exe Infected: not-a-virus:AdWare.Win32.SaveNow.bl skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0027.BIN/data0001.cab/Weather/Weather.exe Infected: not-a-virus:AdWare.Win32.SaveNow skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0027.BIN/data0001.cab/Weather/Uninst.exe Infected: not-a-virus:AdWare.Win32.SaveNow.bl skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0027.BIN/data0001.cab Infected: not-a-virus:AdWare.Win32.SaveNow.bl skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe/WISE0027.BIN Infected: not-a-virus:AdWare.Win32.SaveNow.bl skipped
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe WiseSFX: infected - 12 skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst/Archivordner/Gelöschte Objekte/30 Oct 2002 16:16 from HV.DAWE@t-online.de:z.Hd.Frau Will / Hans.rtf Suspicious: Exploit.HTML.Iframe.FileDownload skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst/Archivordner/Gelöschte Objekte/09 Oct 2002 17:14 from Peter Keilholz:spd/spd.doc.lnk Infected: Email-Worm.Win32.Sircam.c skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst Mail MS Mail: infected - 1, suspicious - 1 skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/12 May 2003 15:19 from CecilyRobert:Hello,so cool a flash,enjoy .rtf Suspicious: Exploit.HTML.Iframe.FileDownload skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/20 May 2003 18:42 from web:Document.write(.rtf Suspicious: Exploit.HTML.Iframe.FileDownload skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gesendete Objekte/27 Apr 2003 13:17 to 'spam@apnic.net':WG: Sos!.rtf Suspicious: Exploit.HTML.Iframe.FileDownload skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Mail MS Mail: suspicious - 3 skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\BCG4D8.tmp Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\Perflib_Perfdata_bfc.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\Perflib_Perfdata_f38.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\Perflib_Perfdata_f40.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\xxx.jpg Infected: Trojan.Win32.DNSChanger.ef skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\~DF7EC2.tmp Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7TC8X4HC\xxx[1].jpg Infected: Trojan.Win32.DNSChanger.ef skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9895SQWX\xxx[1].jpg Infected: Trojan.Win32.DNSChanger.ef skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BJT379GW\xxx[1].jpg Infected: Trojan.Win32.DNSChanger.ef skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FLFN68T0\xxx[1].jpg Infected: Trojan.Win32.DNSChanger.ef skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006081420060815\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\PatBateman\ntuser.dat.LOG Object is locked skipped
C:\fixwareout\FindT\report.txt Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{7965199B-3803-417E-AE09-6D81B0985AE5}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\csthf.exe Infected: Trojan-Downloader.Win32.Small.den skipped
C:\WINDOWS\system32\dmttk.exe Infected: SpamTool.Win32.Small.fb skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\{2BA1449B-EB86-4D98-B571-9ADC209D451F}.exe Infected: Trojan.Win32.Qhost.hf skipped
C:\WINDOWS\system32\{498902D7-7E54-44B5-9FA5-B2A852DC7258}.exe Infected: not-a-virus:AdWare.Win32.FindSpy.a skipped
C:\WINDOWS\system32\{4BC40B80-1791-4BDB-BB0F-FFA67C5383AC}.exe Infected: not-a-virus:AdWare.Win32.Msnagent.b skipped
C:\WINDOWS\system32\{8A1F36FA-9110-4E94-B043-FC4864BFEDE2}.dll Infected: not-a-virus:AdWare.Win32.SBSoft.h skipped
C:\WINDOWS\system32\{C2F8AEB1-85DE-4BA3-A460-6832B98ED37D}.exe Infected: Trojan.Win32.Puper.bx skipped
C:\WINDOWS\Temp\tmp00006c7a\tmp00000000 Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\applog.log Object is locked skipped
D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\pktlog.log Object is locked skipped
D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\seclog.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby Kimberly » August 14th, 2006, 7:02 pm

Hello helpmeplease,

Wareout is still present on your PC as shown by the KAV log. If you wait too long before removal, you're gonna be infected again as on each reboot the infection changes and becomes worse.

Remove FixWareout from your PC just in case your version is corrupt. (See Add/ Remove if entry present)

no report.txt found at C:\fixwareout\report.txt
i found a report.txt at C:\fixwareout\FindT but doesnt seem to be up to date (shows wrong date) :

Fixwareout ver 1.003
Last edited 8/11/2006

FYI, this means 11 august 2006 (US format - Month / date / year)



Double-click Killbox.exe to run it.
Next, you will be entering items into Pocket KillBox. Please select the “Delete on Rebootâ€
User avatar
Kimberly
MRU Teacher Emeritus
 
Posts: 3505
Joined: June 15th, 2005, 12:57 am

Unread postby helpmeplease » August 15th, 2006, 5:48 am

hi,

in meanwhile i made a scan with my bitdefender, thats what he did (i hope it was not wrong to do this ) :


//-----------------------------------------------------------------
//
// Product: BitDefender 9 Standard
// Version: 9.5
//
// Erstellt am: 14/08/2006 23:26:18
//
//-----------------------------------------------------------------


Statistik

Pfad : C:\
D:\
Ordner : 7774
Dateien : 534032
Archive : 5114
Komprimierte Dateien : 60871
Erkannte Viren : 16
Infizierte Dateien : 24
Warnungen : 0
Verdächtige Dateien : 14
Desinfizierte Dateien : 0
Gelöschte Dateien : 3
Kopierte Dateien : 0
Verschobene Dateien : 19
Umbenannte Dateien : 0
I/O Fehler : 32
Prüfzeit : 02:04:06
Prüfgeschwindigkeit (Dateien/Sekunde) : 71

Virusdefinitionen : 441252
Scan Plug-Ins : 15
Archiv Plug-Ins : 42
Archiv Plug-Ins : 5
E-Mail Plug-Ins : 6
System Plug-Ins : 5

Prüf-Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüf-Optionen
[X] Warnungen aktiviert
[X] Heuristik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: D:\Programme\Softwin\BitDefender9\Logs\vscan_1155590778.log


Zusammenfassung:

C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip=>Dummy.class Infiziert mit: Trojan.Java.ClassLoader.D
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip=>Dummy.class Gelöscht
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip Update
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip=>VerifierBug.class Infiziert mit: Trojan.Exploit.Java.Bytverify
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip=>VerifierBug.class Gelöscht
C:\Dokumente und Einstellungen\PatBateman\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archiven.jar-2bc88a0-75b5a182.zip Update
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe=>wise0020=>(NSIS o)=>zlib_nsis0002 Infiziert mit: Trojan.Bargains.B
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe=>wise0020=>(NSIS o)=>zlib_nsis0002 Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Eigene Dateien\My Deliveries\kdx\setupmp3towav.exe=>wise0020=>(NSIS o)=>zlib_nsis0002 Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: z.Hd.Frau Will / Hanssenstr. 5/7 ][From: HV.DAWE@t-online.de]=>(body)=>(Compressed Rtf) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: z.Hd.Frau Will / Hanssenstr. 5/7 ][From: HV.DAWE@t-online.de]=>(body)=>(Compressed Rtf) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: z.Hd.Frau Will / Hanssenstr. 5/7 ][From: HV.DAWE@t-online.de]=>(body)=>(Compressed Rtf)=>(IFRAME) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: z.Hd.Frau Will / Hanssenstr. 5/7 ][From: HV.DAWE@t-online.de]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: z.Hd.Frau Will / Hanssenstr. 5/7 ][From: HV.DAWE@t-online.de]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: z.Hd.Frau Will / Hanssenstr. 5/7 ][From: HV.DAWE@t-online.de]=>(body)=>(Compressed Rtf)=>(Rtf2Html)=>(IFRAME) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: spd][From: Peter Keilholz]=>spd.doc.lnk Infiziert mit: I-Worm.Sircam.A
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: spd][From: Peter Keilholz]=>spd.doc.lnk Gelöscht
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst Update
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: WG: Sos!][From: Brückle]=>(body)=>(Compressed Rtf)=>(IFRAME) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: WG: Sos!][From: Brückle]=>(body)=>(Compressed Rtf)=>(IFRAME) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: WG: Sos!][From: Brückle]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Hello,so cool a flash,enjoy it][From: CecilyRobert]=>(body)=>(Compressed Rtf) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Hello,so cool a flash,enjoy it][From: CecilyRobert]=>(body)=>(Compressed Rtf) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Hello,so cool a flash,enjoy it][From: CecilyRobert]=>(body)=>(Compressed Rtf)=>(IFRAME) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Hello,so cool a flash,enjoy it][From: CecilyRobert]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Hello,so cool a flash,enjoy it][From: CecilyRobert]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Hello,so cool a flash,enjoy it][From: CecilyRobert]=>(body)=>(Compressed Rtf)=>(Rtf2Html)=>(IFRAME) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Document.write(][From: web]=>(body)=>(Compressed Rtf) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Document.write(][From: web]=>(body)=>(Compressed Rtf) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Document.write(][From: web]=>(body)=>(Compressed Rtf)=>(IFRAME) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Document.write(][From: web]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Document.write(][From: web]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Document.write(][From: web]=>(body)=>(Compressed Rtf)=>(Rtf2Html)=>(IFRAME) Verdächtig Exploit.Iframe.Vulnerability
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\8CE38H28\count[1].htm Infiziert mit: Trojan.Downloader.HTML.Agent.B
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\8CE38H28\count[1].htm Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\8CE38H28\count[1].htm Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\xxx.jpg Infiziert mit: MemScan:Trojan.Downloader.Agent.ACH
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\xxx.jpg Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temp\xxx.jpg Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0123OT6F\count[1].htm Infiziert mit: Trojan.Downloader.HTML.Agent.B
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0123OT6F\count[1].htm Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0123OT6F\count[1].htm Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7TC8X4HC\xxx[1].jpg Infiziert mit: MemScan:Trojan.Downloader.Agent.ACH
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7TC8X4HC\xxx[1].jpg Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7TC8X4HC\xxx[1].jpg Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9895SQWX\xxx[1].jpg Infiziert mit: MemScan:Trojan.Downloader.Agent.ACH
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9895SQWX\xxx[1].jpg Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9895SQWX\xxx[1].jpg Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BJT379GW\xxx[1].jpg Infiziert mit: MemScan:Trojan.Downloader.Agent.ACH
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BJT379GW\xxx[1].jpg Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BJT379GW\xxx[1].jpg Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9OHABO9\count[1].htm Infiziert mit: Trojan.Downloader.HTML.Agent.B
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9OHABO9\count[1].htm Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9OHABO9\count[1].htm Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FLFN68T0\count[2].htm Infiziert mit: Trojan.Downloader.HTML.Agent.B
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FLFN68T0\count[2].htm Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FLFN68T0\count[2].htm Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FLFN68T0\xxx[1].jpg Infiziert mit: MemScan:Trojan.Downloader.Agent.ACH
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FLFN68T0\xxx[1].jpg Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FLFN68T0\xxx[1].jpg Verschoben
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPS7YPE5\count[1].htm Infiziert mit: Trojan.Downloader.HTML.Agent.B
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPS7YPE5\count[1].htm Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\PatBateman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPS7YPE5\count[1].htm Verschoben
C:\WINDOWS\symantec-scan.html Infiziert mit: Trojan.Html.Multidownloader.C
C:\WINDOWS\symantec-scan.html Desinfizieren fehlgeschlagen
C:\WINDOWS\symantec-scan.html Verschoben
C:\WINDOWS\system32\csthf.exe Infiziert mit: Trojan.Small.BM
C:\WINDOWS\system32\csthf.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\csthf.exe Verschoben
C:\WINDOWS\system32\dmttk.exe Infiziert mit: Trojan.Small.FB
C:\WINDOWS\system32\dmttk.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\dmttk.exe Verschoben
C:\WINDOWS\system32\{2BA1449B-EB86-4D98-B571-9ADC209D451F}.exe Infiziert mit: Trojan.Agent.RI
C:\WINDOWS\system32\{2BA1449B-EB86-4D98-B571-9ADC209D451F}.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\{2BA1449B-EB86-4D98-B571-9ADC209D451F}.exe Verschoben
C:\WINDOWS\system32\{498902D7-7E54-44B5-9FA5-B2A852DC7258}.exe Infiziert mit: Trojan.Click.526
C:\WINDOWS\system32\{498902D7-7E54-44B5-9FA5-B2A852DC7258}.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\{498902D7-7E54-44B5-9FA5-B2A852DC7258}.exe Verschoben
C:\WINDOWS\system32\{4BC40B80-1791-4BDB-BB0F-FFA67C5383AC}.exe Infiziert mit: Trojan.Fakealert
C:\WINDOWS\system32\{4BC40B80-1791-4BDB-BB0F-FFA67C5383AC}.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\{4BC40B80-1791-4BDB-BB0F-FFA67C5383AC}.exe Verschoben
C:\WINDOWS\system32\{89443702-7F5C-49E8-BB75-406278289DEA}.exe Infiziert mit: Trojan.FakeAlert.CR
C:\WINDOWS\system32\{89443702-7F5C-49E8-BB75-406278289DEA}.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\{89443702-7F5C-49E8-BB75-406278289DEA}.exe Verschoben
C:\WINDOWS\system32\{8A1F36FA-9110-4E94-B043-FC4864BFEDE2}.dll Entdeckt: Adware.Iectr.A
C:\WINDOWS\system32\{8A1F36FA-9110-4E94-B043-FC4864BFEDE2}.dll Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\{8A1F36FA-9110-4E94-B043-FC4864BFEDE2}.dll Verschoben
C:\WINDOWS\system32\{C2F8AEB1-85DE-4BA3-A460-6832B98ED37D}.exe Infiziert mit: Trojan.Clicker.AA
C:\WINDOWS\system32\{C2F8AEB1-85DE-4BA3-A460-6832B98ED37D}.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\system32\{C2F8AEB1-85DE-4BA3-A460-6832B98ED37D}.exe Verschoben
D:\RECYCLER\S-1-5-21-1343024091-1606980848-839522115-500\Dd42.tmp=>(gzip)=>REMOVED_NULLS Infiziert mit: Trojan.Downloader.Small.WV
D:\RECYCLER\S-1-5-21-1343024091-1606980848-839522115-500\Dd42.tmp=>(gzip)=>REMOVED_NULLS Desinfizieren fehlgeschlagen

--------------------------------------
ok, i downloaded killbox and deleted all files bitdefender did not delet yet.

then i wanted to download fixwareout, but the link http://swandog46.geekstogo.com/Fixwareout.exe is not working - is there another download site ?
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby helpmeplease » August 15th, 2006, 7:37 am

here is the last hijack report :

Logfile of HijackThis v1.99.1
Scan saved at 13:37:23, on 15.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
d:\Programme\ewido anti-spyware 4.0\guard.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\WgaTray.exe
C:\windows\Explorer.EXE
C:\windows\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\ewido anti-spyware 4.0\ewido.exe
D:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Softwin\BitDefender9\bdsubmit.exe
C:\Dokumente und Einstellungen\PatBateman\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "d:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "D:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [BDNewsAgent] "d:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{510200A9-804C-46DC-93E5-7DFD8341A105}: NameServer = 85.255.115.43 85.255.112.124
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - d:\Programme\ewido anti-spyware 4.0\guard.exe

hope now its all clean - should i make a online scan again to be sure ?
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby Kimberly » August 16th, 2006, 12:43 am

Hello,

You are still infected.

Alternative

http://downloads.subratam.org/Fixwareout.exe
http://www.bleepingcomputer.com/files/l ... areout.exe

Please stop trying to clean things by yourself, this is not helping me. If you don't follow EXACTLY what I tell you to do, you wont get rid of it.

What means "Desinfizieren fehlgeschlagen" ? Is that failed to clean ?

Following instructions from here:
http://www.malwareremoval.com/forum/viewtop ... 9349#99349

and add this file to the killbox list.

C:\WINDOWS\system32\{89443702-7F5C-49E8-BB75-406278289DEA}.exe

Fix this line with HJT

O17 - HKLM\System\CCS\Services\Tcpip\..\{510200A9-804C-46DC-93E5-7DFD8341A105}: NameServer = 85.255.115.43 85.255.112.124

Kim
User avatar
Kimberly
MRU Teacher Emeritus
 
Posts: 3505
Joined: June 15th, 2005, 12:57 am

Unread postby helpmeplease » August 17th, 2006, 1:06 am

i'll try it on the weekend - please dont close the thread !
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby helpmeplease » August 22nd, 2006, 2:08 am

please do still not remove - i am working on it but have not much time at the moment
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am

Unread postby Kimberly » August 22nd, 2006, 1:03 pm

No worries, we will leave the topic open.

Kim
User avatar
Kimberly
MRU Teacher Emeritus
 
Posts: 3505
Joined: June 15th, 2005, 12:57 am

Unread postby helpmeplease » August 26th, 2006, 2:45 am

What means "Desinfizieren fehlgeschlagen" ? Is that failed to clean ?


YES
helpmeplease
Regular Member
 
Posts: 17
Joined: August 6th, 2006, 11:08 am
Advertisement
Register to Remove

Next

  • Similar Topics
    Replies
    Views
    Last post

Return to Infected? Virus, malware, adware, ransomware, oh my!



Who is online

Users browsing this forum: NonSuch and 32 guests

Contact us:

Advertisements do not imply our endorsement of that product or service. Register to remove all ads. The forum is run by volunteers who donate their time and expertise. We make every attempt to ensure that the help and advice posted is accurate and will not cause harm to your computer. However, we do not guarantee that they are accurate and they are to be used at your own risk. All trademarks are the property of their respective owners.

Member site: UNITE Against Malware