|
|
|
Logfile of HijackThis v1.99.1
|
|
|
marodiego
Newbie
|
5. July 2007 @ 06:28 |
Link to this message
|
hi guys,
the HijackThis has found this list of files, the problem is -like always- that i have no idea what must be deleted to clean my notebook, it will be great to have a good suggestion from you.
list:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Apoint\Apoint.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\xpuupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\FRITZ!DSL\FwebProt.exe
C:\Programmi\Apoint\Apntex.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Alias\Maya7.0\docs\wrapper.exe
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alias\Maya7.0\docs\jre\bin\java.exe
C:\Programmi\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\mozilla.org\Mozilla\mozilla.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe
C:\HjT\HijackThis_v1.99.1.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Documents and Settings\one\Desktop\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programmi\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programmi\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programmi\File comuni\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programmi\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
thanks!!!! :)
der_diego
|
|
Advertisement
|
|
|
|
Member
|
5. July 2007 @ 07:46 |
Link to this message
|
I can definitely help you, but I need you to do two things for me.
First, use more descriptive thread titles! :)
Secondly, can you scan with HijackThis again? The first four lines of the log, starting with "Logfile of HijackThis v1.99.1/Platform: ..." got cut off. So if you could do another scan and repost the entire logfile, that would be great :)
Geeks to Go - Trusted Helper
Please do not PM for help - please post on the forums.
|
|
marodiego
Newbie
|
5. July 2007 @ 09:08 |
Link to this message
|
|
i try again and...sorry for the title :)
der_diego
|
|
marodiego
Newbie
|
5. July 2007 @ 09:15 |
Link to this message
|
the new list follows:
Logfile of HijackThis v1.99.1
Scan saved at 19.13.21, on 05/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Apoint\Apoint.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\xpuupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\FRITZ!DSL\FwebProt.exe
C:\Programmi\Apoint\Apntex.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Alias\Maya7.0\docs\wrapper.exe
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alias\Maya7.0\docs\jre\bin\java.exe
C:\Programmi\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\mozilla.org\Mozilla\mozilla.exe
C:\HjT\HijackThis_v1.99.1.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Documents and Settings\one\Desktop\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programmi\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programmi\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programmi\File comuni\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programmi\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
i hope it is better now,
thanks again for the help!!! :-)
der_diego
|
Member
|
5. July 2007 @ 15:02 |
Link to this message
|
|
I noticed that you didn't mention that anything was wrong with your system. What symptoms are you experiencing that led you to post here?
Geeks to Go - Trusted Helper
Please do not PM for help - please post on the forums.
|
|
marodiego
Newbie
|
6. July 2007 @ 01:07 |
Link to this message
|
|
ok, maybe wasn't a good idea to post here without to explain my problem, so: my Antivir has found at least 2 viruses, and in this forum someone suggests someone other to try with HijeckThis, that's the way why I'm here. I've no precise symptoms on my notebook without the fact that on the start-bar (the control-bar at the bottom of the screen, i've forgot the name...sorry) all the application symbols are not on focus and a windows advertising symbol is blinking all the time and make acoustic signal, that I cannot remove.
the viruses/trojan horses/droppers... are:
DR/Tool.Reboot.F.14
DR/FraudTool.ContaVir.B.9
My Antivir cannot remove it, or better it remove they but the come again at every scan.
thanks for the attention and for the time you dedicate to me,
d.
der_diego
|
Member
|
6. July 2007 @ 07:44 |
Link to this message
|
|
Hehe... no problem. Can you do me a favour:
Open up AntiVir's interface. Click on the "Guard" tab. There should be three text boxes. Would you please copy the content of the boxes "Last File Found" and "Last Detection" and post them in a reply? Next, click on the "Reports" tab. Double-click on the last item in the "Reports" list that says "Scan", and click the "Report File" button. A Notepad document called AVSCAN-########-########.log should open (# represents a character). Copy and paste the whole log into your reply.
Geeks to Go - Trusted Helper
Please do not PM for help - please post on the forums.
|
|
marodiego
Newbie
|
6. July 2007 @ 12:01 |
Link to this message
|
|
1st box: no text
2nd box: no text
3rd box: C:\WINDOWS\system32\xpuupdate.exe
AVSCAN ####.LOG
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: giovedì 5 luglio 2007 15:48
Es wird nach 866010 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: one
Computername: DIEGO
Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10/05/2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 07/05/2007 18:40:45
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07/03/2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27/02/2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21/05/2007 12:45:14
ANTIVIR2.VDF : 6.39.0.76 1002496 Bytes 29/06/2007 08:46:16
ANTIVIR3.VDF : 6.39.0.101 149504 Bytes 05/07/2007 13:07:12
AVEWIN32.DLL : 7.4.0.37 2482688 Bytes 30/06/2007 08:46:17
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.13 360488 Bytes 30/06/2007 08:46:17
AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 09/05/2007 17:00:50
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16/03/2007 12:39:00
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programmi\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: giovedì 5 luglio 2007 15:48
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mozilla.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wrapper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xpuupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opware32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMXLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DVDLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <GULLIVER>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\one\Impostazioni locali\Temp\sa3E.VIR000
[FUND] Enthält Signatur des Droppers DR/FraudTool.ContaVir.B.9
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Periferica non pronta.
Ende des Suchlaufs: giovedì 5 luglio 2007 16:32
Benötigte Zeit: 43:55 min
Der Suchlauf wurde vollständig durchgeführt.
7546 Verzeichnisse wurden überprüft
349005 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
349004 Dateien ohne Befall
8722 Archive wurden durchsucht
2 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden
sorry I have the german version, but I think it is organised like the english one, so you should have no problems.
there are also 2 different viruses on my quarantine:
TR/Zlob.CA.31
DR/FreudToll.ContaVir.B.9
I hope it is everything that you need, if you need a translation I am here.
(the report says: 1 virus found, 1 virus deleted, 2 not analysed files, 2 warnings files)
thanks :-))))
der_diego
|
Member
|
12. July 2007 @ 08:53 |
Link to this message
|
Since it's been a couple of days (sorry), could you post a fresh HijackThis log to refresh my memory? Thanks :)
Geeks to Go - Trusted Helper
Please do not PM for help - please post on the forums.
|
|
marodiego
Newbie
|
13. July 2007 @ 02:30 |
Link to this message
|
hi,
the new scan:
Logfile of HijackThis v1.99.1
Scan saved at 12.20.20, on 13/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Apoint\Apoint.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\xpuupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\FRITZ!DSL\FwebProt.exe
C:\Programmi\Apoint\Apntex.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Alias\Maya7.0\docs\wrapper.exe
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alias\Maya7.0\docs\jre\bin\java.exe
C:\Programmi\FRITZ!DSL\StCenter.EXE
C:\Programmi\mozilla.org\Mozilla\mozilla.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\ContraVirus\ContraVirusPro.exe
C:\Programmi\ContraVirus\ContraVirusPro.exe
C:\HjT\HijackThis_v1.99.1.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IEExtension Class - {DBE5BEE8-F032-11DB-826A-C4BB56D89593} - C:\Programmi\ContraVirus\secieaddin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe
O4 - HKLM\..\Run: [ContraVirus] C:\Programmi\ContraVirus\ContraVirusPro.exe /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Documents and Settings\one\Desktop\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programmi\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programmi\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programmi\File comuni\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programmi\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
it is stange, since i have no problems with my pc, but my Antivir says me periodically that i have 2 viruses :( : DR/FraudToll.ContraVir.B.9 and TR/Zlob.CA.31
i have no idea?!!
and i have also a new question if you are so nice to answer me: a friend of mine recives always e-mails with strange attachments (always different and virus-like) independent from from which pc are the e-mails sended (library, internet cafè ,...)!! do you have an idea what's the point?
thanks a lot,
diego
der_diego
|
|
Auttaja
Suspended permanently
|
13. July 2007 @ 04:52 |
Link to this message
|
Hi Fredil, there is lines which you have to analyze, and find out how to remove these
C:\WINDOWS\system32\xpuupdate.exe
C:\Programmi\ContraVirus\ContraVirusPro.exe
C:\Programmi\ContraVirus\ContraVirusPro.exe
O2 - BHO: IEExtension Class - {DBE5BEE8-F032-11DB-826A-C4BB56D89593} - C:\Programmi\ContraVirus\secieaddin.dll
O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe
O4 - HKLM\..\Run: [ContraVirus] C:\Programmi\ContraVirus\ContraVirusPro.exe /s
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (this is optional)
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm
That links maybe helps you.
This message has been edited since posting. Last time this message was edited on 13. July 2007 @ 04:53
|
|
anari11
Suspended permanently
|
13. July 2007 @ 07:10 |
Link to this message
|
|
delete C:\WINDOWS\system32\xpuupdate.exe,O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 and O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe
Kind.these are nasty ones.
you could also fix these:O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe,O4 - HKLM\..\Run: [SunJavaUpdateSched] \"C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe\",O4 - HKLM\..\Run: [TkBellExe] \"C:\Programmi\File comuni\Real\Update_OB\realsched.exe\" -osboot and O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE because they take uo system resources.
|
|
Advertisement
|
|
|
Member
|
13. July 2007 @ 07:33 |
Link to this message
|
Huh... I've never figured out what SDFix fixes. Well, after a test on my virtual machine, and a Google search for a canned... Let's see now....
Where does it say the viruses are?
O2 - BHO: IEExtension Class - {DBE5BEE8-F032-11DB-826A-C4BB56D89593} - C:\Programmi\ContraVirus\secieaddin.dll
O4 - HKLM\..\Run: [Windows Updater Servc]
C:\WINDOWS\system32\xpuupdate.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Check those lines with HijackThis and press "Fix Checked".
Download SDFix and save it to your Desktop.
http://downloads.andymanchesta.com/r...ools/sdfix.zip
Right click the SDFix.zip folder and choose Extract All to extract it to its own folder on the Desktop.
Reboot your computer in Safe Mode:
1. Reboot.
2. When your computer is starting up, tap the F8 key repeatedly. You may get an error if this is done too early, in this case reboot and try again.
3. If a blue screen about boot drivers comes up, press ESC and keep tapping F8.
4. When the Advanced Options menu comes up, use the arrow keys and navigate to Safe Mode. Press Enter. Log in as usual.
Open the extracted SDFix folder and double click RunThis.bat to start the script.
Type Y to begin the cleanup process.
It will remove any Trojan Services or Registry Entries found then prompt you to press any key to Reboot.
Press any Key and it will restart the PC.
When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons.
Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt.
Copy and paste the contents of the results file Report.txt back onto the forum with a new hijackthis log.
Next, open the Start Menu. Click Run and in the box, type appwiz.cpl. Search down the alphabetical list; something like Contra Virus or Contra Virus Pro should be there; highlight that entry and click "Remove".
Reboot your computer and post a SDFix and HijackThis log.
Geeks to Go - Trusted Helper
Please do not PM for help - please post on the forums.
|
|
