Trojanische Pferd TR/LowZones.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
25.06.2005, 00:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#211 Hallo@langbaeh

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten



O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe

PC neustarten

bitte abarbeiten
;)
http://virus-protect.org/tds.html

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus

einzeln reinkopierendann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.06.2005, 02:25
...neu hier

Beiträge: 5
#212 noch mal danke hier die ergebnisse:

Scan Control Dumped @ 02:15:41 25-06-05
(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\tasks.exe

Suspicious Filename: Filename consists only of spaces (except for extension)
File: c:\windows\system32\.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\recycled\dc14.exe

(DELETED) Positive identification: Adware.WinAD.ai
File: c:\program files\media access\mediaacck.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\zea2cv1f\lcins4[1].exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\6xzsdkr6\lcins4[1].exe

Suspicious Filename: Dual extensions
File: c:\eigene dateien\download\tools\smalthings\keyhole2lt-2.2.990.exe

Suspicious Filename: Dual extensions
File: c:\eigene dateien\download\tools\mp3\audacity-win-1.2.3.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0122487.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0122494.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125487.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125498.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125523.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125546.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125578.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125590.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0126580.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0128579.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0129613.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130608.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130614.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130619.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130642.exe

(DELETED) Positive identification: Adware.WinAD.ai Dropper
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp251\a0130689.exe

(DELETED) Positive identification: Adware.WinAD.ai
File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp251\a0130690.exe



ich habe die dateien die ich schon kannte (von meinem normalen virenscanner) gleich mal geloescht (hatte ich schon oefter gemacht die kamen nur immer wieder .....).





Verzeichnis von C:\WINDOWS\SYSTEM32

20.06.2005 20:05 0 TFTP2824
20.06.2005 20:05 0 GET.exe
20.06.2005 20:02 0 .exe
20.06.2005 19:58 89.418 taskbars.exe
20.06.2005 17:36 2.184 wpa.dbl
15.06.2005 18:29 47.372 perfc007.dat
15.06.2005 18:29 313.086 perfh007.dat
15.06.2005 18:29 308.136 perfh009.dat
15.06.2005 18:29 39.146 perfc009.dat
15.06.2005 18:29 714.888 PerfStringBackup.INI
26.05.2005 04:19 173.536 wuweb.dll
08.05.2005 16:08 3.069 jupdate-1.5.0_02-b09.log


Verzeichnis von C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp

25.06.2005 01:21 16.384 ~DFAC3.tmp
25.06.2005 01:18 412 jusched.log
25.06.2005 01:08 16.384 ~DF74F.tmp
25.06.2005 01:08 16.384 ~DFE755.tmp
25.06.2005 01:08 16.384 ~DFABB3.tmp

(den ordner hatte ich komplett geleert als das problem aufgetaucht ist)



Verzeichnis von C:\WINDOWS

25.06.2005 01:21 6 dcstds3.dll
25.06.2005 01:19 0 0.log
25.06.2005 01:18 159 wiadebug.log
25.06.2005 01:18 2.048 bootstat.dat
25.06.2005 01:15 32.446 SchedLog.Txt
25.06.2005 01:15 50 wiaservc.log
25.06.2005 01:15 8.749 setupapi.log
24.06.2005 19:30 8.077 svcpack.log
24.06.2005 18:38 5.617 WindowsUpdate.log
24.06.2005 18:36 1.361.503 setupapi.log.0.old
24.06.2005 18:25 9.679 Active Setup Log.txt
23.06.2005 22:12 2.125 win.ini
23.06.2005 22:12 4.559 pow32.prj
23.06.2005 22:12 197 pow32.dsk
23.06.2005 22:12 3.536 pow32.cfg
21.06.2005 16:03 1.233 Winamp.ini
20.06.2005 20:00 139 msicpl.ini
20.06.2005 19:23 429 nsw.log
15.06.2005 19:40 223.671 wmsetup.log
14.06.2005 17:13 398.587 Directx.log
12.06.2005 10:50 400 blank.html
10.06.2005 19:07 99.970 UninstallFirefox.exe
10.06.2005 19:07 20.703 mozver.dat
06.06.2005 18:05 539 bobdown.ini
24.05.2005 21:25 24 dlb.ini
10.05.2005 18:13 1.212 IE4 Error Log.txt



Verzeichnis von C:\

25.06.2005 02:24 0 sys.txt
25.06.2005 02:23 13.456 system.txt
25.06.2005 02:21 489 systemtemp.txt
25.06.2005 02:15 118.991 system32.txt
25.06.2005 01:18 402.653.184 pagefile.sys
25.06.2005 01:10 1.206.669 d.txt
30.04.2005 12:07 112.776 winzip.log
24.04.2005 16:09 0 VDM3B.tmp
24.04.2005 16:09 0 VDM3A.tmp


vielen dank noch mal.
Seitenanfang Seitenende
25.06.2005, 10:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#213 Hallo@langbaeh

loesche mit der Killbox:
http://virus-protect.org/killbox.html

c:\program files\media access\mediaacck.exe
c:\recycled\dc14.exe
C:\eigene dateien\download\tools\smalthings\keyhole2lt-2.2.990.exe
c:\tasks.exe
C:\UNMT.EXE
C:\WINDOWS\SYSTEM32\TFTP2824
C:\WINDOWS\SYSTEM32\GET.exe
C:\WINDOWS\SYSTEM32\.exe
C:\WINDOWS\SYSTEM32\taskbars.exe
C:\WINDOWS\blank.html

PC neustarten ,

c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\zea2cv1f\<--loeschen
c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\6xzsdkr6\

loesche alle temp-dateien mit der killbox (ist auf der Seite erklaert)

Systemwiederherstellung deaktivieren(am Ende der reinigung aktiviere sie wieder)
http://virus-protect.org/Systemwiederherstellung.html

dann mache Onlinescans+ berichte
http://virus-protect.org/onlinescan.html
+
poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.06.2005, 16:51
...neu hier

Beiträge: 5
#214 ich hab mal 2 von den online scannern laufen lassen. haben beide nichts gefunden.

hier noch die neue hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:06, on 25.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v5.00 SP1 (5.00.2614.3500)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft Office\Office\Osa.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Fabian Langguth\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Popup Blocker System Monitoring] PopUpBlockerm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Popup Blocker System Monitoring] PopUpBlockerm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\1200 CU PLUS\WATCH.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Loadout Manager.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: Win32 Classes -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119631005055
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: WB - C:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Seitenanfang Seitenende
25.06.2005, 17:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#215 Hallo@langbaeh

Fixe mit dem HijackTHis: (ist vom tds-Tool)

O1 - Hosts: 64.91.255.87 www.dcsresearch.com


bitte noch einmal
start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus

einzeln reinkopierendann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.06.2005, 17:18
...neu hier

Beiträge: 5
#216 hier


Verzeichnis von C:\WINDOWS\SYSTEM32

20.06.2005 17:36 2.184 wpa.dbl
15.06.2005 18:29 313.086 perfh007.dat
15.06.2005 18:29 47.372 perfc007.dat
15.06.2005 18:29 714.888 PerfStringBackup.INI
15.06.2005 18:29 39.146 perfc009.dat
15.06.2005 18:29 308.136 perfh009.dat
26.05.2005 04:19 173.536 wuweb.dll
08.05.2005 16:08 3.069 jupdate-1.5.0_02-b09.log
29.04.2005 14:23 23.392 nscompat.tlb
29.04.2005 14:23 16.832 amcompat.tlb


Verzeichnis von C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp

25.06.2005 17:06 717 control.xml
25.06.2005 14:33 280 kb.log
25.06.2005 14:19 416 java_install_reg.log
3 Datei(en) 1.413 Bytes
0 Verzeichnis(se), 4.301.651.968 Bytes frei


Verzeichnis von C:\WINDOWS

25.06.2005 17:06 224.917 wmsetup.log
25.06.2005 16:53 18.112 setupapi.log
25.06.2005 14:16 0 0.log
25.06.2005 14:15 159 wiadebug.log
25.06.2005 14:15 2.048 bootstat.dat
25.06.2005 14:14 32.640 SchedLog.Txt
25.06.2005 14:14 50 wiaservc.log
25.06.2005 13:08 1.233 Winamp.ini
25.06.2005 10:43 2.125 win.ini
25.06.2005 10:43 4.407 pow32.prj
25.06.2005 10:43 45 pow32.dsk
25.06.2005 10:43 3.536 pow32.cfg
25.06.2005 01:21 6 dcstds3.dll
24.06.2005 19:30 8.077 svcpack.log
24.06.2005 18:38 5.617 WindowsUpdate.log
24.06.2005 18:36 1.361.503 setupapi.log.0.old
24.06.2005 18:25 9.679 Active Setup Log.txt
20.06.2005 20:00 139 msicpl.ini
20.06.2005 19:23 429 nsw.log
14.06.2005 17:13 398.587 Directx.log
10.06.2005 19:07 99.970 UninstallFirefox.exe
10.06.2005 19:07 20.703 mozver.dat
06.06.2005 18:05 539 bobdown.ini
24.05.2005 21:25 24 dlb.ini
10.05.2005 18:13 1.212 IE4 Error Log.txt
29.04.2005 14:35 321 wmsetup10.log
29.04.2005 14:23 316.640 WMSysPr9.prx


Verzeichnis von C:\

25.06.2005 17:17 0 sys.txt
25.06.2005 17:16 13.362 system.txt
25.06.2005 17:15 397 systemtemp.txt
25.06.2005 17:14 118.856 system32.txt
25.06.2005 14:15 402.653.184 pagefile.sys
25.06.2005 01:10 1.206.669 d.txt
30.04.2005 12:07 112.776 winzip.log
24.04.2005 16:09 0 VDM3B.tmp
24.04.2005 16:09 0 VDM3A.tmp
02.03.2005 17:03 14.676.137 RTS32.TXT
26.02.2005 10:50 108 CONFIG.SYS
Seitenanfang Seitenende
25.06.2005, 19:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#217 Hallo@langbaeh

dieses Mal ist es noch gutgegangen, der Backdoor/Wurm ist nicht mehr zu sehen. ;)
Aber du solltest unbedingt die WindowsUpdates machen, Anleitungen findest du auf meiner HP .

Gruss und alles Gute fuer dich + PC
---------------------------------------------------------------------------
(PS: fixe noch ;)
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)

ClaerProg..lade die neuste Version <1.5.1
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- URLs
- index.dat

#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.06.2005, 09:51
...neu hier

Beiträge: 5
#218 vielen dank.

ich benutze schon seit langer zeit hauptsaechlich mozilla bzw firefox. nur fuer manche plugins die im FF nicht funktionieren nehm ich ab und zu den IE.
Seitenanfang Seitenende
28.06.2005, 09:43
...neu hier

Beiträge: 1
#219 Guten Morgen, habe das selbe Problem,

hab eine Log erstellt

Logfile of HijackThis v1.99.1
Scan saved at 08:42:08, on 28.06.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\MxConfig.exe
C:\progra~1\samsung\smarthru\PORTCTRL.EXE
C:\WINNT\system32\taskbars.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\MDM.EXE
\Nt-server-01\Allgemein\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6322609
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6322609
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6322609
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.45.1:3128;gopher=192.168.45.1:3128;http=192.168.45.1:3128;https=192.168.45.1:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINNT\System32\WStart.dll (file missing)
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\programme\lotus\organize\iehelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MxConfig] MxConfig.exe /daemon
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE
O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe
O4 - Startup: PC-Handwerker.lnk = C:\Sage\KHK\PC-Handwerker\seumain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organize\bandobjs.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O13 - WWW. Prefix: http://
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = teleservice
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA9E80-9EFF-4EE6-80FC-F42D2E18A00B}: Domain = teleservice
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA9E80-9EFF-4EE6-80FC-F42D2E18A00B}: NameServer = 192.168.45.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = teleservice
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 192.168.45.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = teleservice
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 192.168.45.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 192.168.45.1
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINNT\System32\xplugin.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Jana Server 2 (Janad) - Thomas Hauck, Privat - C:\Programme\Jana2\janad.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe


Wäre dankbar für jegliche Hilfe.

Mfg Arthur Seidler
Seitenanfang Seitenende
28.06.2005, 10:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#220 Hallo@arthurrS

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINNT\system32\MxConfig.exe
C:\WINNT\system32\taskbars.exe


Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

-------------------------------------------------------------------------
bitte abarbeiten:
http://virus-protect.org/tds.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6322609
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6322609
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6322609
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINNT\System32\WStart.dll (file missing)
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\programme\lotus\organize\iehelper.dll (??)
O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organize\bandobjs.dll (??)
O13 - WWW. Prefix: http://
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Kennen Sie die IP oder die Domäne 'teleservice' nicht, fixen.

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = teleservice
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA9E80-9EFF-4EE6-80FC-F42D2E18A00B}: Domain = teleservice
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = teleservice
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = teleservice

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINNT\System32\xplugin.dll

PC neustarten
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\System32\xplugin.dll
C:\WINNT\SYSTEM32\GET.exe
C:\WINNT\SYSTEM32\.exe
C:\WINNT\SYSTEM32\taskbars.exe
c:\programme\lotus\organize\iehelper.dll (??)
C:\WINNT\System32\WStart.dll

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus
einzeln reinkopierendann öffnet sich der Editor)


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2005, 10:12
...neu hier

Beiträge: 1
#221 Hi Sabina.

ich habe das gleiche problem mit diesen lowzones-trojanern. ich hab versucht, mich über diesen thread etwas schlauer zu machen, hat aber nicht so ganz geklappt... anscheinend gibt es keine pauschallösung für dieses problem, deshalb poste ich mal (wie alle anderen) meine hijack-logfile. vielleicht kannst du mir helfen??

Logfile of HijackThis v1.99.1
Scan saved at 09:48:55, on 16.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\UPDATE\antivir_workstation_win_de_h.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\ARC6F\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - Global Startup: Bootvis.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9F303E2-9BA6-4591-A29C-CCD44C0CC1F7}: NameServer = 217.237.151.161 217.237.148.49
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



ich hoffe du kannst was finden. die trojaner hat antivir gefunden...

mfg noggi
Seitenanfang Seitenende
18.08.2005, 23:09
...neu hier

Beiträge: 2
#222 Hi wie alle andern habe auch ich das prob mit "Trojanische Pferd TR/Lowzones.A"
Bin ebenfalls nen vollnoob in sachen pc. hab mich natürlich auch bemüht aus den andern beiträgen schlau zu werden, aber es wollte mir nich so recht gelingen. kann mir jemand helfen? hier ist mein scan.

Logfile of HijackThis v1.99.1
Scan saved at 22:59:51, on 18.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tobias\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112695392596
O17 - HKLM\System\CCS\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
Seitenanfang Seitenende
19.08.2005, 09:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#223 noggi

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe

PC neustarten

Download:
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread


Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen

einzeln in das schwarze DOS-Fenster reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 30 Tage raus.
Dann schliesse DOS und führe die gleiche Anweisungen aus für:


cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

-------------


BitDefender Free Edition v7 (lade und scanne im abgesicherten modus)-->berichte, was das Tool findet ;)
http://virus-protect.org/antivirenfree.html

--------------------------------------------------------------------------------

INFO:-->ist fuer mich
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\System32\msmq2inst.exe
C:\WINDOWS\extel.exe
C:\WINDOWS\SYSTEM32\RDRIV.SYS
aaa.exe
zzz.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 09:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#224 waahTobi

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe

PC neustarten

Download:
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread


Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen

einzeln in das schwarze DOS-Fenster reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 30 Tage raus.
Dann schliesse DOS und führe die gleiche Anweisungen aus für:


cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


Zitat

----------

ist fuer mich:

C:\WINDOWS\System32\outlookupdate3778.exe
C:\WINDOWS\System32\outlookupdate 3779.exe
C:\rell.REG
C:\mtu.bat
C:\re12.reg
C:\re11.reg
C:\WINDOWS\System32\winpnp32.exe
C:\WINDOWS\System32\msnupdate.exe
C:\WINDOWS\Debug\dcpromo.log
C:\UNMT.EXE
C:\WINDOWS\System32\mspd.exe

mtrslib2.js
outlookupdate3778.exe
outlookupdate 3779.exe
re11.reg, re12.reg, blank.html und mtu.bat

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 14:56
...neu hier

Beiträge: 2
#225 Hi Sabina, erstma danke für die schnelle antwort und überhaupt dafür, dass du dir die Zeit nimmst und bereit bist uns armen nichtswissenden PCusern zu helfen.

als ich heut den pc hochgefahrn hab, dachte ich, dass ich jetzt den 6er im lotto gewonnen hab. denn zu meinem TR/LowzonesA - Trojaner hatte ich auch meldungen von antivir über ähnlich klingende Trojaner wie zum bsp TR/DIdr.IstBar.IJ1
TR/DIdr.Adload.A
und noch einer der nen dydfur-anhang hatte oder so ähnlich muss gestehn das ich mir den namen gar nich aufgeschrieben hab ich pannemann. aber naja scheint vorerst alles zu funzen.
Hier skommen nun meine FindT-textdatei und die verschiedenen Ergebnisse der DOS-arbeitsschritte.
Abschließend nochmals der HijackThisscan.

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.


Directory of C:\WINDOWS\system32
19.08.2005 14:12 141 ii
18.08.2005 22:07 70.656 sys64mnger.exe
18.08.2005 22:01 23.614 TFTP1144
18.08.2005 19:09 2.184 wpa.dbl


Directory of C:\DOCUME~1\Tobias\LOCALS~1\Temp
19.08.2005 14:28 512 ~DFCC60.tmp
19.08.2005 14:06 25.088 iinstall.exe
18.08.2005 22:11 0 WERE.tmp
18.08.2005 22:03 16.384 ~DFDD72.tmp
18.08.2005 22:03 512 ~DFDE72.tmp
18.08.2005 22:03 512 ~DFDD49.tmp
18.08.2005 22:03 16.384 ~DFDACE.tmp
18.08.2005 22:03 512 ~DFDA85.tmp
18.08.2005 22:03 16.384 ~DFD997.tmp
18.08.2005 21:55 346 Acr1C1.tmp
18.08.2005 21:55 419 Acr1C0.tmp
18.08.2005 21:46 512 ~DF7305.tmp
18.08.2005 21:35 7.850 Acr18E.tmp
18.08.2005 21:35 2.048.000 Acr18D.tmp
18.08.2005 21:35 0 Acr18C.tmp
18.08.2005 21:24 512 ~DF5BDC.tmp
18.08.2005 21:21 738 mso10.wmf
18.08.2005 21:21 16.384 ~WRF0002.tmp
18.08.2005 21:10 512 ~DF46B6.tmp
13.08.2005 13:31 4.350 BC0D4B0F.txt
11.08.2005 13:40 4.592 SIntfIcn.ani
11.08.2005 13:40 24.516 SIntfNT.dll
11.08.2005 13:40 19.924 SIntf32.dll
11.08.2005 13:40 12.067 SIntf16.dll
11.08.2005 13:40 36.864 CmdLineExt02.dll
04.08.2005 12:47 512 ~DF8D57.tmp
04.08.2005 12:47 16.384 ~DF8D38.tmp
04.08.2005 12:47 512 ~DF8D28.tmp
04.08.2005 12:47 16.384 ~DF8D04.tmp
04.08.2005 12:47 512 ~DF8CF6.tmp
04.08.2005 12:47 16.384 ~DF8CE0.tmp
23.07.2005 18:03 0 WER40.tmp
23.07.2005 16:27 512 ~DF9DCB.tmp
23.07.2005 16:27 16.384 ~DF9DBD.tmp
23.07.2005 16:27 512 ~DF9DAF.tmp
23.07.2005 16:27 16.384 ~DF9D9D.tmp
23.07.2005 16:27 512 ~DF9D8D.tmp
23.07.2005 16:27 16.384 ~DF9D6A.tmp
20.07.2005 16:23 4.624 EE11CC11.txt
20.07.2005 12:36 0 WER4.tmp
20.07.2005 12:18 4.329 C00EA20E.txt


Directory of C:\WINDOWS
19.08.2005 14:24 291.836 WindowsUpdate.log
19.08.2005 14:19 159 wiadebug.log
19.08.2005 14:19 50 wiaservc.log
19.08.2005 14:19 0 0.log
19.08.2005 14:19 606 ULEAD32.INI
19.08.2005 14:18 2.048 bootstat.dat
19.08.2005 14:18 32.542 SchedLgU.Txt
19.08.2005 14:06 276.227 setupapi.log
13.08.2005 15:31 3.017 CDEX.INI
13.08.2005 13:26 2.060 cdplayer.ini


Directory of C:\
19.08.2005 14:41 0 sys.txt
19.08.2005 14:38 5.347 system.txt
19.08.2005 14:34 4.729 systemtemp.txt
19.08.2005 14:27 90.429 system32.txt
19.08.2005 14:18 402.653.184 pagefile.sys
19.08.2005 14:06 53.460 msgupdate.exe
19.08.2005 14:06 32.256 msgupdate1.exe


Logfile of HijackThis v1.99.1
Scan saved at 14:54:51, on 19.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Tobias\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112695392596
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: