Scardclnt.exe evtl. befallen - wie entfernen ??

#1 Habe ein Programm namens Transfer.Profidialer nicht wegbekommen. Jedesmal wenn ich meinen DSL Anschluss neu installiert habe schrieb sich das Programm in die GMX Einwahlsoftware mit ein und war auch nicht so einfach rauszubekommen Nach mehreren Regestrierungseintragsänderung lief Internet gar nicht mehr .. also alles formatiert Sygate Firewall und Antivir installiert bevor ich die GMX Sofware installiert habe ... Direkt wieder da (Wie machen die das nur ??) Wenn ich den Rechner starte will der direkt ins Internet und ich weiss auch nicht mehr weiter, zudem hat er jetzt die Angewohnheit sich nach der Meldung "Eine Remoteprozess ist fehlgeschlagen ... " runterfahren zu müssen. Habe mein Hijacklog automatisch auswerten lassen und da ist mir die Datei SCARDCLNT.EXE aufgefallen .. die kann wie ich gelesen habe von Win32.CODBot.z befallen sein ... Tja, weiss nicht wie ich den Wurm nun weg bekomme .. Jemand eine Iee

Logfile of HijackThis v1.99.1
Scan saved at 23:26:35, on 25.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\SCardClnt.exe
D:\Programme\GMX Programme\GMX Internet Manager1\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Babe2000\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AWatch] D:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{895F44B8-6AC9-4E48-887A-EA772613F95A}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD1DB819-7181-4CB2-98DF-6EE90834BE9D}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

#2 Hallo@ChOcO

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SCardClnt

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


In Start - Ausführen eingeben: cmd

In dem Kommandofenster die folgenden Befehle eingeben und nach jedem die Eingabetaste drücken:

sc delete SCardClnt

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

reinkopieren:

C:\WINDOWS\System32\SCardClnt.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"

PC neustarten

loesche die Eintraege, die ich weiter unten aufgefuehrt habe

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.




HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDCLNT
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCARDCLNT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCARDCLNT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardClnt


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
-----------------

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#3 C:\WINDOWS\System32\SCardClnt.exe

Lass diese Datei hier mal online prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Rolfs

#4 Hallo@Rolfs

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)

http://www.informationsarchiv.net/foren/p_beitrag-97411.html#97411
http://www.paules-pc-forum.de/phpBB2/ptopic,283554.html
http://www.sophos.com/virusinfo/analyses/w32rbotys.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina

habe versucht die Datei SCardClnt einzufügen, ging irgendwie nicht Die Datei im notepad geöffnet und dann reinkopiert. Kam dann eine Meldung das irgendwie nichts auffälliges gefunden wurde, konnte ich aber nicht kopieren und deswegen auch nicht hier posten.

Weiss nicht wie ich diese Anweisung ausführen soll, bzw weiss genau damit gemeint ist ... :-(

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

escan runtergeladen update downgeloaded und im abgesicherten Modus einen scan durchgeführt.

Ergebnis:

Tue Apr 26 17:05:46 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Apr 26 17:05:46 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Tue Apr 26 17:33:15 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*

Zusammenfassung:

Tue Apr 26 17:56:10 2005 => Virus Database Date: 2005/04/25
Tue Apr 26 17:56:10 2005 => Virus Database Count: 127328
Tue Apr 26 17:56:29 2005 => AV Library Unloaded (3)...
Tue Apr 26 18:00:00 2005 => **********************************************************
Tue Apr 26 18:00:00 2005 => MicroWorld AntiVirus Toolkit Utility.
Tue Apr 26 18:00:00 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Tue Apr 26 18:00:00 2005 => **********************************************************
Tue Apr 26 18:00:00 2005 => Version 6.1.1 (C:\DOKUME~1\Babe2000\LOKALE~1\Temp\mwavscan.com)
Tue Apr 26 18:00:00 2005 => Log File: C:\DOKUME~1\Babe2000\LOKALE~1\Temp\MWAV.LOG
Tue Apr 26 18:00:00 2005 => Last Scan Date and Time: 26.04.2005 17:04:10
Tue Apr 26 18:00:00 2005 => MWAV Registered: FALSE.
Tue Apr 26 18:00:00 2005 => MWAV Mode: Only Scan files.
Tue Apr 26 18:00:00 2005 => Latest Date of files inside MWAV: 25 Apr 2005 09:31:39.
Tue Apr 26 18:00:02 2005 => AV Library Loaded...
Tue Apr 26 18:00:02 2005 => MWAV doing self scanning...
Tue Apr 26 18:00:02 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.exe
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\Getvlist.exe
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.dll
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssdi.dll
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssi.dll
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavvlg.dll
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\msvlclnt.dll
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\ipc.dll
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\main.avi
Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\virus.avi
Tue Apr 26 18:00:03 2005 => MWAV files are clean.
Tue Apr 26 18:00:09 2005 => MWAV License Agreement and conditions NOT accepted by user. Aborting...
Tue Apr 26 18:00:09 2005 => AV Library Unloaded (2)...
Tue Apr 26 18:01:29 2005 => **********************************************************
Tue Apr 26 18:01:29 2005 => MicroWorld AntiVirus Toolkit Utility.
Tue Apr 26 18:01:29 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Tue Apr 26 18:01:29 2005 => **********************************************************
Tue Apr 26 18:01:29 2005 => Version 6.1.1 (C:\DOKUME~1\Babe2000\LOKALE~1\Temp\mwavscan.com)
Tue Apr 26 18:01:29 2005 => Log File: C:\DOKUME~1\Babe2000\LOKALE~1\Temp\MWAV.LOG
Tue Apr 26 18:01:29 2005 => Last Scan Date and Time: 26.04.2005 17:04:10
Tue Apr 26 18:01:29 2005 => MWAV Registered: FALSE.
Tue Apr 26 18:01:29 2005 => MWAV Mode: Only Scan files.
Tue Apr 26 18:01:29 2005 => Latest Date of files inside MWAV: 25 Apr 2005 09:31:39.
Tue Apr 26 18:01:32 2005 => AV Library Loaded...
Tue Apr 26 18:01:32 2005 => MWAV doing self scanning...
Tue Apr 26 18:01:32 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.exe
Tue Apr 26 18:01:32 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\Getvlist.exe
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.dll
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssdi.dll
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssi.dll
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavvlg.dll
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\msvlclnt.dll
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\ipc.dll
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\main.avi
Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\virus.avi
Tue Apr 26 18:01:33 2005 => MWAV files are clean.
Tue Apr 26 18:01:39 2005 => Virus Database Date: 2005/04/25
Tue Apr 26 18:01:39 2005 => Virus Database Count: 127328


Habe schon vorher versucht Alexia mit Sbybot und Adaware zu entfernen, wie man sieht ohne Erfolg. Jetzt weiss ich aber auch warum Antivir den nicht findet. Hilft hier ein noch nicht so bekanntes Antivirenprogramm besser ??

Der Transfer.Profidialer ist immer noch da ... Bin für weitere Tips dankbar.

Zum Schluss noch mein aktuelles Hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 18:22:19, on 26.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Babe2000\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
D:\Programme\GMX Programme\GMX Internet Manager1\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AWatch] D:\Programme\FRITZ!DSL\Awatch.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{895F44B8-6AC9-4E48-887A-EA772613F95A}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD1DB819-7181-4CB2-98DF-6EE90834BE9D}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe


MfG

ChOcO

#6

Zitat

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus

kopiere diese Sachen in DOS und dann kopiere raus, was erscheint (aber nur die letzten Tage)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

hier nun die Kopien der letzten Tage:


27.04.2005 18:03 40.128 perfc009.dat
27.04.2005 18:03 311.740 perfh009.dat
27.04.2005 18:03 48.354 perfc007.dat
27.04.2005 18:03 316.924 perfh007.dat
27.04.2005 18:03 723.744 PerfStringBackup.INI
27.04.2005 17:59 2.206 wpa.dbl
27.04.2005 17:58 251 spupdwxp.log
27.04.2005 17:57 111.784 FNTCACHE.DAT
25.04.2005 23:14 0 TFTP1112
25.04.2005 23:11 0 TFTP564
25.04.2005 22:47 0 TFTP1168
25.04.2005 22:45 0 TFTP220
25.04.2005 22:37 0 TFTP1816
25.04.2005 22:11 43.008 TFTP1192
25.04.2005 21:50 0 TFTP1476
23.04.2005 22:47 0 h323log.txt
23.04.2005 22:05 25.065 wmpscheme.xml
23.04.2005 21:59 261 $winnt$.inf
23.04.2005 21:55 2.951 CONFIG.NT
23.04.2005 21:55 16.832 amcompat.tlb
23.04.2005 21:55 23.392 nscompat.tlb
23.04.2005 21:55 1.536 TrueSoft.dat
23.04.2005 21:55 456 pthsp.dat
23.04.2005 21:53 488 logonui.exe.manifest
23.04.2005 21:53 488 WindowsLogon.manifest
23.04.2005 21:53 749 wuaucpl.cpl.manifest
23.04.2005 21:53 749 ncpa.cpl.manifest
23.04.2005 21:53 749 nwc.cpl.manifest
23.04.2005 21:53 749 cdplayer.exe.manifest
23.04.2005 21:53 749 sapi.cpl.manifest
23.04.2005 21:51 21.740 emptyregdb.dat


27.04.2005 02:57 0 799240.dmp
27.04.2005 02:57 0 WER50.tmp
27.04.2005 00:58 0 SPEEnc.Dup
27.04.2005 00:57 3.124.102 MWAV.LOG
27.04.2005 00:56 4.327 mwXface.log
26.04.2005 19:06 2.048.000 Acr1.tmp
26.04.2005 16:22 53 kb.log
26.04.2005 15:28 16.384 ~DF8DD4.tmp
25.04.2005 23:09 1.432.867 ~updateB717.exe
25.04.2005 12:21 12.067 daily.avc
25.04.2005 12:21 10.288 avp.klb
25.04.2005 12:02 349.696 viewtcp.exe
25.04.2005 11:45 92.160 loadtxt.exe
25.04.2005 11:24 1.601 ViewTcp.lan
24.04.2005 18:02 177.216 mwavscan.com
24.04.2005 17:41 7.187 license.txt
23.04.2005 22:39 280.096 Office 2000 SR-1 Premium Setup(0002)_MsiExec.txt
23.04.2005 22:34 29.937 offcln9.log
23.04.2005 22:34 1.351 Office 2000 SR-1 Premium Setup(0002).txt
23.04.2005 13:53 8.904 ext004.avc
23.04.2005 13:53 47.452 worm005.avc
23.04.2005 13:53 35.337 gen001.avc
23.04.2005 13:53 83.575 unp022.avc
23.04.2005 13:53 27.579 x-files.avc
23.04.2005 13:53 48.388 krnexe32.avc
23.04.2005 13:53 34.429 gen999.avc
23.04.2005 13:53 1.421 avp.set
23.04.2005 13:53 76.610 virus015.avc
23.04.2005 13:53 57.607 unp011.avc
23.04.2005 13:53 19.031 troj026.avc
23.04.2005 13:53 15.830 virus020.avc
23.04.2005 13:53 11.087 fa.avc
23.04.2005 13:53 63.616 ca.avc
23.04.2005 13:53 9.522 malw004.avc
21.04.2005 17:42 59.337 unp014.avc
21.04.2005 17:42 5.144 smart.avc
21.04.2005 17:42 26.800 krnengn.avc
21.04.2005 17:42 39.390 unp017.avc
21.04.2005 17:42 32.581 krnexe.avc
20.04.2005 13:34 61.716 krnunp.avc
16.04.2005 13:20 262 daily-x.avc
16.04.2005 13:20 83.794 unp019.avc
16.04.2005 13:20 78.447 virus011.avc
16.04.2005 13:20 262 daily-ex.avc
16.04.2005 13:20 51.688 troj025.avc
16.04.2005 13:20 85.508 unp013.avc


27.04.2005 18:05 1.994 WindowsUpdate.log
27.04.2005 18:00 29.246 spupdsvc.log
27.04.2005 18:00 360 DtcInstall.log
27.04.2005 18:00 630 wmsetup.log
27.04.2005 18:00 316.640 WMSysPr9.prx
27.04.2005 18:00 103.542 iis6.log
27.04.2005 18:00 23.918 comsetup.log
27.04.2005 18:00 13.760 ntdtcsetup.log
27.04.2005 18:00 2.504 ocmsn.log
27.04.2005 18:00 4.696 imsins.log
27.04.2005 18:00 23.981 tsoc.log
27.04.2005 18:00 1.061 tabletoc.log
27.04.2005 18:00 3.743 medctroc.Log
27.04.2005 18:00 2.314 msgsocm.log
27.04.2005 18:00 32.643 ocgen.log
27.04.2005 18:00 38.151 FaxSetup.log
27.04.2005 18:00 387.651 setupapi.log
27.04.2005 17:59 3.557 netfxocm.log
27.04.2005 17:59 23.342 msmqinst.log
27.04.2005 17:59 1.165 OEWABLog.txt
27.04.2005 17:59 0 0.log
27.04.2005 17:59 709.668 setuplog.txt
27.04.2005 17:57 2.048 bootstat.dat
27.04.2005 17:55 431.192 svcpack.log
27.04.2005 17:55 1.374 imsins.BAK
27.04.2005 17:50 200 cmsetacl.log
27.04.2005 17:50 680 win.ini
27.04.2005 17:49 1.330 sessmgr.setup.log
27.04.2005 17:34 741 avmcoins.log
27.04.2005 17:26 5.752 SchedLgU.Txt
27.04.2005 00:07 16.384 Active Setup Log.txt
26.04.2005 18:24 267 wiadebug.log
26.04.2005 17:59 50 wiaservc.log
26.04.2005 17:56 247.224 ntbtlog.txt
26.04.2005 15:40 2.184 xpsp1hfm.log
26.04.2005 15:40 5.876 KB823980.log
25.04.2005 21:46 478 Windows Update.log
25.04.2005 21:46 2.102 avmadd32.log
25.04.2005 21:44 472 avmenum32.log
25.04.2005 21:39 12.059 avmw2k.log
24.04.2005 18:56 233 BUHL.INI
23.04.2005 22:44 0 Sti_Trace.log
23.04.2005 22:41 1.348 regopt.log
23.04.2005 22:41 231 system.ini
23.04.2005 22:38 400 ODBC.INI
23.04.2005 22:38 4.335 ODBCINST.INI
23.04.2005 22:38 59 vbaddin.ini
23.04.2005 22:24 299.552 WMSysPrx.prx
23.04.2005 22:03 8.192 REGLOCS.OLD
23.04.2005 22:00 174.033 setupact.log
23.04.2005 21:58 622 setuperr.log
23.04.2005 21:55 0 control.ini
23.04.2005 21:53 749 WindowsShell.Manifest
23.04.2005 21:50 36 vb.ini


27.04.2005 18:12 0 sys.txt
27.04.2005 18:11 4.831 system.txt
27.04.2005 18:09 8.119 systemtemp.txt
27.04.2005 18:07 92.431 system32.txt
27.04.2005 17:57 267.939.840 hiberfil.sys
27.04.2005 17:57 402.653.184 pagefile.sys
27.04.2005 17:41 47.564 NTDETECT.COM
27.04.2005 17:41 251.184 ntldr
27.04.2005 00:56 4 AVPCallback.log
26.04.2005 17:53 0 23990098.$$$
23.04.2005 21:55 0 IO.SYS
23.04.2005 21:55 0 MSDOS.SYS
23.04.2005 21:55 0 AUTOEXEC.BAT
23.04.2005 21:55 0 CONFIG.SYS
23.04.2005 21:48 216 boot.ini

#8 Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen

http://virusscan.jotti.org/de/

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\system32\viewtcp.exe
C:\WINDOWS\system32\loadtxt.exe
C:\WINDOWS\system32\TFTP1112
C:\WINDOWS\system32\TFTP564
C:\WINDOWS\system32\TFTP1168
C:\WINDOWS\system32\TFTP220
C:\WINDOWS\system32\TFTP1816
C:\WINDOWS\system32\TFTP1192
C:\WINDOWS\system32\TFTP1476

---------------

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



• ewido security suite
http://www.ewido.net/en/?section=download

1.Tool updaten
2. Scannen (im abgesicherten Modus)



--------------
info
it found an infection (backdoor.hacdef.a - with a file I guess it was using in my temp folder - viewtcp.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

habe alle temp Dateien gelöscht und den ewido security suite im abgesicherten Modus scannen lassen ... der hat nichts gefunden. Die Dateien konnte ich nicht prüfen da ich sich nicht hochladen konnte obwohl ich meiner Sygate Firewall auf Allow all eingestellt habe ??´Läuft aber jetzt schon viel besser ..

#10 Hallo@ChOcO

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\viewtcp.exe
C:\WINDOWS\system32\loadtxt.exe
C:\WINDOWS\system32\TFTP1112
C:\WINDOWS\system32\TFTP564
C:\WINDOWS\system32\TFTP1168
C:\WINDOWS\system32\TFTP220
C:\WINDOWS\system32\TFTP1816
C:\WINDOWS\system32\TFTP1192
C:\WINDOWS\system32\TFTP1476

PC neustarten

Start-->Ausfuehren--> %temp% (reinkopieren)
suche eine kb.log und poste mir den Inhalt

---------------------
INFO:

viewtcp.exe
davor noch ein scan mit:
Jottis Malwarescan 2.99-TRANSITION_TO_3.00
Datei, die hochgeladen und gescannt werden soll:
Datei: viewtcp.exe
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX
AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Embedded.Backdoor.HacDef.a gefunden (mögliche Variante)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

die datei viewtcp.exe ist nicht vorhanden ??? Habe über die Suche-Funktion von Windows versucht die zu finden ... nicht da.

Hier nun der Log den du haben wolltest:

C:\WINDOWS\system32\TFTP1476
Delete on Reboot

#12 so ? und die anderen alle ? hast du die auch alle in die Killbox kopiert ?????

Zitat

C:\WINDOWS\system32\viewtcp.exe
C:\WINDOWS\system32\loadtxt.exe
C:\WINDOWS\system32\TFTP1112
C:\WINDOWS\system32\TFTP564
C:\WINDOWS\system32\TFTP1168
C:\WINDOWS\system32\TFTP220
C:\WINDOWS\system32\TFTP1816
C:\WINDOWS\system32\TFTP1192
C:\WINDOWS\system32\TFTP1476

__________
MfG Sabina

rund um die PC-Sicherheit

#13 So habe jetzt die Einträge alle korrekt eingegeben und dies ist der LOG:

C:\WINDOWS\system32\TFTP1476
Delete on Reboot
C:\WINDOWS\system32\TFTP564
Delete on Reboot
C:\WINDOWS\system32\viewtcp.exe
Delete on Reboot
C:\WINDOWS\system32\loadtxt.exe
Delete on Reboot
C:\WINDOWS\system32\TFTP1112
Delete on Reboot
C:\WINDOWS\system32\TFTP1168
Delete on Reboot
C:\WINDOWS\system32\TFTP220
Delete on Reboot
C:\WINDOWS\system32\TFTP1816
Delete on Reboot
C:\WINDOWS\system32\TFTP1192
Delete on Reboot
C:\WINDOWS\system32\TFTP1476
Delete on Reboot

Was auffällt ist das GMX sich jetzt nicht mehr über transfer.profidialer einwählt der ie aber immer ein Packet senden will .. weiss nicht ob das so O.K. ist ..