Home » Spyware & Browser Hijacker Support Forum » Bekomme Trojaner TR/StartPa.DU.DLL.1 nicht weg » Themenansicht

Bekomme Trojaner TR/StartPa.DU.DLL.1 nicht weg
#0
01.06.2005, 22:29
Biber.Beat
...neu hier

Beiträge: 6
#1 Hallo,

habe mich in diesem Forum umfangreich umgesehen. Bekomme den Trojaner aber einfach nicht weg. Hier das HijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:22:28, on 01.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ntlm32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\atloo.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Opera 8 Beta\Opera.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\DOKUME~1\Henning\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: GDS module - {A084A565-B09B-4e4c-A497-7CC50AEAB2A7} - C:\WINDOWS\gds.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {C97FF224-83CF-9DB5-2755-29EF007941C4} - C:\WINDOWS\atlmp32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ntlm32.exe] C:\WINDOWS\system32\ntlm32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: EmailImport - https://www.openbc.com/importtool/openBC.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83F7DB9-55C4-4127-A1F4-1DC3CACF1B1E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atloo.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

Das ist mein erster! Virus. Würde mich über Hilfe riesig freuen.

Henning
Seitenanfang Seitenende
02.06.2005, 17:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Biber.Beat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: GDS module - {A084A565-B09B-4e4c-A497-7CC50AEAB2A7} - C:\WINDOWS\gds.dll
O2 - BHO: Class - {C97FF224-83CF-9DB5-2755-29EF007941C4} - C:\WINDOWS\atlmp32.dll
O4 - HKLM\..\Run: [ntlm32.exe] C:\WINDOWS\system32\ntlm32.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atloo.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

Deaktivieren Wiederherstellung--> dann aktiviere sie wieder
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



Deinstalliere den Antivirus+ lade ihn neu ;)

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

•AboutBuster
http://virus-protect.org/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.

4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".


•Ad-aware SE Personal 1.05 Updated
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->

--------------------------------------------------------------------------

gehe wieder in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

SCanne mit den 3 Tools

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
das neue Log vom HIjacktHis+ Report vom Scan (Antivirus)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2005, 22:41
Biber.Beat
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina,

hab mich durch die Programme gekämpft. Hier die Ergebnisse. Hab ich ihn wegbekommen?

************** HijackThis Report ****************************

Logfile of HijackThis v1.99.1
Scan saved at 22:17:29, on 18.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Henning\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:81
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: EmailImport - https://www.openbc.com/importtool/openBC.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83F7DB9-55C4-4127-A1F4-1DC3CACF1B1E}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

************** Antivirus Report ****************************

Erstellungsdatum der Reportdatei: Samstag, 18. Juni 2005 22:34

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.31.0.63 (0) vom 15.06.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 179514 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 1)
Benutzername: Henning
Computername: TRESOR
Prozessor: Pentium
Arbeitsspeicher: 523760 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.31.0.5 823808 15.06.2005 18:19:58
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 03.03.2005 17:09:36
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.31.00.60 1167400 15.06.2005 18:20:08
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 18.08.2001 12:00:00
MFC42.DLL : 6.00.8665.0 995383 18.08.2001 12:00:00
MSVCRT.DLL : 7.0.2600.1106 (xpsp1.020828-1920
MSVCRT.DLL : 7.0.2600.1106 323072 29.08.2002 12:43:26
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: Selbsttest

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Henning\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK
Systemdateien
boot.ini OK
bootfont.bin OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK
Seitenanfang Seitenende
18.06.2005, 22:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 nun mache bitte einen Onlinescan mit panda (wenn der Antivirus was von Virus faselt--> nicht beachten ;)

http://virus-protect.org/onlinescan.html

poste, was angezeigt wird ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2005, 23:57
Biber.Beat
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina,

hier nun der Report vom Panda-Onlinescan.


Incident Status Location

Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Ab scissor.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Broadband comparison.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Credit counseling.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Credit report.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Crm software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Debt credit card.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Escorts.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Fha.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Health insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Help desk software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Insurance home.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Loan for debt consolidation.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Loan for people with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Marketing email.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Mortgage insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Mortgage life insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Nevada corporations.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Online Betting Site.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Online gambling casino.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Online instant loan.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Order phentermine.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Payroll advance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Personal loans online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Personal loans with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Prescription Drugs Rx Online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Refinancing my mortgage.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Tahoe vacation rental.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Unsecured bad credit loans.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Videos.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\What is hydrocodone.url
Adware:Adware/SearchAid No disinfected C:\WINDOWS\apiyu.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\atlcv32.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\javabj32.exe
Adware:Adware/CWS No disinfected C:\WINDOWS\netnr32.dl$
Adware:Adware/SearchAid No disinfected C:\WINDOWS\n_ahmjsv.dat
Adware:Adware/SearchAid No disinfected C:\WINDOWS\n_emzdfz.txt
Adware:Adware/SearchAid No disinfected C:\WINDOWS\sdkwt.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\adddy32.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\apild32.exe
Adware:Adware/Howprotect No disinfected C:\WINDOWS\system32\apiws.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\atlau32.exe
Adware:Adware/CWS No disinfected C:\WINDOWS\system32\ierb.dl$
Adware:Adware/CWS No disinfected C:\WINDOWS\system32\ipys32.dl$
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\javaqc.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\javats32.exe
Adware:Adware/CWS No disinfected C:\WINDOWS\system32\mfcju.dl$
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\msxu.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\msyd.exe
Seitenanfang Seitenende
19.06.2005, 11:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@Biber.Beat

Fixe mit dem HijackTHis:

R3 - Default URLSearchHook is missing

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\apiyu.exe
C:\WINDOWS\atlcv32.exe
C:\WINDOWS\javabj32.exe
C:\WINDOWS\netnr32.dl$
C:\WINDOWS\n_ahmjsv.dat
C:\WINDOWS\n_emzdfz.txt
C:\WINDOWS\sdkwt.exe
C:\WINDOWS\system32\adddy32.exe
C:\WINDOWS\system32\apild32.exe
C:\WINDOWS\system32\apiws.exe
C:\WINDOWS\system32\atlau32.exe
C:\WINDOWS\system32\ierb.dl$
C:\WINDOWS\system32\ipys32.dl$
C:\WINDOWS\system32\javaqc.exe
C:\WINDOWS\system32\javats32.exe
C:\WINDOWS\system32\mfcju.dl$
C:\WINDOWS\system32\msxu.exe
C:\WINDOWS\system32\msyd.exe

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\<---loeschen

Deaktivieren Wiederherstellung (dann aktiviere sie wieder)
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

•CWShredder
http://virus-protect.org/antispywaretools.html
* Double-click on CWShredder.exe.
WÄHREND des Scanvorganges müssen ALLE
sonstige Anwendungen beendet werden und
alle Browserfenster müssen geschlossen sein!
* Click "Fix ->" und click "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".

+ poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.06.2005, 11:30
Biber.Beat
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo Sabina!

Done!

Logfile of HijackThis v1.99.1
Scan saved at 11:27:30, on 19.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jucheck.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Henning\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: EmailImport - https://www.openbc.com/importtool/openBC.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83F7DB9-55C4-4127-A1F4-1DC3CACF1B1E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe
Seitenanfang Seitenende
19.06.2005, 17:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@

Das hast du gut gemacht ;)

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 50 Tage raus

einzeln reinkopieren: (dann alles abkpieren, was im Editor erscheint)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


•Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.06.2005, 23:57
Biber.Beat
...neu hier

Themenstarter

Beiträge: 6
#9 ???? Da hast du mich jetzt verloren!

Ich frage per Eingabeauforderung die Dateilisten ab - verstanden. Aber wohin soll ichdie "alten" Einträge kopieren? Und welche Auswirkung hat das direkt auf das System? Es wird doch nichts gelöscht.

Biber.Beat
Seitenanfang Seitenende
20.06.2005, 09:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 du kopierst in die Konsole:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

dann oeffnet sich der Editor und was dort erscheint--> die Eintraege der letzten 40 Tage--> hier ind Forum kopieren...usw...

so kann ich mich als "Virenscanner" betaetigen und die malware rausfiltern ;) , die dann mit der Killbox geloescht wird ;)

hier hast du mal ein Beispiel, wie ich das mache : (hab hier den W32/Gaobot.gen.worm am Wickel bekommen, den der Antivirus beim Scan im abgesicherten Modus nicht erkannt hatte....)
http://www.informationsarchiv.net/foren/beitrag-21130.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2005, 20:59
Biber.Beat
...neu hier

Themenstarter

Beiträge: 6
#11 Hallo Sabina!

Verstanden. Auf gehts:

***************** Logfile Ad-aware 2. Scan ***************

Ad-Aware SE Build 1.06r1
Logfile Created on:Montag, 20. Juni 2005 20:40:11
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R50 13.06.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
IntexusDial(TAC index:5):1 total references
MRU List(TAC index:0):29 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


20.06.2005 20:40:11 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Henning\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\adobe\adobe acrobat\5.0\avgeneral\crecentfiles
Description : list of recently used files in adobe acrobat


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\ahead\cover designer\recent file list
Description : list of recently used files in ahead cover designer


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\ahead\nero - burning rom\recent file list
Description : list of recently used files in nero burning rom


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\mediaplayer\preferences
Description : last cd record path used in microsoft windows media player


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-19\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-20\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\ntbackup\log files
Description : list of recent logfiles in microsoft backup


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\office\10.0\common\general
Description : list of recently used symbols in microsoft office


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\office\10.0\powerpoint\recent typeface list
Description : list of recently used typefaces in microsoft powerpoint


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\office\10.0\powerpoint\recentfolderlist
Description : list of recent folders used by microsoft powerpoint


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\nvidia corporation\global\nview\windowmanagement
Description : nvidia nview cached application window positions


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent skins in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\realnetworks\realplayer\6.0\preferences
Description : last login time in realplayer


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 572
ThreadCreationTime : 20.06.2005 18:38:46
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 636
ThreadCreationTime : 20.06.2005 18:38:48
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 660
ThreadCreationTime : 20.06.2005 18:38:49
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 704
ThreadCreationTime : 20.06.2005 18:38:50
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 716
ThreadCreationTime : 20.06.2005 18:38:50
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 884
ThreadCreationTime : 20.06.2005 18:38:50
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 932
ThreadCreationTime : 20.06.2005 18:38:50
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1044
ThreadCreationTime : 20.06.2005 18:38:51
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1088
ThreadCreationTime : 20.06.2005 18:38:51
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [wbload.exe]
FilePath : C:\Programme\Stardock\Object Desktop\WindowBlinds\
ProcessID : 1324
ThreadCreationTime : 20.06.2005 18:38:52
BasePriority : Normal
FileVersion : 4.2
ProductVersion : 4.2
ProductName : WindowBlinds - http://www.windowblinds.net
CompanyName : Stardock Systems, Inc
FileDescription : WindowBlinds
InternalName : WindowBlinds
LegalCopyright : Copyright © 1997-2003 Neil Banfield, © 1998-2003 Stardock.Net, Inc
OriginalFilename : WindowBlinds
Comments : This is the WindowBlinds launcher app. Please do not delete this file. If you want to uninstall WindowBlinds, then use the uninstaller!

#:11 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1352
ThreadCreationTime : 20.06.2005 18:38:52
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:12 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1540
ThreadCreationTime : 20.06.2005 18:38:56
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:13 [adusermon.exe]
FilePath : C:\Programme\Iomega\AutoDisk\
ProcessID : 1740
ThreadCreationTime : 20.06.2005 18:38:58
BasePriority : Normal
FileVersion : 3, 2, 1, 5
ProductVersion : 3, 2, 1, 5
ProductName : Iomega Active Disk
CompanyName : Iomega Corporation
FileDescription : Active Disk User Monitor
InternalName : ADUserMon
LegalCopyright : Copyright © 2002
OriginalFilename : ADUserMon.exe

#:14 [imgicon.exe]
FilePath : C:\Programme\Iomega\DriveIcons\
ProcessID : 1748
ThreadCreationTime : 20.06.2005 18:38:58
BasePriority : Normal


#:15 [awatch.exe]
FilePath : C:\Programme\FRITZ!DSL\
ProcessID : 1764
ThreadCreationTime : 20.06.2005 18:38:58
BasePriority : Normal
FileVersion : 3.04.04
ProductVersion : 3.04.04
ProductName : ADSLWatch
CompanyName : AVM Berlin
FileDescription : ADSLWatch
InternalName : ADSLWatch
LegalCopyright : Copyright © AVM Berlin 2000-2003
OriginalFilename : AWatch.EXE

#:16 [lcdctrl.exe]
FilePath : C:\Programme\EIZO\ScreenManager Pro for LCD\
ProcessID : 1812
ThreadCreationTime : 20.06.2005 18:38:58
BasePriority : Normal
FileVersion : 1.13
ProductVersion : 1.13
ProductName : EIZO LCD Utility
CompanyName : EIZO NANAO CORPORATION
FileDescription : ScreenManager Pro for LCD
InternalName : Lcdctrl
LegalCopyright : Copyright (C) 2002-2003 EIZO NANAO CORPORATION, All rights resered.
OriginalFilename : Lcdctrl.exe

#:17 [zlclient.exe]
FilePath : C:\Programme\Zone Labs\ZoneAlarm\
ProcessID : 1824
ThreadCreationTime : 20.06.2005 18:38:58
BasePriority : Normal
FileVersion : 5.1.025.000
ProductVersion : 5.1.025.000
ProductName : Zone Labs Client
CompanyName : Zone Labs Inc.
FileDescription : Zone Labs Client
InternalName : zlclient
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : zlclient.exe

#:18 [jusched.exe]
FilePath : C:\Programme\Java\j2re1.4.2_05\bin\
ProcessID : 1832
ThreadCreationTime : 20.06.2005 18:38:58
BasePriority : Normal


#:19 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 1840
ThreadCreationTime : 20.06.2005 18:38:58
BasePriority : Normal
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
ProductName : RealOne Player (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2002
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:20 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1856
ThreadCreationTime : 20.06.2005 18:38:59
BasePriority : Normal


#:21 [rundll32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1888
ThreadCreationTime : 20.06.2005 18:38:59
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

#:22 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1904
ThreadCreationTime : 20.06.2005 18:38:59
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:23 [acrotray.exe]
FilePath : C:\Programme\Adobe\Acrobat 5.0\Distillr\
ProcessID : 1916
ThreadCreationTime : 20.06.2005 18:38:59
BasePriority : Normal
FileVersion : 5, 0, 0, 0
ProductVersion : 5, 0, 0, 0
ProductName : AcroTray - Adobe Acrobat Distiller helper application.
CompanyName : Adobe Systems Inc.
FileDescription : AcroTray
InternalName : AcroTray
LegalCopyright : Copyright © 2001
OriginalFilename : AcroTray.exe

#:24 [dmx6fire.exe]
FilePath : C:\Programme\TerraTec\DMX 6fire\
ProcessID : 1944
ThreadCreationTime : 20.06.2005 18:38:59
BasePriority : Normal
FileVersion : 5, 40, 3, 130
ProductVersion : 5, 40, 0, 0
ProductName : TTP7Cpl Application
CompanyName : TerraTec Electronic GmbH
FileDescription : DMX 6fire 24/96 ControlPanel
InternalName : DMX 6fire 24/96 ControlPanel
LegalCopyright : Copyright © 2001 - 2003 TerraTec Electronic GmbH
LegalTrademarks : --
OriginalFilename : TTP7Cpl.EXE
Comments : --

#:25 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1956
ThreadCreationTime : 20.06.2005 18:38:59
BasePriority : Normal


#:26 [objectdock.exe]
FilePath : C:\Programme\Stardock\ObjectDock\
ProcessID : 1984
ThreadCreationTime : 20.06.2005 18:38:59
BasePriority : Normal
FileVersion : v1.11.517u
ProductVersion : v1.11.517u
ProductName : Stardock ObjectDock
CompanyName : Stardock
FileDescription : ObjectDock
InternalName : ObjectDock
LegalCopyright : Copyright © 1999-2005 Jeff Bargmann, ©2002-2005 Stardock
OriginalFilename : ObjectDock.exe

#:27 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 2012
ThreadCreationTime : 20.06.2005 18:39:00
BasePriority : Normal


#:28 [appservices.exe]
FilePath : C:\PROGRA~1\Iomega\System32\
ProcessID : 2040
ThreadCreationTime : 20.06.2005 18:39:00
BasePriority : Normal
FileVersion : 2, 0, 2, 5
ProductVersion : 2, 0, 2, 5
ProductName : Iomega App Services
CompanyName : Iomega Corporation
FileDescription : AppServices
InternalName : AppServices
LegalCopyright : Copyright © 2000
OriginalFilename : AppService.exe
Comments : Iomega App Services For Windows 2000/NT

#:29 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 220
ThreadCreationTime : 20.06.2005 18:39:01
BasePriority : Normal
FileVersion : 6.14.10.5303
ProductVersion : 6.14.10.5303
ProductName : NVIDIA Driver Helper Service, Version 53.03
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 53.03
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:30 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 280
ThreadCreationTime : 20.06.2005 18:39:01
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:31 [vsmon.exe]
FilePath : C:\WINDOWS\system32\ZoneLabs\
ProcessID : 320
ThreadCreationTime : 20.06.2005 18:39:01
BasePriority : Normal
FileVersion : 5.1.025.000
ProductVersion : 5.1.025.000
ProductName : TrueVector Service
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : vsmon.exe

#:32 [adservice.exe]
FilePath : C:\Programme\Iomega\AutoDisk\
ProcessID : 612
ThreadCreationTime : 20.06.2005 18:39:04
BasePriority : Normal
FileVersion : 3, 2, 1, 5
ProductVersion : 3, 2, 1, 5
ProductName : Iomega Active Disk
CompanyName : Iomega Corporation
FileDescription : Active Disk Service
InternalName : ADService
LegalCopyright : Copyright © 2002
OriginalFilename : ADService.exe

#:33 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 2376
ThreadCreationTime : 20.06.2005 18:39:39
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 29


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 29


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 29


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 29



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

IntexusDial Object Recognized!
Type : File
Data : A0000254.exe
TAC Rating : 5
Category : Malware
Comment :
Object : C:\System Volume Information\_restore{99D270DE-6AEE-4A6E-ADE8-8F0C43DE3D5A}\RP2\
FileVersion : 1.2
ProductVersion : 1.2
ProductName : IntexusDial
CompanyName : intexus GmbH
FileDescription : IntexusDial
InternalName : IntexusDial
LegalCopyright : Copyright © 2003


Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 30


Deep scanning and examining files (D;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 30


Deep scanning and examining files (E;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 30


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 30

20:50:25 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:10:14.172
Objects scanned:126766
Objects identified:1
Objects ignored:0
New critical objects:1

*********************** sys.txt **********************
20.06.2005 20:24 0 sys.txt
20.06.2005 20:23 7.179 system.txt
20.06.2005 20:23 294 systemtemp.txt
20.06.2005 20:23 104.526 system32.txt
20.06.2005 20:13 536.399.872 hiberfil.sys
20.06.2005 20:13 805.306.368 pagefile.sys
02.06.2005 19:19 26.142 EyeCandyLog.txt
22.04.2005 22:28 822.874 divx.log
22.04.2005 22:28 708 DivXEncSettings.txt

*********************** system32.txt **********************
19.06.2005 10:29 1.806 TRJ_NTAUTO.TMP
18.06.2005 10:28 2.262 wpa.dbl
15.06.2005 05:23 0 hnmyj.txt
13.06.2005 04:45 0 nblsl.dat
07.06.2005 08:42 0 weiji.dll
05.06.2005 13:24 380.486 perfh009.dat
05.06.2005 13:24 52.900 perfc009.dat
05.06.2005 13:24 391.330 perfh007.dat
05.06.2005 13:24 63.778 perfc007.dat
05.06.2005 13:24 896.432 PerfStringBackup.INI
05.06.2005 03:50 0 booia.txt
04.06.2005 21:00 0 dptnv.dat
03.06.2005 04:20 0 pbbgd.dat
02.06.2005 19:17 0 mprbw.txt
02.06.2005 19:17 0 qkgrv.dll
01.06.2005 21:51 2.158 ssmute.ini
31.05.2005 09:05 0 tjorv.log
31.05.2005 03:04 0 xyunk.txt
30.05.2005 15:40 0 ecrcr.log
30.05.2005 14:02 11.736 egwme.log
30.05.2005 11:30 3.567 emzht.txt
30.05.2005 05:41 3.567 katdx.log
26.05.2005 18:05 0 edfjo.txt
26.05.2005 02:52 0 nxiad.dat
25.05.2005 09:34 0 xyltz.log
24.05.2005 17:19 0 szedy.dat
24.05.2005 00:22 0 winee.exe
23.05.2005 19:17 0 crau.exe
23.05.2005 19:17 0 winna32.exe
20.05.2005 08:26 0 mzgqn.dat
19.05.2005 15:08 0 xarbb.dat
17.05.2005 17:14 0 sdkie.exe
17.05.2005 13:50 0 gydlm.dat
17.05.2005 04:43 0 uigwb.dll
16.05.2005 15:25 0 azxgg.txt
15.05.2005 00:27 0 ipeo32.dll
14.05.2005 00:43 0 djplg.dll
13.05.2005 11:10 0 odvao.txt
08.05.2005 12:57 0 dcyyw.txt
07.05.2005 14:37 4.866 halkf.log
06.05.2005 13:46 0 gsfna.log
06.05.2005 13:24 0 iecr32.exe
06.05.2005 13:24 0 atlwx.exe
22.04.2005 22:39 952 KGyGaAvL.sys
22.04.2005 20:08 2.998 config.nt
22.04.2005 20:08 3.000 config.hsp
22.04.2005 18:00 383 haspdos.sys
22.04.2005 18:00 6.656 haspvdd.dll
03.03.2005 00:04 140.440 FNTCACHE.DAT
22.01.2005 05:26 186 CodeBaseLog.txt

*********************** system.txt **********************
20.06.2005 20:21 915 win.ini
20.06.2005 20:13 0 0.log
20.06.2005 20:13 159 wiadebug.log
20.06.2005 20:13 50 wiaservc.log
20.06.2005 20:13 2.048 bootstat.dat
20.06.2005 00:21 32.540 SchedLgU.Txt
19.06.2005 15:29 199 wb.ini
19.06.2005 11:36 32 pavsig.txt
18.06.2005 22:54 1.301.571 setupapi.log
18.06.2005 22:34 2.202.830 ntbtlog.txt
14.06.2005 09:46 11.736 btwwx.log
10.06.2005 07:53 0 afphu.dll
05.06.2005 13:24 30.241 comsetup.log
05.06.2005 13:24 145.612 iis6.log
05.06.2005 13:24 32.066 tsoc.log
05.06.2005 13:24 4.507 imsins.log
05.06.2005 13:24 905 tabletoc.log
05.06.2005 13:24 3.966 ocmsn.log
05.06.2005 13:24 48.754 ocgen.log
05.06.2005 13:24 3.121 msgsocm.log
05.06.2005 13:24 31.912 msmqinst.log
05.06.2005 13:23 0 setuperr.log
03.06.2005 02:16 45.942 FaxSetup.log
02.06.2005 16:30 0 zwrhx.dll
02.06.2005 10:40 0 stkod.log
02.06.2005 10:34 63 TDF.DII
01.06.2005 20:27 0 nylgk.dat
01.06.2005 20:27 1.440 COM+.log
01.06.2005 17:37 0 d3oe.dll
31.05.2005 17:25 0 aunlp.dll
31.05.2005 03:04 50 Winamp.ini
30.05.2005 15:40 259 system.ini
30.05.2005 14:05 0 bcpxd.dll
30.05.2005 12:20 9.237 mlhcr.txt
30.05.2005 05:41 4.866 rhaxd.txt
29.05.2005 16:00 0 cutxc.dll
29.05.2005 10:51 21.318 Active Setup Log.txt
29.05.2005 10:14 3.932.214 ACD Wallpaper.bmp
27.05.2005 22:21 0 aqlam.dll
27.05.2005 20:25 3.567 hirkd.txt
26.05.2005 13:35 11.736 qluqa.txt
26.05.2005 08:24 7.883 Eng_UK.gpl
26.05.2005 08:24 2 desktop.ini
26.05.2005 06:44 9.237 nofrv.txt
26.05.2005 06:22 3.567 rlfxo.log
25.05.2005 18:33 34.818 wmprfDEU.prx
24.05.2005 22:42 194.673 wmsetup.log
24.05.2005 19:52 4.870 bnxax.txt
24.05.2005 07:30 786.439 setuplog.txt
24.05.2005 07:30 180.331 setupact.log
23.05.2005 18:30 0 qdzqk.dll
23.05.2005 18:24 0 upznu.txt
23.05.2005 13:49 0 mbywx.dat
23.05.2005 13:49 55 JungleWaterfall1.0u.ini
23.05.2005 13:49 0 PROTOCOL.INI
23.05.2005 05:02 96 HTWT7771.bin
22.05.2005 16:19 5.932 xpsp1hfm.log
22.05.2005 03:56 3.567 abdqh.log
21.05.2005 03:05 0 ytqau.txt
20.05.2005 18:58 400 ODBC.INI
20.05.2005 18:58 178 nsw.log
20.05.2005 02:07 0 rdshy.txt
20.05.2005 01:19 112 ActiveSkin.INI
20.05.2005 01:19 3.932.214 ACD Hintergrund.bmp
19.05.2005 12:57 81.046 DirectX.log
18.05.2005 05:07 0 d3ct.exe
18.05.2005 00:33 1.348 regopt.log
17.05.2005 15:18 0 iynbe.txt
17.05.2005 15:18 1.405 msdfmap.ini
17.05.2005 09:15 0 wined.exe
17.05.2005 06:39 492.544 fpuninst.exe
17.05.2005 02:08 4.870 whgrh.log
16.05.2005 20:18 707 _default.pif
16.05.2005 05:14 4.870 fpqsp.log
15.05.2005 11:56 3.567 qrtkm.log
12.05.2005 23:26 0 zeybp.dll
12.05.2005 06:58 912 WISO.INI
10.05.2005 20:15 0 fxtff.log
10.05.2005 03:25 19.398 ntdtcsetup.log
10.05.2005 03:25 4.327 netfxocm.log
07.05.2005 19:58 6.550 jautoexp.dat
07.05.2005 19:58 39.095 iccsigs.dat
05.05.2005 02:46 128 DtcInstall.log
04.05.2005 15:32 0 winbe.exe
03.05.2005 23:07 4.866 qfdof.txt
22.04.2005 23:45 0 vfsbq.txt
22.04.2005 20:05 316.640 WMSysPr9.prx
18.03.2005 20:49 3.038 tm.ini
30.01.2005 19:22 16.684 Windows Update.log
22.01.2005 06:03 738 XMLEditor3.INI

*********************** systemtemp.txt **********************
20.06.2005 20:13 1.839 jusched.log


So, nun bin ich gespannt ;-)

Übrigens hat AV-Antivir bei beiden Durchgängen von Ad-Aware Trojaner gefunden und gelöscht. M.e. waren die in den Systemwiederherstellungen versteckt.

Biber.Beat
Seitenanfang Seitenende
21.06.2005, 00:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@Biber.Beat

loeschen:

C:\WINDOWS\SYSTEM32\TRJ_NTAUTO.TMP
C:\WINDOWS\SYSTEM32\nblsl.dat
C:\WINDOWS\SYSTEM32\weiji.dll
C:\WINDOWS\SYSTEM32\dptnv.dat
C:\WINDOWS\SYSTEM32\pbbgd.dat
C:\WINDOWS\SYSTEM32\mprbw.txt
C:\WINDOWS\SYSTEM32\qkgrv.dll
C:\WINDOWS\system32\mskdll.dll
C:\windows\system32\brew.dll
C:\windows\system32\rch.dll
C:\windows\system32\rdrlib.dll
C:\windows\system32\ssmute.ini
C:\windows\system32\wpa.dbl
C:\WINDOWS\SYSTEM32\nxiad.dat
C:\WINDOWS\SYSTEM32\xyltz.log
C:\WINDOWS\SYSTEM32\szedy.dat
C:\WINDOWS\SYSTEM32\winee.exe
C:\WINDOWS\SYSTEM32\crau.exe
C:\WINDOWS\SYSTEM32\winna32.exe
C:\WINDOWS\SYSTEM32\mzgqn.dat
C:\WINDOWS\SYSTEM32\xarbb.dat
C:\WINDOWS\SYSTEM32\sdkie.exe
C:\WINDOWS\SYSTEM32\gydlm.dat
C:\WINDOWS\SYSTEM32\uigwb.dll
C:\WINDOWS\SYSTEM32\azxgg.txt
C:\WINDOWS\SYSTEM32\ipeo32.dll
C:\WINDOWS\SYSTEM32\djplg.dll
C:\WINDOWS\SYSTEM32\odvao.txt
C:\WINDOWS\SYSTEM32\dcyyw.txt
C:\WINDOWS\SYSTEM32\halkf.log
C:\WINDOWS\SYSTEM32\gsfna.log
C:\WINDOWS\SYSTEM32\iecr32.exe
C:\WINDOWS\SYSTEM32\atlwx.exe
C:\WINDOWS\afphu.dll
C:\WINDOWS\zwrhx.dll
C:\WINDOWS\nylgk.dat
C:\WINDOWS\d3oe.dll
C:\WINDOWS\aunlp.dll
C:\WINDOWS\bcpxd.dll
C:\WINDOWS\cutxc.dll
C:\WINDOWS\aqlam.dll
C:\WINDOWS\qdzqk.dll
C:\WINDOWS\mbywx.dat
C:\WINDOWS\winbe.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1