virus (trojaner?) per msn messenger,werd ihn net los

#0
05.08.2005, 22:57
Member

Beiträge: 30
#1 Hi, hab mir dummerweise nen virus per msn messenger eingefangen. war so doof und hab nen angeblichen link geöffnet, weil die datei von ner freundin kam und noch nen nett formulierter text dabei war...
nun werd ich ihn net wieder los. er verschickt sich von selber an die leute in meiner msn-liste. der link war ne www adresse und endete mit php...
hab antivir schon im abgesicherten modus laufen lassen und 3 trojaner gelöscht, aber scheinbar nicht alle, oder die sind wieder gekommen.
das ist die letzte nachricht, die von mir verschickt wurde...die ich bekommen hab, lautet etwas anders...

look, lol

kann mir wer nen tip geben, wie ich die viecher wieder los werde? hab ne firewall (zonelabs) aber war in dem moment natürlich so banane und hab der datei die erlaubnis gegeben, als zonelabs gefragt hat *grrrrr* könnt mir in den Ars..*patsch* beißen...
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
06.08.2005, 00:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Arwen2106

ich brauche folgende Infos

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt


HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2005, 05:09
Member
Avatar Gool

Beiträge: 4730
#3 Um die Infektion nachzuvollziehen:

Ich habe endlich mal wieder meinen Virtuellen PC zum Laufen gekriegt und mal diesen Virus geladen (unter WinXP SP1 - ansonsten keine Patches, kein Antivirus-Programm und keine Firewall)

Logfile of HijackThis v1.99.1
Scan saved at 04:15:44, on 06.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\WINDOWS\System\SMSS.EXE
C:\WINDOWS\System32\windir32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\windir32.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [smss] C:\WINDOWS\System\SMSS.EXE
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

Zur windir32.exe sagt mir sowohl jotty als auch virustotal, dass kein Virus gefunden wurde (allenfalls als "Suspicious" eingestuft - virustotal meldet bei CAT-QuickHeal 7.03 08.05.2005 (Suspicious) - DNAScan)
Sophos stuft die Datei jedoch bereits als Sdbot-ABM ein: http://www.sophos.com/virusinfo/analyses/w32sdbotabm.html und ist ein Backdoor.

Auf dem Desktop wurde die Datei newwspreadz.exe angelegt. Jotty und virustotal sind ebenfalls ohne Ergebnisse. Google findet auch nichts zu der Datei (vermutlich also ein zufälliger Dateiname)

Im Verzeichnis c:\Windows\System wird eine Datei Namens SMSS.EXE angelegt. Dazu findet virustotal schon mal ne ganze Menge:
AntiVir 6.31.1.0 08.05.2005 Worm/Robobot
Avast 4.6.695.0 08.05.2005 no virus found
AVG 718 08.04.2005 no virus found
Avira 6.31.1.0 08.05.2005 Worm/Robobot
BitDefender 7.0 08.06.2005 BehavesLike:Win32.IRC-Backdoor
CAT-QuickHeal 7.03 08.05.2005 no virus found
ClamAV devel-20050725 08.04.2005 no virus found
DrWeb 4.32b 08.05.2005 no virus found
eTrust-Iris 7.1.194.0 08.06.2005 Win32/Boxed.37958!Trojan
eTrust-Vet 11.9.1.0 08.05.2005 no virus found
Fortinet 2.36.0.0 08.05.2005 W32/Dedler.fam-net
F-Prot 3.16c 08.05.2005 could be infected with an unknown virus
Ikarus 0.2.59.0 08.05.2005 Backdoor.Win32.Robobot.P
Kaspersky 4.0.2.24 08.06.2005 Backdoor.Win32.Robobot.ah
McAfee 4551 08.05.2005 no virus found
NOD32v2 1.1187 08.05.2005 Win32/Robobot
Norman 5.70.10 08.05.2005 no virus found
Panda 8.02.00 08.05.2005 W32/Dedler.AX.worm
Sophos 3.96.0 08.05.2005 Troj/Borobot-J
Sybari 7.5.1314 08.06.2005 DDoS.Boxed.AV.Gen
Symantec 8.0 08.05.2005 no virus found
TheHacker 5.8.2.081 08.05.2005 no virus found
VBA32 3.10.4 08.05.2005 Backdoor.Win32.Robobot.ah

Im Verzeichnis c:\Windows\System32 wird die Datei win32sba.exe angelegt:
AntiVir 6.31.1.0 08.05.2005 Worm/Robobot
Avast 4.6.695.0 08.05.2005 no virus found
AVG 718 08.04.2005 no virus found
Avira 6.31.1.0 08.05.2005 Worm/Robobot
BitDefender 7.0 08.06.2005 BehavesLike:Win32.IRC-Backdoor
CAT-QuickHeal 7.03 08.05.2005 no virus found
ClamAV devel-20050725 08.04.2005 no virus found
DrWeb 4.32b 08.05.2005 no virus found
eTrust-Iris 7.1.194.0 08.06.2005 Win32/Boxed.37958!Trojan
eTrust-Vet 11.9.1.0 08.05.2005 no virus found
Fortinet 2.36.0.0 08.05.2005 W32/Dedler.fam-net
F-Prot 3.16c 08.05.2005 could be infected with an unknown virus
Ikarus 0.2.59.0 08.05.2005 Backdoor.Win32.Robobot.P
Kaspersky 4.0.2.24 08.06.2005 Backdoor.Win32.Robobot.ah
McAfee 4551 08.05.2005 no virus found
NOD32v2 1.1187 08.05.2005 Win32/Robobot
Norman 5.70.10 08.05.2005 no virus found
Panda 8.02.00 08.05.2005 W32/Dedler.AX.worm
Sophos 3.96.0 08.05.2005 Troj/Borobot-J
Sybari 7.5.1314 08.06.2005 DDoS.Boxed.AV.Gen
Symantec 8.0 08.05.2005 no virus found
TheHacker 5.8.2.081 08.05.2005 no virus found
VBA32 3.10.4 08.05.2005 Backdoor.Win32.Robobot.ah

Um mal Sabinas DOS-Kommandos anzuwenden (hab gestern installiert und heute den Virus geladen, also muss ich ja nur die Einträge vom 06.08. hier angeben:

Verzeichnis von C:\WINDOWS\system32
06.08.2005 04:04 194.560 windir32.exe
06.08.2005 03:19 37.958 win32sba.exe

Verzeichnis von C:\DOKUME~1\doof\LOKALE~1\Temp
06.08.2005 04:31 16.384 ~DFAE77.tmp
06.08.2005 03:21 16.384 ~DF6A52.tmp

Verzeichnis von C:\WINDOWS
06.08.2005 04:07 0 0.log
06.08.2005 04:07 2.048 bootstat.dat
06.08.2005 04:06 884 SchedLgU.Txt
06.08.2005 03:58 169.986 setupapi.log
06.08.2005 03:38 712.935 setuplog.txt

Verzeichnis von C:\
06.08.2005 04:58 0 sys.txt
06.08.2005 04:57 3.687 system.txt
06.08.2005 04:54 481 systemtemp.txt
06.08.2005 04:52 0 23990098.$$$
06.08.2005 04:52 5 AVPCallback.log
06.08.2005 04:50 84.948 system32.txt

eScanCheck ergab:
Sat Aug 06 04:37:07 2005 => Datei C:\WINDOWS\System\SMSS.EXE infiziert von "Backdoor.Win32.Robobot.ah" Virus. Aktion vorgenommen: No Action Taken.
Sat Aug 06 04:39:19 2005 => Datei C:\WINDOWS\System32\win32sba.exe infiziert von "Backdoor.Win32.Robobot.ah" Virus. Aktion vorgenommen: No Action Taken.

Vorgang zur Desinfektion:
Abgesichterter Modus.
Mit HJT die rot markierten Einträge gefixt. Die vier genannten EXE-Dateien manuell gelöscht (ging ohne Killbox).

Neustart: und weg war er tatsächlich!

Es könnte bei Arwen allerdings so sein, dass bereits mehr Malware durch den Backdoor heruntergeladen wurde. Ich empfehle deshalb für Arwen, mal ein HJT-Log zu posten und nen eScanCheck durchzuführen.

Nachtrag: Ja, mir war ein bisschen langweilig... ;)
Nachtrag2: Den von Arwen oben angegebenen Link nicht anklicken! Kinder, versucht das nicht nachzumachen, was ich getan habe! Viren sind kein Spaß und nur ein Zeitvertreib für völlig Irre wie mich!
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 06.08.2005 um 05:16 Uhr von blueslayah editiert.
Seitenanfang Seitenende
06.08.2005, 15:29
Member

Themenstarter

Beiträge: 30
#4 Hey ihr beiden, erstmal danke für die Antworten ;)
Hab das jez alles mal so gemacht und folgendes kopiert...vielleicht sollte ich noch sagen, dass sich windir32.exe bei jedem start versucht auszuführen, ich klick allerdings (bis auf einmal halt vor 2 tagen) auf abbrechen.

Erstmal das:

D:\Downloads\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye


Dann dat HJT:

Logfile of HijackThis v1.99.1
Scan saved at 15:14:27, on 06.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MD40323\ICON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.58.28.250:80
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Main\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100457644077
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C77F6E2-526E-4650-94CA-241F40420B1F}: NameServer = 217.237.149.161 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Und die DOS-Befehle:

Verzeichnis von C:\WINDOWS\system32

06.08.2005 15:09 890 vsconfig.xml
04.08.2005 15:53 4.720 ide21201.vxd
04.08.2005 15:52 190.464 windir32.exe


Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp

06.08.2005 15:11 16.384 Perflib_Perfdata_e3c.dat
06.08.2005 15:10 5.754 jusched.log
06.08.2005 00:19 3 Twain001.Mtx
06.08.2005 00:13 295 temp.bat
06.08.2005 00:13 303 Digital MP3 Music Player.log
06.08.2005 00:08 16.384 ~DFFA51.tmp
06.08.2005 00:08 16.384 ~DFCCA5.tmp
05.08.2005 21:48 0 ~DF29.tmp
05.08.2005 19:16 16.384 ~DFFF8B.tmp
05.08.2005 19:16 16.384 ~DFD045.tmp
05.08.2005 18:08 24.858 GRD$LOGFILE.LOG
05.08.2005 08:43 16.384 ~DFEED0.tmp
05.08.2005 08:43 16.384 ~DF3A4A.tmp
04.08.2005 23:02 75 ram1E.ram
04.08.2005 17:16 16.384 ~DFFBC2.tmp
04.08.2005 17:15 16.384 ~DF8FF6.tmp
04.08.2005 16:30 5.120 262764_3556_3808_1108_62.41.tmp1
04.08.2005 00:35 9.961 TFR175.tmp


Verzeichnis von C:\WINDOWS

06.08.2005 15:11 781 win.ini
06.08.2005 15:09 0 0.log
06.08.2005 15:09 1.179.786 WindowsUpdate.log
06.08.2005 15:09 159 wiadebug.log
06.08.2005 15:09 50 wiaservc.log
06.08.2005 15:09 2.048 bootstat.dat
06.08.2005 14:22 467.862 ntbtlog.txt
06.08.2005 14:20 32.638 SchedLgU.Txt
06.08.2005 00:00 32 wininit.ini


Verzeichnis von C:\

06.08.2005 15:25 0 sys.txt
06.08.2005 15:24 8.598 system.txt
06.08.2005 15:23 7.437 systemtemp.txt
06.08.2005 15:22 93.123 system32.txt
06.08.2005 15:09 402.653.184 pagefile.sys
06.08.2005 14:53 678 log.txt
06.08.2005 14:53 0 windows.txt
06.08.2005 14:48 216 win.txt
06.08.2005 14:38 0 start.txt
05.08.2005 22:19 4.040 chindx.exe


Also sagts mir ruhig, wie schlimm stehts? *g* Als ich das letzte mal Trojaner hatte, war nix mehr zu retten, ich musste den PC komplett platt machen...*jammer*
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
06.08.2005, 15:42
Member
Avatar Gool

Beiträge: 4730
#5 Im Grunde das gleiche Vorgehen, wie in meiner Test-Infektion.

zusätzlich entfernen:
alle .tmp-Dateien
C:\WINDOWS\system32\ide21201.vxd
c:\chindx.exe (ich vermute mal, dass es sich dabei auch um Malware handelt - Googlesuche erfolglos)

Nachtrag: Sicherheitshalber nochmal mit eScanCheck überprüfen und mit Programmen wie AdAware und Spybot S&D eventuell vorhandene Spyware ausschalten.

Danach erneutes HJT-Log.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 06.08.2005 um 15:45 Uhr von blueslayah editiert.
Seitenanfang Seitenende
06.08.2005, 17:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Arwen2106

die verseuchung war am 4.8.--> du musst also alle Daten noch einmal posten...mindestens 10 Tage zurueck...es gibt da noch einen TFTP, den ich sehen muss

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Main\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ide21201.vxd
C:\WINDOWS\system32\windir32.exe
C:\DOKUME~1\Main\LOKALE~1\Temp\~DFFBC2.tmp
C:\DOKUME~1\Main\LOKALE~1\Temp\~DF8FF6.tmp
C:\DOKUME~1\Main\LOKALE~1\Temp\262764_3556_3808_1108_62.41.tmp1
C:\DOKUME~1\Main\LOKALE~1\Temp\TFR175.tmp
C:\chindx.exe

PC neustarten


CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html


Onlinescan --> panda (berichte vom Scan)

http://virus-protect.org/onlinescan.html

+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2005, 18:37
Member

Themenstarter

Beiträge: 30
#7 Aaaaaaaaaaaaaaaaaaaalso....hier erstma das neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:00, on 06.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MD40323\ICON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.58.28.250:80
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100457644077
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C77F6E2-526E-4650-94CA-241F40420B1F}: NameServer = 217.237.149.161 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Das hier hatte ich gelöscht, aber wenn der MSN Messenger wieder geöffnet wird, kommt die Datei wieder... hab den MSN Messenger im Autostart, gehört des dazu oder is die Datei gefährlich?

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background



Daten der letzten Tage nochmal:

Verzeichnis von C:\WINDOWS\system32

06.08.2005 18:24 2.550 Uninstall.ico
06.08.2005 18:24 1.406 Help.ico
06.08.2005 18:24 1.718 Open.ico
06.08.2005 18:24 1.406 AddQuit.ico
06.08.2005 18:24 5.350 IE.ico
06.08.2005 18:24 9.470 Desktop.ico
06.08.2005 18:24 1.718 Quick.ico
06.08.2005 18:21 890 vsconfig.xml
29.07.2005 21:07 73.728 asuninst.exe
23.07.2005 17:31 2.206 wpa.dbl
07.07.2005 04:21 1.375.064 MRT.exe


Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp

06.08.2005 18:22 16.384 Perflib_Perfdata_998.dat
06.08.2005 18:21 6.420 jusched.log
06.08.2005 18:20 66 kb.log
06.08.2005 17:29 9.961 TFR6.tmp
06.08.2005 17:29 16.384 ~DFEE9.tmp
06.08.2005 17:29 16.384 ~DFCE31.tmp
06.08.2005 00:19 3 Twain001.Mtx
06.08.2005 00:13 295 temp.bat
05.08.2005 18:08 24.858 GRD$LOGFILE.LOG
04.08.2005 23:02 75 ram1E.ram
04.08.2005 16:30 5.120 262764_3556_3808_1108_62.41.tmp1
03.08.2005 18:00 717 control.xml
03.08.2005 13:54 16.384 Perflib_Perfdata_e84.dat
02.08.2005 11:01 16.384 Perflib_Perfdata_8a4.dat
30.07.2005 13:28 16.384 Perflib_Perfdata_8c8.dat
28.07.2005 11:11 16.384 Perflib_Perfdata_330.dat
27.07.2005 14:43 0 TWAIN.LOG
12.10.2004 11:14 57.344 InstHelp.dll


Verzeichnis von C:\WINDOWS

06.08.2005 18:26 840 win.ini
06.08.2005 18:25 936.369 setupapi.log
06.08.2005 18:22 1.202.993 WindowsUpdate.log
06.08.2005 18:21 0 0.log
06.08.2005 18:21 159 wiadebug.log
06.08.2005 18:21 50 wiaservc.log
06.08.2005 18:21 2.048 bootstat.dat
06.08.2005 18:20 32.638 SchedLgU.Txt
06.08.2005 16:27 568.736 ntbtlog.txt
06.08.2005 00:00 32 wininit.ini
03.08.2005 18:00 42.039 wmsetup.log
22.07.2005 01:20 278 CMISETUP.INI
22.07.2005 01:20 26 CMCDPLAY.INI


06.08.2005 18:34 0 sys.txt
06.08.2005 18:34 8.549 system.txt
06.08.2005 18:33 1.193 systemtemp.txt
06.08.2005 18:32 93.500 system32.txt
06.08.2005 18:21 402.653.184 pagefile.sys
06.08.2005 17:14 0 23990098.$$$
06.08.2005 17:14 6 AVPCallback.log
06.08.2005 14:53 678 log.txt
06.08.2005 14:53 0 windows.txt
06.08.2005 14:48 216 win.txt
06.08.2005 14:38 0 start.txt
12.07.2005 15:14 512 camusd.log


Der Onlinescan von Panda hat keine Viren oder irgendwas gefunden.


Dann hab ich noch eScan und AdAware laufen lassen, soll ich die Daten davon auch hier reinkopieren?
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
06.08.2005, 18:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ist o.k. im Autostart ;)
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

loesche mit der Killbox:

C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\Open.ico
C:\WINDOWS\system32\AddQuit.ico
C:\WINDOWS\system32\IE.ico
C:\WINDOWS\system32\Desktop.ico
C:\WINDOWS\system32\Quick.ico
C:\DOKUME~1\Main\LOKALE~1\Temp\262764_3556_3808_1108_62.41.tmp1
C:\DOKUME~1\Main\LOKALE~1\Temp\ram1E.ram
C:\DOKUME~1\Main\LOKALE~1\Temp\TFR6.tmp
C:\DOKUME~1\Main\LOKALE~1\Temp\~DFEE9.tmp
C:\DOKUME~1\Main\LOKALE~1\Temp\~DFCE31.tmp
C:\DOKUME~1\Main\LOKALE~1\Temp\temp.bat

PC neustarten

dann poste alles noch mal, damit ich sehen kann, ob die TFR6.tmp und temp.bat geloescht ist ;)
+

suche eine .......tmp1 - Datei mit dem CCleaner und loesche sie (262764_3556_3808_1108_62.41.tmp1 ???? )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2005, 19:00
Member

Themenstarter

Beiträge: 30
#9 Logfile of HijackThis v1.99.1
Scan saved at 18:58:50, on 06.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MD40323\ICON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.58.28.250:80
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100457644077
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C77F6E2-526E-4650-94CA-241F40420B1F}: NameServer = 217.237.149.161 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Die DOS Befehle auch nochmal posten?
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
06.08.2005, 19:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ja, darum hatte ich gebeten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2005, 19:34
Member

Themenstarter

Beiträge: 30
#11 oh *g* sorry....hier sind se:


Verzeichnis von C:\WINDOWS\system32

06.08.2005 18:48 890 vsconfig.xml
06.08.2005 18:24 2.550 Uninstall.ico
06.08.2005 18:24 1.406 Help.ico
06.08.2005 18:24 1.718 Open.ico
06.08.2005 18:24 1.406 AddQuit.ico
06.08.2005 18:24 5.350 IE.ico
06.08.2005 18:24 9.470 Desktop.ico
06.08.2005 18:24 1.718 Quick.ico
29.07.2005 21:07 73.728 asuninst.exe
23.07.2005 17:31 2.206 wpa.dbl


Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp

06.08.2005 19:30 34.162 GRD$LOGFILE.LOG
06.08.2005 19:03 9.961 TFRA.tmp
06.08.2005 18:49 16.384 Perflib_Perfdata_774.dat


Verzeichnis von C:\WINDOWS

06.08.2005 18:50 840 win.ini
06.08.2005 18:48 1.207.381 WindowsUpdate.log
06.08.2005 18:48 159 wiadebug.log
06.08.2005 18:48 50 wiaservc.log
06.08.2005 18:48 2.048 bootstat.dat
06.08.2005 18:48 32.638 SchedLgU.Txt
06.08.2005 00:00 32 wininit.ini
22.07.2005 01:20 278 CMISETUP.INI
22.07.2005 01:20 26 CMCDPLAY.INI
26.06.2005 15:57 95 winamp.ini


Verzeichnis von C:\

06.08.2005 19:33 0 sys.txt
06.08.2005 19:32 4.654 system.txt
06.08.2005 19:31 396 systemtemp.txt
06.08.2005 19:31 93.500 system32.txt
06.08.2005 18:48 402.653.184 pagefile.sys
06.08.2005 17:14 0 23990098.$$$
06.08.2005 17:14 6 AVPCallback.log
06.08.2005 14:53 678 log.txt
06.08.2005 14:53 0 windows.txt
06.08.2005 14:48 216 win.txt
06.08.2005 14:38 0 start.txt
12.07.2005 15:14 512 camusd.log


Hatte grad den PC an, war aber nicht vorm Rechner...als ich nun wiederkam, hatte ich von Antivir folgende Meldung:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{9FE4D4B3-D921-4396-98AE-FAB5A2A9FA4D}\RP188\A0038297.EXE

Ist das Trojanische Pferd TR/Dldr.180Instal.2

hab auf löschen geklickt...wo kommt sowas eigentlich auf einmal her?
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
06.08.2005, 19:40
Member
Avatar Gool

Beiträge: 4730
#12 Deaktiviere die Systemwiederherstellung. Dann werden alle bösen Sachen aus der Systemwiederherstellung entfernt und können sich nicht nochmal aufs System schleichen.

Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp
06.08.2005 19:03 9.961 TFRA.tmp

Des is noch net gut.

Die müssen auch noch weg:
Verzeichnis von C:\WINDOWS\system32
06.08.2005 18:24 2.550 Uninstall.ico
06.08.2005 18:24 1.406 Help.ico
06.08.2005 18:24 1.718 Open.ico
06.08.2005 18:24 1.406 AddQuit.ico
06.08.2005 18:24 5.350 IE.ico
06.08.2005 18:24 9.470 Desktop.ico
06.08.2005 18:24 1.718 Quick.ico

Im abgesicherten Modus mit Killbox löschen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.08.2005, 19:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 loesche:
C:\DOKUME~1\Main\LOKALE~1\Temp\TFRA.tmp
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\Open.ico
C:\WINDOWS\system32\AddQuit.ico
C:\WINDOWS\system32\IE.ico
C:\WINDOWS\system32\Desktop.ico
C:\WINDOWS\system32\Quick.ico

Deaktivieren Wiederherstellung (dann aktiviere sie wieder)

«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

mache bitte noch einen Onlinescan mit McAfee FreeScan (Online)+ berichte

http://virus-protect.org/onlinescan.html

------------------------------------------------------------------------------------
Windows Worms Doors Cleaner
http://virus-protect.org/windsdoorcleaner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2005, 20:13
Member

Themenstarter

Beiträge: 30
#14 Ne Frage vorab, wenn ich diesen Doors Cleaner installiere, brauch ich keinen port von denen, die er zu macht? da stand was von messenger, net das ich dann hinterher kein msn oder icq mehr nutzen kann....brauch det doch *g*
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
06.08.2005, 20:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 du kannst alles benutzten danach und wenn was nicht funktioniert, kannst du den Port mit dem Tool auch wieder oeffnen...also alles rueckgaengig machen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: