Neuer Rechnung.pdf.exe / T-com-Rechnung.pdf.exe Trojaner

Thema ist geschlossen!
Thema ist geschlossen!
#0
17.10.2005, 12:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Hallo@280TE A-M-G

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

kopiere hier die 4 Logs
(mit der pfadangabe oberhalb----2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2005, 15:09
Member

Beiträge: 14
#32 So hier ist das Ganze, was das Programm "gescant" hat :

Logfile of HijackThis v1.99.1
Scan saved at 15:14:49, on 17.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\XP\System32\smss.exe
C:\WINDOWS\XP\system32\winlogon.exe
C:\WINDOWS\XP\system32\services.exe
C:\WINDOWS\XP\system32\lsass.exe
C:\WINDOWS\XP\system32\svchost.exe
C:\WINDOWS\XP\System32\svchost.exe
C:\WINDOWS\XP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\XP\System32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\GEMEIN~1\AOL\AOLPRI~1\AOLSP Scheduler.exe
C:\SpeedUp\SpeedItUp.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\XP\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\XP\explorer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\Rar$EX01.687\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\AOL\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [SpeedItUp] C:\SpeedUp\SpeedItUp.exe -MINI
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [IPFW] c:\windows\xp\system32\ipwf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_2 -reboot 1
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\XP\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {9BAC30D5-A416-40C2-810B-D55B31413BB4} (WebComputerID Class) - http://pmweb.prodanet.com/AuthServer/InstallPlugins/ieWebComputerID.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{33A469DF-2FEC-478E-9B29-C6BF23AA44D0}: NameServer = 192.168.5.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{8170F6A5-F23F-44C6-8B79-02A9561DD9A2}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{96A5D9E9-2E69-4E36-AF10-66EA803C3FE3}: NameServer = 192.168.5.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{33A469DF-2FEC-478E-9B29-C6BF23AA44D0}: NameServer = 192.168.5.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{33A469DF-2FEC-478E-9B29-C6BF23AA44D0}: NameServer = 192.168.5.254
O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\XP\SYSTEM32\mcfCC4.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\Gemeinsame Dateien\AOL\AOL Privacy Protection\\aolserv.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe

Und was passiert jetzt ???
Kenne bisher nur Auto-Foren und keine PC-Foren...

MfG Jörg
Seitenanfang Seitenende
17.10.2005, 15:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 kopiere hier die 4 Logs (mit der pfadangabe oberhalb----2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2005, 17:15
Member

Beiträge: 14
#34 Was sind 4 Logs ?
Wo sind hier irgendwelche Datumsangaben ?

sorry, ich bin PC-Laie...

MfG Jörg
Seitenanfang Seitenende
18.10.2005, 00:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 auf der seite ist genau erklaert, was du tun musst....jeder Klick ist erklaert.
http://virus-protect.org/datfindbat.html
alle Dateien vom PC werden dem Datum nach aufgefuehrt.... (du musst es nur aus dem Texteditor abkopieren)
wenn du was nicht verstehst...dann frag wieder ;) Ich brauche diese 4 Logs.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2005, 18:43
Member

Beiträge: 14
#36 So glaube es verstanden zu haben :

Verzeichnis von C:\WINDOWS\XP\system32

17.10.2005 09:08 13.084 wpa.dbl
05.10.2005 04:09 2.301.792 MRT.exe
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 05:06 8.491.520 shell32.dll
14.09.2005 14:11 0 02.exe
14.09.2005 14:11 0 backup.exe
14.09.2005 14:11 0 unix.exe
12.09.2005 17:53 12 tickcnt.bin

10.09.2005 03:54 2.067.968 cdosys.dll
03.09.2005 01:53 96.768 inseng.dll
03.09.2005 01:53 205.312 dxtrans.dll
03.09.2005 01:53 474.112 shlwapi.dll
03.09.2005 01:53 448.512 mshtmled.dll
03.09.2005 01:53 146.432 msrating.dll
03.09.2005 01:53 39.424 pngfilt.dll
03.09.2005 01:53 605.696 urlmon.dll
03.09.2005 01:53 664.064 wininet.dll
03.09.2005 01:53 55.808 extmgr.dll
03.09.2005 01:53 251.392 iepeers.dll
03.09.2005 01:53 1.484.288 shdocvw.dll
03.09.2005 01:53 530.432 mstime.dll
03.09.2005 01:53 152.064 cdfview.dll
03.09.2005 01:53 1.019.904 browseui.dll
03.09.2005 01:53 1.055.744 danim.dll
01.09.2005 03:44 292.352 winsrv.dll
01.09.2005 03:44 19.968 linkinfo.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3612-1305

Verzeichnis von C:\DOKUME~1\JMaschke\LOKALE~1\Temp

18.10.2005 18:38 2.759 pifrqrperz.ABI
18.10.2005 18:38 4 PMShared
18.10.2005 18:05 2.759 rxupfnzterbw.ABI
18.10.2005 09:41 2.759 ohypgupnupvegf.ABI
17.10.2005 17:32 219.969 wcesmgr.log
17.10.2005 09:13 103.774 outstore.log
17.10.2005 09:12 5.122 WCESCOMM.LOG
17.10.2005 08:35 16.384 ~WRF1406.tmp
17.10.2005 08:35 512 ~DFDBDE.tmp
15.10.2005 12:22 10.538 control.xml
14.10.2005 15:38 36.898 WcesView.log
14.10.2005 12:18 47.616 ~WRS3828.tmp
14.10.2005 12:18 16.384 ~WRF4063.tmp
14.10.2005 11:56 3.144 mso23C.icm
14.10.2005 11:08 118 ~WRS0829.tmp
14.10.2005 11:08 16.384 ~WRF2351.tmp
13.10.2005 10:50 49.152 ~DF6943.tmp
13.10.2005 09:55 49.152 ~DFC34D.tmp
12.10.2005 11:18 819.912 FlashPlayerUpdate.exe
12.10.2005 10:23 77.824 PCJMASCHKE_DB3128.XXX
12.10.2005 10:20 77.824 PCJMASCHKE_DB1772.XXX
12.10.2005 09:27 77.824 PCJMASCHKE_DB1012.XXX
11.10.2005 14:51 76.078 AOL367.tmp
11.10.2005 12:43 311.296 ~DF8DB6.tmp
24.09.2005 14:38 98.304 ~DF83EE.tmp
24.09.2005 12:35 77.824 PCJMASCHKE_DB2240.XXX
24.09.2005 12:30 77.824 PCJMASCHKE_DB812.XXX
24.09.2005 11:57 77.824 PCJMASCHKE_DB2928.XXX
24.09.2005 10:55 98.304 ~DF9A13.tmp
23.09.2005 10:15 81.920 ~DF79E6.tmp
22.09.2005 18:25 1.228 1CUQEPUT.htm
21.09.2005 17:58 11.485.184 ~WRF1162.tmp
21.09.2005 17:58 14.349 ~WRS3069.tmp
21.09.2005 17:58 1.869 ~WRD1386.doc
21.09.2005 17:42 540 mso50.icm
21.09.2005 11:29 49.152 ~DFA39.tmp
20.09.2005 14:49 49.152 ~DF2FAF.tmp
20.09.2005 14:15 55.590 TWAIN.LOG
20.09.2005 14:14 3 Twain001.Mtx
20.09.2005 14:14 156 Twunk001.MTX
19.09.2005 18:36 23.552 ~WRS3824.tmp
19.09.2005 18:36 2.373 ~WRD1236.doc
19.09.2005 18:36 43.712.512 ~WRF3037.tmp
19.09.2005 15:16 3.144 mso189.icm
19.09.2005 11:05 16.384 ~WRF0006.tmp
19.09.2005 11:05 5.390 ~WRS0001.tmp
19.09.2005 08:56 2.755 wecerr.txt
17.09.2005 18:35 17.727.488 ~WRF4027.tmp
17.09.2005 18:31 1.293 ~WRD1000.doc
17.09.2005 15:25 49.152 ~DFD344.tmp
17.09.2005 14:23 49.152 ~DFE260.tmp
15.09.2005 18:58 98.304 ~DF9CE5.tmp
15.09.2005 18:57 3.170 h2r30A6.tmp
14.09.2005 16:13 32.768 ~DFB06D.tmp
14.09.2005 14:19 260 AVP7F6.tmp
14.09.2005 10:43 774.144 sfsprres.dll
14.09.2005 10:36 32.768 ~DFE7EC.tmp
14.09.2005 10:10 77.824 PCJMASCHKE_DB1324.XXX
13.09.2005 11:28 54.272 ~$_lock.tmp
13.09.2005 10:40 81.920 ~DF9F5F.tmp
13.09.2005 09:54 37.619 h2r2FB.tmp
13.09.2005 08:48 93.826 MSIe06c8.LOG
12.09.2005 17:53 32.768 ~DFE2A4.tmp
10.09.2005 08:03 81.920 ~DF1023.tmp
10.09.2005 07:35 19.611.648 ~WRF1975.tmp
06.09.2005 15:49 16.384 ~WRF3899.tmp
06.09.2005 14:52 104 DES40.tmp.xxx
06.09.2005 14:52 124 DES3F.tmp.xxx
06.09.2005 14:52 106 DES3E.tmp.xxx
06.09.2005 14:52 100 DES3D.tmp.xxx
06.09.2005 14:52 110 DES3C.tmp.xxx
06.09.2005 14:52 100 DES3B.tmp.xxx
06.09.2005 14:52 126 DES3A.tmp.xxx
06.09.2005 14:51 110 DES39.tmp.xxx
06.09.2005 14:44 1.039.067 DES38.tmp.xxx
06.09.2005 09:41 7.942 89OHDUMK.htm
05.09.2005 17:02 6.146 Y7SHQXTL.htm
05.09.2005 10:58 77.824 PCJMASCHKE_DB3172.XXX
05.09.2005 10:56 77.824 PCJMASCHKE_DB3664.XXX
04.09.2005 17:13 3.028.992 ~WRD2895.tmp
04.09.2005 14:20 3.028.480 ~WRD1693.tmp
04.09.2005 11:43 3.028.480 ~WRD1211.tmp
03.09.2005 22:26 3.028.480 ~WRD1944.tmp
03.09.2005 13:57 3.028.480 ~WRD3419.tmp
03.09.2005 11:18 3.028.480 ~WRD0859.tmp
03.09.2005 01:24 3.028.992 ~WRD1685.tmp
02.09.2005 21:28 3.028.480 ~WRD0046.tmp
02.09.2005 18:29 3.028.480 ~WRD1017.tmp
02.09.2005 18:28 3.028.480 ~WRD3656.tmp
02.09.2005 14:34 512 ~DF6084.tmp
02.09.2005 14:34 512 ~DF604F.tmp
02.09.2005 14:14 512 ~DFF9A8.tmp
02.09.2005 14:14 3.028.480 ~WRD3562.tmp
02.09.2005 12:45 77.824 PCJMASCHKE_DB2968.XXX
02.09.2005 11:01 3.028.480 ~WRD2619.tmp
02.09.2005 10:00 512 ~DF5B8F.tmp
02.09.2005 09:40 32.768 ~DF3BEF.tmp
02.09.2005 09:40 16.384 ~DF3336.tmp
02.09.2005 09:40 512 ~DFD1AC.tmp
02.09.2005 03:26 3.028.480 ~WRD1919.tmp
01.09.2005 19:24 4.096 off30E.tmp
01.09.2005 19:21 3.028.480 ~WRD3357.tmp
01.09.2005 16:35 3.028.480 ~WRD1086.tmp
01.09.2005 13:13 3.028.480 ~WRD0396.tmp
01.09.2005 10:17 3.027.968 ~WRD3490.tmp
01.09.2005 09:59 34.816 off1C.tmp
01.09.2005 09:32 3.027.968 ~WRD0306.tmp
01.09.2005 09:31 3.136.502 ~WRS1325.tmp
01.09.2005 09:31 16.384 ~WRF0464.tmp
01.09.2005 09:30 512 ~DFD62E.tmp
01.09.2005 08:52 3.027.456 ~WRD2587.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3612-1305

Verzeichnis von C:\WINDOWS\XP

18.10.2005 08:49 2.011 win.ini
17.10.2005 09:09 0 0.log
17.10.2005 09:09 157 wiadebug.log
17.10.2005 09:08 2.048 bootstat.dat
15.10.2005 18:49 171.065 setupact.log
15.10.2005 12:22 105.291 wmsetup.log
15.10.2005 08:45 2.081.366 WindowsUpdate.log
14.10.2005 18:35 32.556 SchedLgU.Txt
14.10.2005 18:35 50 wiaservc.log
14.10.2005 11:33 23.004 KB901017.log
14.10.2005 11:33 21.768 ocmsn.log
14.10.2005 11:33 16.625 tabletoc.log
14.10.2005 11:33 540.617 iis6.log
14.10.2005 11:33 137.504 comsetup.log
14.10.2005 11:33 1.393 imsins.log
14.10.2005 11:33 192.683 tsoc.log
14.10.2005 11:33 85.932 ntdtcsetup.log
14.10.2005 11:33 20.308 msgsocm.log
14.10.2005 11:33 60.372 netfxocm.log
14.10.2005 11:33 375.673 FaxSetup.log
14.10.2005 11:33 222.011 ocgen.log
14.10.2005 11:33 26.406 medctroc.Log
14.10.2005 11:33 143.962 msmqinst.log
14.10.2005 11:33 25.431 KB902400.log
14.10.2005 11:33 1.393 imsins.BAK
14.10.2005 11:32 22.938 updspapi.log
14.10.2005 11:32 15.559 KB896688.log
14.10.2005 11:31 14.292 KB899589.log
14.10.2005 11:31 14.614 KB905414.log
14.10.2005 11:30 14.329 KB900725.log
14.10.2005 11:29 11.662 KB904706.log
14.10.2005 11:29 12.276 KB905749.log
12.10.2005 11:18 84.318 setupapi.log
05.09.2005 15:31 120 sfLicence.inf

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3612-1305

Verzeichnis von C:\

18.10.2005 18:47 0 sys.txt
18.10.2005 18:47 8.734 system.txt
18.10.2005 18:42 15.587 systemtemp.txt
18.10.2005 18:41 101.215 system32.txt
17.10.2005 09:08 267.964.416 hiberfil.sys
17.10.2005 09:08 402.653.184 pagefile.sys
17.03.2005 11:36 826 log.txt
16.11.2004 09:49 2.054.457 search.log
02.11.2004 13:48 758 Acrobat Reader 5.0.lnk
01.10.2004 17:57 87.961 amfiledeploy.LOG

Haut das jetzt hin ????
Vielen Dank schonmal.

MfG Jörg
Seitenanfang Seitenende
19.10.2005, 00:17
Member
Avatar Gool

Beiträge: 4730
#37 Oh, Du bist ja schon recht lange infiziert. Und wenn ich richtig sehe, hast Du von beiden was bekommen... Du solltest nach der Säuberung (die recht fix geht) alle Deine Passworte etc. ändern:

Zitat

@managor, damit es kein Durcheinander gibt, habe ich mal ein bisschen editiert... ist das o.k. so ????

__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
19.10.2005, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 CCleaner (loesche ALLE temporaeren Dateien !!!!!
http://virus-protect.org/temp.html

gehe in die Registry

Start-->ausfuehren--> regedit (reinschreiben)

Bearbeiten--> suchen-->ipwf.exe

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List

loesche:
•c:\windows\xp\system32\ipwf.exe"="c:\windows\xp\system32\ipwf.exe:*:Enabled:ipwf"

----------------------------------------------------------------------------

* HKEY_CURRENT_USER\Software\iMesh <--loesche

* HKEY_CURRENT_USER\Software\Kazaa<--loesche:

---------------------------------------------------------------------------
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

loesche hier, falls du findest:
c:\windows\xp\system32\ipwf.exe
----------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4

---------------------------------------------------------------------------
Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mcfdrv

HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_MCFDRV



----------------------------------------------------------------------------

schreibe mir, welchen Eintrag du unter diesem Schluessel findest

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\


-----------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [IPFW] c:\windows\xp\system32\ipwf.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8170F6A5-F23F-44C6-8B79-02A9561DD9A2}: NameServer = 205.188.146.145
O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\XP\SYSTEM32\mcfCC4.dll

PC neustarten

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken (es kann sein, dass die temp-Dateien schon nicht mehr da sind, kopiere sie dennoch rein in die Killbox...)

reinkopieren:


C:\WINDOWS\XP\system32\02.exe
C:\WINDOWS\XP\system32\1lo.exe
C:\WINDOWS\XP\system32\backup.exe
C:\WINDOWS\XP\system32\unix.exe
C:\WINDOWS\XP\system32\mcfdrv.sys
C:\WINDOWS\XP\system32\drivers\winut.dat
C:\WINDOWS\XP\system32\wscntfy.exe
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\sfsprres.dll
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\pifrqrperz.ABI
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\PMShared
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\rxupfnzterbw.ABI
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\ohypgupnupvegf.ABI
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\89OHDUMK.htm
C:\DOKUME~1\JMaschke\LOKALE~1\Temp\Y7SHQXTL.htm
C:\WINDOWS\XP\SYSTEM32\mcfCC4.dll
c:\windows\xp\system32\ipwf.exe
c:\windows\xp\system32\tickcnt.bin


und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

CCleaner (loesche ALLE temporaeren Dateien !!!!! noch einmal !!!!

suche mit der Suchfunktion folgende Dateien und loesche alles, was du findest:

C:\WINDOWS\XP\system32\user local files

* C:\WINDOWS\XP\system32\user local files\anal_sex_photos.exe
* C:\WINDOWS\XP\system32\user local files\DrWEB_Key092007.exe
* C:\WINDOWS\XP\system32\user local files\HACKER's View 2.exe
* C:\WINDOWS\XP\system32\user local files\julia_XXX_video.exe
* C:\WINDOWS\XP\system32\user local files\Kaspersky_KEY08.exe
* > LAN_hacker_ver2.exe
* C:\WINDOWS\XP\system32\user local files\Mozilla_1.9.927.exe
* C:\WINDOWS\XP\system32\user local files\NAV_updates__05.exe
* NAV2005_keyg*hier nicht*!.exe (suche nur: NAV2005_keyg und loesche alle...die so und aehnlich heissen)
* C:\WINDOWS\XP\system32\user local files\NeT_KILLER_3.84.exe
* C:\WINDOWS\XP\system32\user local files\NortonAntiVirus.exe
* C:\WINDOWS\XP\system32\user local files\photoshop__2005.exe
* C:\WINDOWS\XP\system32\user local files\ProfessionalICQ.exe
* C:\WINDOWS\XP\system32\user local files\TheBat!7.51.256.exe
* C:\WINDOWS\XP\system32\user local files\WindowsXP boost.exe
* C:\WINDOWS\XP\system32\user local files\XXX_teens_16-18.exe


scanne mit kaspersky und poste den Scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2005, 09:14
Member

Beiträge: 14
#39 schreibe mir, welchen Eintrag du unter diesem Schluessel findest

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\
--------------------------------------------------------------

Wenn ich die obige Geschichte öffne, werden mir weitere Unterverzeichnisse
gezeigt :
-DomainProfile -AuthorizedApplications
-List
-GloballyOpenPorts
-List
-StandardProfile -AuthorizedApplications
-List
-GloballyOpenPorts
-List

Auf der rechten Seite des Eintrages zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
steht nur (Standard) REG_SZ (Wert nicht gesetzt)

MfG Jörg
Seitenanfang Seitenende
19.10.2005, 11:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 o.k. ...ich mache mich schlau und du arbeitest inzwischen alles weitere ab ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2005, 11:48
Member

Beiträge: 14
#41 suche mit der Suchfunktion folgende Dateien und loesche alles, was du findest:

C:\WINDOWS\XP\system32\user local files

* C:\WINDOWS\XP\system32\user local files\anal_sex_photos.exe
* C:\WINDOWS\XP\system32\user local files\DrWEB_Key092007.exe
* C:\WINDOWS\XP\system32\user local files\HACKER's View 2.exe
* C:\WINDOWS\XP\system32\user local files\julia_XXX_video.exe
* C:\WINDOWS\XP\system32\user local files\Kaspersky_KEY08.exe
* > LAN_hacker_ver2.exe
* C:\WINDOWS\XP\system32\user local files\Mozilla_1.9.927.exe
* C:\WINDOWS\XP\system32\user local files\NAV_updates__05.exe
* NAV2005_keyg*hier nicht*!.exe (suche nur: NAV2005_keyg und loesche alle...die so und aehnlich heissen)
* C:\WINDOWS\XP\system32\user local files\NeT_KILLER_3.84.exe
* C:\WINDOWS\XP\system32\user local files\NortonAntiVirus.exe
* C:\WINDOWS\XP\system32\user local files\photoshop__2005.exe
* C:\WINDOWS\XP\system32\user local files\ProfessionalICQ.exe
* C:\WINDOWS\XP\system32\user local files\TheBat!7.51.256.exe
* C:\WINDOWS\XP\system32\user local files\WindowsXP boost.exe
* C:\WINDOWS\XP\system32\user local files\XXX_teens_16-18.exe
-------------------------------------------------------------------

Die SUCHE hat da gar nichts gefunden....

MfG Jörg
Seitenanfang Seitenende
19.10.2005, 11:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

findest du: C:\WINDOWS\XP\system32\user local files ?
wenn nicht, arbeite weiter und am Ende mache den scan mit Kaspersky+ poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.10.2005, 08:17
Member

Beiträge: 14
#43 scanne mit kaspersky und poste den Scanreport
http://virus-protect.org/onlinescan.html
__________

Der Virenscan ist superlange gelaufen (habe ihn gestern um
ca. 12:30h gestartet) und als ich ins Bett gegangen bin,
war er immer noch am suchen - eine Sache hatte er auch
bereits gefunden und war bei ca. 50% der abzuarbeitenden
Bereiche...
Heute morgen war das Programm verschwunden, will sagen
mein Browser war noch offen (AOL) aber das kaspersky-
Programm war nicht mehr zu sehen... Wo finde ich jetzt
den Scanreport ???

MfG Jörg
und schonmal vielen Dank für die super Hilfe die ich hier
bekommen !!!!!!
Seitenanfang Seitenende
20.10.2005, 13:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 oh je...der ist bei Schliessen der Seite verlorengegangen...aber ich muss ihn sehen...scanne noch mal, aber zeitlich so, dass du bei Ende den scanreport abkopieren kannst....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.10.2005, 22:59
Member

Beiträge: 14
#45 Habe es geschafft, der Scan zeigt folgendes an:
________________________________________________________________

The scan is complete.
Attention, your computer is infected.
The following infected files/objects were found during the scan:

File Name Virus Name Send

C:\Programme\No...Quarantine\3D980FD0 Exploit.JS.ActiveXComponent send

Please wait, this process may take a long time depending on the selected target. If you want to continue browsing, open a new window.

Scan Progress [93%]:

Total number of scanned files: 186262
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 24138.97 sec
New Scan
_________________________________________________________________

File Name Virus Name Send

C:\Programme\Norton AntiVirus\Quarantine\3D980FD0 Exploit.JS.ActiveXComponent send
________________________________________________________________

All site search Virus search

Phrase to find: "Exploit.JS.ActiveXComponent"
Found: 1

Exploit.JS.ActiveXComponent
This is an MS Internet Explorer and Outlook security breach (com.ms.activeX.ActiveXComponent security vulnerability). The security flaw allows remote scripts and HTML pages to access to any ActiveX control installed on a victim's computer. The remote script can gain full contol over a victim's...
________________________________________________________________

So hoffe, daß ich alle Protokolle gefunden habe und richtig eingefügt habe.
Kann man jetzt schon was sagen, ob man den PC davon befreien kann ???

MfG Jörg
Seitenanfang Seitenende