Problem mit Trojan.win32.Qhost und trojan.win32.DNSChanger

#0
05.09.2005, 18:38
...neu hier

Beiträge: 8
#1 Hallo,

habe seit einer Woche ein ständig auftretendes Problem mit dem Troj Win32.Qhost, weil ich einmal beim surfen die FW aus hatte. Seit dem ist alles mögliche abgestürzt und ständig auftretende Probleme mit den bekannten meldungen und warnungen. Vorher hatte ich die Kerio FW 4.13 drauf und Norrton AntiVirus, welches danach beides nicht mehr seinen Dienst verrichten wollte und nun Kaspersky AntiVir und ZoneAlarm neueste FW. macht alles auch so ganz gut ihren Dienst, aber der Trojaner bleibt, bzw. kommt ab und an wieder auf. (hclean32.exe)
Hatte die Datei mit killbox gelöscht in dert hoffnung das wars, da keine einträge unter HKLM\...\...\Run waren und nun hatte ich die FW wieder mal kurz aus und bums, gleiche ScheiBe wieder. War allerdings nich auf ner dubiosen Seite wo ich ihn mir wieder hätte einfangen können. Hab mal mit hijackthis 'n Log erstellt.

Logfile of HijackThis v1.99.1
Scan saved at 18:30:28, on 05.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\wincmd\WINCMD32.EXE
c:\Tools\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {F306306F-A586-499A-9875-EE02B85821AB} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125158506593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A19AC0A-B5CF-46D4-BA21-B54A04C467AB}: NameServer = 195.95.218.18,85.255.112.11
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Bitte um Hilfe, ich dreh sonst noch durch....
Seitenanfang Seitenende
06.09.2005, 11:18
Member
Avatar Yourhighness

Beiträge: 279
#2 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: (no name) - {F306306F-A586-499A-9875-EE02B85821AB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A19AC0A-B5CF-46D4-BA21-B54A04C467AB}: NameServer = 195.95.218.18,85.255.112.11
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)

PC neustarten

bin gerade über folgendes gestolpert:
C:\Programme\wincmd\WINCMD32.EXE <-- bekanntes Programm?

Code

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum:        85.255.112.0 - 85.255.127.255
netname:        inhoster
descr:          Inhoster hosting company
descr:          OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks:        -----------------------------------
remarks:        Abuse notifications to: abuse@inhoster.com
remarks:        Network problems to: noc@inhoster.com
remarks:        Peering requests to: peering@inhoster.com
remarks:        -----------------------------------
country:        UA
Again sorry, hätte wohl besser Heute Morgen posten sollen.
@raman - danke für den Hinweis

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
06.09.2005, 11:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3

Zitat

Sabina postete
Hallo@Dob187

O17 - HKLM\System\CCS\Services\Tcpip\..\{1768DC22-0997-444C-BAEB-B3F74BD76104}: NameServer = 195.95.218.21,85.255.112.14
Nach Angaben von www.Ripe.net/whois sind die beiden IPs einem Hosting in Charkow,


arbeite bitte beide Links ab...wir werden den Trojaner so bestimmt finden ;) ich weiss mehr oder weniger, wonach ich suchen muss ;)
http://virus-protect.org/findqoologic.html
http://virus-protect.org/datfindbat.html

Lade: rkfiles.zip

http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2005, 16:03
...neu hier

Themenstarter

Beiträge: 8
#4 Hallo,

Wincmd32.exe ist der Windowscommander , früher hieß sowas norton commander und ist ein kleines Prog wie der Windowsexplorer um Dateien hin und her zu kopieren, server connecten usw. also keine Gefahr.

also ich fang mit find_qologic an:

Find Qoologic last edited 8/30/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
some examples are MRT.EXE NTDLL.DLL.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

If this string search find's both and an exe and dat it's bad.
»»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x7c91df5e

Global Startup:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
.
..
desktop.ini

User Startup:
C:\Dokumente und Einstellungen\Dob187\Startmenü\Programme\Autostart
.
..
desktop.ini

»»»»» Search by size and name...
»»»»» Files found by this method are not necessarily bad...
»»»»» Example PNGFILT.DLL ctl3d32.dll are windows files...




nund die Datfind.bat:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 74FC-87E0

Verzeichnis von C:\WINDOWS\system32

06.09.2005 15:21 31.756 vsconfig.xml
05.09.2005 17:38 45.568 ntfsnlpa.exe
05.09.2005 17:38 4.608 rdsndin.exe
04.09.2005 10:36 2.550 Uninstall.ico
04.09.2005 10:36 1.406 Help.ico
04.09.2005 10:36 1.718 Open.ico
04.09.2005 10:36 1.406 AddQuit.ico
04.09.2005 10:36 5.350 IE.ico
04.09.2005 10:36 9.470 Desktop.ico
04.09.2005 10:36 1.718 Quick.ico
31.08.2005 21:12 4.212 zllictbl.dat
31.08.2005 15:53 2.206 wpa.dbl
27.08.2005 21:24 22 ati64hl2.stb
27.08.2005 18:40 48.156 perfc007.dat
27.08.2005 18:40 311.604 perfh009.dat
27.08.2005 18:40 316.594 perfh007.dat
27.08.2005 18:40 39.992 perfc009.dat
27.08.2005 18:40 723.744 PerfStringBackup.INI
27.08.2005 18:37 91.888 FNTCACHE.DAT
26.08.2005 22:50 100 LuResult.txt
26.08.2005 20:55 26.337.792 crashlog.tar
26.08.2005 17:02 643.471 loadctr32.exe
26.08.2005 17:02 5.120 trapi12.exe
26.08.2005 17:02 54.792 csbnn.exe



05.09.2005 21:06 16.384 ~DFF6A3.tmp
05.09.2005 20:50 16.384 ~DF980F.tmp
05.09.2005 20:20 16.384 ~DF3740.tmp
05.09.2005 20:16 16.384 ~DF710D.tmp
05.09.2005 18:27 64 kb.log
05.09.2005 17:53 16.384 ~DF5D5E.tmp
04.09.2005 16:54 16.384 ~DF3ECC.tmp
04.09.2005 11:13 16.384 ~DF48BD.tmp



06.09.2005 15:22 1.506 WINCMD.INI
06.09.2005 15:21 0 0.log
06.09.2005 15:21 2.048 bootstat.dat
05.09.2005 22:34 155.231 WindowsUpdate.log
05.09.2005 21:03 286 wcx_ftp.ini
05.09.2005 20:41 746.694 ntbtlog.txt
05.09.2005 17:38 6.400 balloon.wav
04.09.2005 10:42 650.767 setupapi.log
04.09.2005 10:38 578 win.ini
04.09.2005 10:26 394.718 iis6.log
04.09.2005 10:26 15.056 tabletoc.log
04.09.2005 10:26 149.886 tsoc.log
04.09.2005 10:26 67.818 ntdtcsetup.log
04.09.2005 10:26 112.631 comsetup.log
04.09.2005 10:26 1.891 imsins.log
04.09.2005 10:26 17.467 ocmsn.log
04.09.2005 10:26 52.801 netfxocm.log
04.09.2005 10:26 164.243 ocgen.log
04.09.2005 10:26 23.122 medctroc.Log
04.09.2005 10:26 15.812 msgsocm.log
04.09.2005 10:26 307.601 FaxSetup.log
04.09.2005 10:26 106.744 msmqinst.log
02.09.2005 23:15 32.498 SchedLgU.Txt
27.08.2005 18:35 6.220 updspapi.log
26.08.2005 22:51 50.837 SYMEVENT.LOG
26.08.2005 20:54 281 system.ini
26.08.2005 17:14 4.456 rdt.ini
23.08.2005 19:57 169.315 setupact.log


06.09.2005 15:39 0 sys.txt
06.09.2005 15:39 4.818 system.txt
06.09.2005 15:39 624 systemtemp.txt
06.09.2005 15:38 96.629 system32.txt
06.09.2005 15:21 805.306.368 pagefile.sys


FindT:

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.



rkfiles.bat:



c:\

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\avisynth.dll: UPX!
C:\WINDOWS\system32\ntfsnlpa.exe: UPX!
C:\WINDOWS\system32\rdsndin.exe: UPX!
C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf#
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\avisynth.dll: UPX!
C:\WINDOWS\system32\ntfsnlpa.exe: UPX!
C:\WINDOWS\system32\rdsndin.exe: UPX!
C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf#
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\daemon.dll: UPX!
C:\WINDOWS\MEMORY.DMP: UPX!-
C:\WINDOWS\MEMORY.DMP: efsg!>!#ztuf#
C:\WINDOWS\MEMORY.DMP: FSG!-
Finished
bye



Greetz, Dob187
Dieser Beitrag wurde am 06.09.2005 um 16:13 Uhr von Dob187 editiert.
Seitenanfang Seitenende
07.09.2005, 01:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Start-->Ausfuehren --> regedit

bearbeiten--> suchen-->
msftcpip
tcpGDC

HKLM\SYSTEM\CurrentControlSet\Services\msftcpip <--loeschen

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpGDC <--loeschen


•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html
Gehe in die Registry

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\system32\rdsndin.exe
C:\WINDOWS\system32\hclean32.exe
C:\WINDOWS\SYSTEM32\tcpGDC.dll
C:\WINDOWS\SYSTEM32\msftcpip.sys
C:\WINDOWS\balloon.wav
C:\WINDOWS\rdt.ini
C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\trapi12.exe
C:\WINDOWS\system32\csbnn.exe

PC neustarten

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen: (dann abspeichern) ;)
127.1.1.0 localhost

smitRem TOOL (Entfernungstool)--> poste mir den Scanreport ;)
http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {F306306F-A586-499A-9875-EE02B85821AB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A19AC0A-B5CF-46D4-BA21-B54A04C467AB}: NameServer = 195.95.218.18,85.255.112.11
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)

PC neustarten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2005, 16:02
...neu hier

Themenstarter

Beiträge: 8
#6 Werde mich gleich dran machen. Vielen Dank. Ich krieg gleich noch ein ganz schlechtes Gewissen, wenn ich 01:16 Uhr an deiner Antwort seh und dran denk, dass du dir meinetwegen auch noch die Nacht um die Ohren schlägst...
Seitenanfang Seitenende
07.09.2005, 18:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 wenn das alles fertig ist, poste, worum ich gebeten habe ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2005, 19:45
...neu hier

Themenstarter

Beiträge: 8
#8 Hallo,

hab alles so gemacht wie gesagt:

- msftcpip und tcpGDC ist beides als solches nicht vorhanden.


smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)



- mit killbox alles entfernt

- Internet explorer zurückgesetzt, startseite geht nicht zu ändern, bleibt bei about:blank


Gruß, Dob187
Seitenanfang Seitenende
07.09.2005, 22:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 bitte abarbeiten: (noch einmal)
rkfiles.zip
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

datfind bis Anfang August bitte alles posten ;)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2005, 23:22
...neu hier

Themenstarter

Beiträge: 8
#10 07.09.2005 19:44 31.756 vsconfig.xml
07.09.2005 19:36 2.206 wpa.dbl
04.09.2005 10:36 2.550 Uninstall.ico
04.09.2005 10:36 1.406 Help.ico
04.09.2005 10:36 1.718 Open.ico
04.09.2005 10:36 1.406 AddQuit.ico
04.09.2005 10:36 5.350 IE.ico
04.09.2005 10:36 9.470 Desktop.ico
04.09.2005 10:36 1.718 Quick.ico
31.08.2005 21:12 4.212 zllictbl.dat
27.08.2005 21:24 22 ati64hl2.stb
27.08.2005 18:40 311.604 perfh009.dat
27.08.2005 18:40 48.156 perfc007.dat
27.08.2005 18:40 39.992 perfc009.dat
27.08.2005 18:40 316.594 perfh007.dat
27.08.2005 18:40 723.744 PerfStringBackup.INI
27.08.2005 18:37 91.888 FNTCACHE.DAT
26.08.2005 22:50 100 LuResult.txt
26.08.2005 20:55 26.337.792 crashlog.tar
12.08.2005 21:46 43.520 CmdLineExt03.dll
30.07.2005 22:06 98.304 CmdLineExt.dll
29.07.2005 21:07 73.728 asuninst.exe


07.09.2005 19:52 65.536 ~DFA4B0.tmp
1 Datei(en) 65.536 Bytes


07.09.2005 19:51 1.580 WINCMD.INI
07.09.2005 19:43 0 0.log
07.09.2005 19:43 2.048 bootstat.dat
07.09.2005 19:42 157.723 WindowsUpdate.log
07.09.2005 19:40 169.495 setupact.log
06.09.2005 15:45 851.138 ntbtlog.txt
05.09.2005 21:03 286 wcx_ftp.ini
04.09.2005 10:42 650.767 setupapi.log
04.09.2005 10:38 578 win.ini
04.09.2005 10:26 394.718 iis6.log
04.09.2005 10:26 1.891 imsins.log
04.09.2005 10:26 17.467 ocmsn.log
04.09.2005 10:26 112.631 comsetup.log
04.09.2005 10:26 15.056 tabletoc.log
04.09.2005 10:26 149.886 tsoc.log
04.09.2005 10:26 67.818 ntdtcsetup.log
04.09.2005 10:26 52.801 netfxocm.log
04.09.2005 10:26 164.243 ocgen.log
04.09.2005 10:26 23.122 medctroc.Log
04.09.2005 10:26 15.812 msgsocm.log
04.09.2005 10:26 307.601 FaxSetup.log
04.09.2005 10:26 106.744 msmqinst.log
02.09.2005 23:15 32.498 SchedLgU.Txt
27.08.2005 18:35 6.220 updspapi.log
26.08.2005 22:51 50.837 SYMEVENT.LOG
26.08.2005 20:54 281 system.ini
11.08.2005 18:05 24.693 wmsetup.log
11.08.2005 18:05 316.640 WMSysPr9.prx
01.08.2005 22:31 1.510 OEWABLog.txt
30.07.2005 22:06 794 DirectX.log



07.09.2005 23:04 0 sys.txt
07.09.2005 23:04 4.724 system.txt
07.09.2005 23:04 286 systemtemp.txt
07.09.2005 23:03 96.383 system32.txt
07.09.2005 19:39 675 smitfiles.txt
06.09.2005 16:00 1.124 log.txt
06.09.2005 16:00 127 windows.txt
06.09.2005 15:58 384 win.txt
06.09.2005 15:58 168 start.txt
06.07.2005 20:11 794.379 DSCN0889.JPG



c:\

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\avisynth.dll: UPX!
C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf#
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\avisynth.dll: UPX!
C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf#
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\daemon.dll: UPX!
C:\WINDOWS\MEMORY.DMP: UPX!-
C:\WINDOWS\MEMORY.DMP: efsg!>!#ztuf#
C:\WINDOWS\MEMORY.DMP: FSG!-
Finished
bye


Dob
Seitenanfang Seitenende
07.09.2005, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 silentrunner (bitte alles posten ;)
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2005, 23:39
...neu hier

Themenstarter

Beiträge: 8
#12 * DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\msexcl35.dll Thu 9 Sep 1999 22:06:38 A.S.. 252.688 246,77 K
C:\WINDOWS\SYSTEM32\msjet35.dll Tue 28 Sep 1999 21:42:48 A.S.. 1.050.896 1,00 M
C:\WINDOWS\SYSTEM32\msjint35.dll Thu 10 Jun 1999 9:34:04 A.S.. 123.664 120,77 K
C:\WINDOWS\SYSTEM32\msjter35.dll Thu 10 Jun 1999 9:34:04 A.S.. 24.848 24,27 K
C:\WINDOWS\SYSTEM32\msltus35.dll Thu 9 Sep 1999 22:06:38 A.S.. 168.720 164,77 K
C:\WINDOWS\SYSTEM32\mspdox35.dll Mon 7 Jun 1999 18:59:34 A.S.. 250.128 244,27 K
C:\WINDOWS\SYSTEM32\msrd2x35.dll Sun 25 Apr 1999 17:00:00 A.S.. 252.176 246,27 K
C:\WINDOWS\SYSTEM32\msrepl35.dll Wed 25 Aug 1999 14:57:26 A.S.. 415.504 405,77 K
C:\WINDOWS\SYSTEM32\mstext35.dll Thu 30 Sep 1999 19:21:24 A.S.. 166.672 162,77 K
C:\WINDOWS\SYSTEM32\msxbse35.dll Sun 25 Apr 1999 17:00:00 A.S.. 287.504 280,77 K
C:\WINDOWS\SYSTEM32\vbar332.dll Sun 25 Apr 1999 17:00:00 A.S.. 368.912 360,27 K
________________________________________________

1.239 items found: 1.239 files (11 H/S), 0 directories.
Total of file sizes: 251.029.904 bytes 239,40 M

Administrator Account = True

--------------------End log---------------------







"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" ["Lavasoft Sweden"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize" ["Kaspersky Lab"]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csxdn.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Dob187\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"" ["Kaspersky Lab"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 30 seconds, including 18 seconds for message boxes)


Gn8, Dob
Dieser Beitrag wurde am 07.09.2005 um 23:41 Uhr von Dob187 editiert.
Seitenanfang Seitenende
07.09.2005, 23:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixre.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""


kopiere in die Killbox:
C:\WINDOWS\system32\csxdn.exe


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixre.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten


panda (berichte vom scan)
http://virus-protect.org/onlinescan.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.09.2005, 04:57
...neu hier

Themenstarter

Beiträge: 8
#14 SRY hatte zuerst das DLLCompare vergessen ^^


Hab alles so gemacht.

Panda brachte:


Common name: Gator

Technical name: Adware/Gator

Thread level: Low

Alias: GAIN, Claria, Dashbar, PrecisionTime, Date Manager

Type: Spyware

Subtype: Adware

Effects:
It downloads and displays advertisements. It connects to web pages that contain the phrase gator.com through the port 80.



Affected platforms: Windows 2003/XP/2000/NT/ME/98/95


First detected on: Sept. 11, 2003

Detection updated on: Nov. 9, 2004

In circulation? No

Proactive protection: Yes, using TruPrevent Technologies



Startseite geht immer noch net zu ändern ;)

Dob187
Seitenanfang Seitenende
08.09.2005, 14:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 •Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html
Laden-->Konfigurieren
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

poste noch mal das Log vom Silentrunner, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: