TR/Qhost.QR TR/Click.526 Wie kann man die entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.09.2005, 12:38
Member

Themenstarter

Beiträge: 16
#31 McAfee FreeScan detected NO viruses

Logfile of HijackThis v1.99.1
Scan saved at 12:39:46, on 23.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Meister\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: Shell=
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4587/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B14074F-7987-4ABA-B1CB-F01151E79ACC}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
23.09.2005, 12:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 Hallo@Ela1969

es duerfte alles sauber sein. Da hast du zwar tuechtig zu tun gehabt, aber es hat sich gelohnt.
Alles Gute fuer dich + PC ;)

Damit du hier nicht Dauerkunde wirst, mache unbedingt die WindowsUpdates, lade SP2 !!!!!!!!!!!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 13:05
Member

Themenstarter

Beiträge: 16
#33 Es ist schon wieder da....:-(((((((((((((
Dieser Beitrag wurde am 24.09.2005 um 12:59 Uhr von Ela1969 editiert.
Seitenanfang Seitenende
03.12.2005, 22:55
Member

Beiträge: 45
#34 Hallo, ihr Lieben!

Habe mich gerade neu im Forum angemeldet, da ich nahezu gleiches Problem mit diesen miesen drei Trojanern habe.
AV erkennt sie, ist aber scheinbar machtlos.
Ich weiß, daß ihr das Thema schon öfter durchgekaut habt. Es wäre trotzdem nett, wenn ihr mir auch noch helfen könntet, damit fertig zu werden.
Ich weiß nicht, ob die Problemlösung für alle Rechner gleich ist oder variiert.
Deswegen mache ich schon einmal das, womit irgendwie alle anfangen und hoffe, daß mir jemand hilft. Ich poste ein hijack-log.
Ich wäre Euch sehr dankbar für Hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 22:55:42, on 03.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wz998f\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {28B08834-E2C2-EB8B-9110-823088C80981} - driver32.dll (file missing)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file)
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\Programme\Accoona\atoolbar.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56D4F48F-2829-4386-A039-12DD2C2532FD}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
04.12.2005, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 Mocca

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R3 - URLSearchHook: (no name) - {28B08834-E2C2-EB8B-9110-823088C80981} - driver32.dll (file missing)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file)
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\Programme\Accoona\atoolbar.dll (file missing)
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c24.cab

PC neustarten

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 22:55
Member

Beiträge: 45
#36 Erst einmal Danke für die prompte Hilfe.
Ich hoffe, ich habs korrekt ausgeführt. Auf gehts:

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\system32

04.12.2005 22:39 35.978 vsconfig.xml
02.12.2005 18:01 2.206 wpa.dbl
29.11.2005 22:34 5.618 jupdate-1.5.0_05-b05.log
26.11.2005 15:46 16.832 amcompat.tlb
26.11.2005 15:46 23.392 nscompat.tlb
25.11.2005 00:40 4.212 zllictbl.dat
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
31.10.2005 22:41 109.400 FNTCACHE.DAT
31.10.2005 00:09 305.318 perfh009.dat
31.10.2005 00:09 37.760 perfc009.dat
31.10.2005 00:09 45.672 perfc007.dat
31.10.2005 00:09 309.810 perfh007.dat
31.10.2005 00:09 705.468 PerfStringBackup.INI
23.10.2005 18:52 176.167 rmoc3260.dll
23.10.2005 18:51 5.632 pndx5032.dll
23.10.2005 18:51 6.656 pndx5016.dll
23.10.2005 18:51 278.528 pncrt.dll
21.10.2005 10:46 0 winctrl16.exe
21.10.2005 10:45 0 winctrl32.exe
21.10.2005 10:45 0 winctrl64.exe

06.10.2005 01:42 634.880 NCTAudioEditor2.dll
06.10.2005 01:42 522.752 NCTAudioTransform2.dll
06.10.2005 01:42 467.968 NCTAudioRecord2.dll
06.10.2005 01:42 467.456 NCTAudioPlayer2.dll
06.10.2005 01:42 877.568 NCTAudioFile2.dll
06.10.2005 01:42 966.144 NCTAudioInformation2.dll
06.10.2005 01:42 237.568 lame_enc.dll
26.09.2005 18:18 25.065 wmpscheme.xml
24.09.2005 08:16 14 dpwtpaxp.dll
24.09.2005 08:16 21 dpwtdaxp.dll
24.09.2005 08:16 12 spwtpaxp.dll
14.09.2005 20:17 319.488 pxdrv.dll
14.09.2005 20:17 462.848 px.dll
14.09.2005 20:17 28.672 vxblock.dll
14.09.2005 20:17 286.720 pxwave.dll
14.09.2005 20:17 143.360 pxmas.dll
14.09.2005 20:17 53.248 pxhpinst.exe
29.08.2005 21:57 12.067 msblank32.html
29.08.2005 21:56 6.144 trapi12.exe
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe
04.07.2005 19:49 4 micr0st.dll
13.02.2005 13:10 2.272 w95inf16.dll
13.02.2005 13:10 4.608 w95inf32.dll
__________
Dieser Satz kein Verb.
Dieser Beitrag wurde am 04.12.2005 um 23:04 Uhr von Mocca editiert.
Seitenanfang Seitenende
04.12.2005, 23:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 Mocca

die Daten aus dem 19.Jahrhundert interessieren mich nicht lol
Es stand doch geschrieben....3 Monate reichen...
Und es sind 4 Textdateien

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 00:24
Member

Beiträge: 45
#38 Aahh...jetzt ist mir auch klar warum er die anderen textdateien nicht mit hinein kopiert hat. die erste war schon so lang, daß er kein bock mehr auf die anderen Kopien hatte. hier also noch einmal die 4 kopien ...und auch nur die letzten drei monate

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\system32

04.12.2005 22:39 35.978 vsconfig.xml
02.12.2005 18:01 2.206 wpa.dbl
29.11.2005 22:34 5.618 jupdate-1.5.0_05-b05.log
26.11.2005 15:46 16.832 amcompat.tlb
26.11.2005 15:46 23.392 nscompat.tlb
25.11.2005 00:40 4.212 zllictbl.dat
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
31.10.2005 22:41 109.400 FNTCACHE.DAT
31.10.2005 00:09 305.318 perfh009.dat
31.10.2005 00:09 37.760 perfc009.dat
31.10.2005 00:09 45.672 perfc007.dat
31.10.2005 00:09 309.810 perfh007.dat
31.10.2005 00:09 705.468 PerfStringBackup.INI
23.10.2005 18:52 176.167 rmoc3260.dll
23.10.2005 18:51 5.632 pndx5032.dll
23.10.2005 18:51 6.656 pndx5016.dll
23.10.2005 18:51 278.528 pncrt.dll
21.10.2005 10:46 0 winctrl16.exe
21.10.2005 10:45 0 winctrl32.exe
21.10.2005 10:45 0 winctrl64.exe

06.10.2005 01:42 634.880 NCTAudioEditor2.dll
06.10.2005 01:42 522.752 NCTAudioTransform2.dll
06.10.2005 01:42 467.968 NCTAudioRecord2.dll
06.10.2005 01:42 467.456 NCTAudioPlayer2.dll
06.10.2005 01:42 877.568 NCTAudioFile2.dll
06.10.2005 01:42 966.144 NCTAudioInformation2.dll
06.10.2005 01:42 237.568 lame_enc.dll
26.09.2005 18:18 25.065 wmpscheme.xml
24.09.2005 08:16 14 dpwtpaxp.dll
24.09.2005 08:16 21 dpwtdaxp.dll
24.09.2005 08:16 12 spwtpaxp.dll
14.09.2005 20:17 319.488 pxdrv.dll
14.09.2005 20:17 462.848 px.dll
14.09.2005 20:17 28.672 vxblock.dll
14.09.2005 20:17 286.720 pxwave.dll
14.09.2005 20:17 143.360 pxmas.dll
14.09.2005 20:17 53.248 pxhpinst.exe
29.08.2005 21:57 12.067 msblank32.html
29.08.2005 21:56 6.144 trapi12.exe

26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe


Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

04.12.2005 23:54 233.508 MSI4d1b1.LOG
04.12.2005 22:45 233.452 MSI5b448.LOG
04.12.2005 22:45 233.452 MSI4ec83.LOG
3 Datei(en) 700.412 Bytes
0 Verzeichnis(se), 13.798.756.352 Bytes frei


Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS

04.12.2005 22:42 6.400 balloon.wav
04.12.2005 22:39 50 wiaservc.log
04.12.2005 22:39 159 wiadebug.log
04.12.2005 22:39 2.048 bootstat.dat
04.12.2005 22:38 32.622 SchedLgU.Txt
03.12.2005 23:17 306 QTW.ini
02.12.2005 01:09 47 winamp.ini
01.12.2005 18:43 114 ALBUM.INI
01.12.2005 00:06 10.240 Thumbs.db
30.11.2005 21:07 496 win.ini
30.11.2005 21:07 227 system.ini
29.11.2005 22:35 8.107 mozver.dat
28.11.2005 00:45 34 cdplayer.ini
26.11.2005 15:45 316.640 WMSysPr9.prx
26.11.2005 15:11 20 powerplayer.ini
19.11.2005 03:54 657 explorer.exe.manifest
12.11.2005 23:32 921.654 GreenSaver.bmp
07.11.2005 22:39 98 acc1.txt
07.11.2005 22:39 98 ncc1.txt
06.11.2005 01:31 48.128 AKDeInstall.exe
06.11.2005 01:30 19 geo.ini
05.11.2005 23:08 100.482 UninstallThunderbird.exe
04.11.2005 23:24 107.132 UninstallFirefox.exe
26.09.2005 17:52 10 smdat32m.sys
24.09.2005 08:24 21 dpwtddxp.dll
24.09.2005 08:16 14 dpwtpdxp.dll
22.09.2005 15:52 4 msoffice.ini


Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\

05.12.2005 00:23 0 sys.txt
05.12.2005 00:22 5.709 system.txt
05.12.2005 00:22 397 systemtemp.txt
05.12.2005 00:20 100.486 system32.txt
04.12.2005 22:39 267.964.416 hiberfil.sys
04.12.2005 22:39 367.001.600 pagefile.sys
30.11.2005 21:07 194 boot.ini
30.11.2005 20:46 106 ps_system_Zeit.txt




So...
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
05.12.2005, 00:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\winctrl16.exe
C:\WINDOWS\system32\winctrl32.exe
C:\WINDOWS\system32\winctrl64.exe
C:\WINDOWS\system32\trapi12.exe
C:\WINDOWS\balloon.wav
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 00:51
Member

Beiträge: 45
#40 winctrl16.exe und winctrl32.exe hat er leider nicht angenommen, da größer als 10MB...


This is a report processed by VirusTotal on 12/05/2005 at 00:47:50 (CET) after scanning the file "trapi12.exe" file.

Antivirus Version Update Result
AntiVir 6.32.1.63 12.05.2005 no virus found
Avast 4.6.695.0 12.03.2005 no virus found
AVG 718 12.02.2005 no virus found
Avira 6.32.1.63 12.05.2005 no virus found
BitDefender 7.2 12.04.2005 no virus found
CAT-QuickHeal 8.00 12.03.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 12.04.2005 no virus found
DrWeb 4.33 12.04.2005 no virus found
eTrust-Iris 7.1.194.0 12.04.2005 no virus found
eTrust-Vet 11.9.1.0 12.02.2005 no virus found
Fortinet 2.48.0.0 12.03.2005 suspicious
F-Prot 3.16c 12.02.2005 no virus found
Ikarus 0.2.59.0 12.02.2005 no virus found
Kaspersky 4.0.2.24 12.05.2005 no virus found
McAfee 4642 12.02.2005 no virus found
NOD32v2 1.1311 12.02.2005 no virus found
Norman 5.70.10 12.02.2005 no virus found
Panda 8.02.00 12.04.2005 Trj/Agent.AJZ
Sophos 4.00.0 12.05.2005 no virus found
Symantec 8.0 12.04.2005 no virus found
TheHacker 5.9.1.048 12.04.2005 no virus found
VBA32 3.10.5 12.04.2005 no virus found






This is a report processed by VirusTotal on 12/05/2005 at 00:49:56 (CET) after scanning the file "balloon.wav" file.

Antivirus Version Update Result
AntiVir 6.32.1.63 12.05.2005 no virus found
Avast 4.6.695.0 12.03.2005 no virus found
AVG 718 12.02.2005 no virus found
Avira 6.32.1.63 12.05.2005 no virus found
BitDefender 7.2 12.04.2005 no virus found
CAT-QuickHeal 8.00 12.03.2005 no virus found
ClamAV devel-20051108 12.04.2005 no virus found
DrWeb 4.33 12.04.2005 no virus found
eTrust-Iris 7.1.194.0 12.04.2005 no virus found
eTrust-Vet 11.9.1.0 12.02.2005 no virus found
Fortinet 2.48.0.0 12.03.2005 no virus found
F-Prot 3.16c 12.02.2005 no virus found
Ikarus 0.2.59.0 12.02.2005 no virus found
Kaspersky 4.0.2.24 12.05.2005 no virus found
McAfee 4642 12.02.2005 no virus found
NOD32v2 1.1311 12.02.2005 no virus found
Norman 5.70.10 12.02.2005 no virus found
Panda 8.02.00 12.04.2005 no virus found
Sophos 4.00.0 12.05.2005 no virus found
Symantec 8.0 12.04.2005 no virus found
TheHacker 5.9.1.048 12.04.2005 no virus found
VBA32 3.10.5 12.04.2005 no virus found



Gruß, Moc
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
05.12.2005, 00:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41

Zitat

\%CurrentFolder%\1.dat
\%CurrentFolder%\2.dat
\%CurrentFolder%\3.dat
<System>\msblank.html
<System>\winctrl16.exe
<System>\winctrl32.exe
<System>\winctrl64.exe
http://www.sophos.de/virusinfo/analyses/trojdloaderra.html
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\winctrl16.exe
C:\WINDOWS\system32\winctrl32.exe
C:\WINDOWS\system32\winctrl64.exe
C:\WINDOWS\system32\trapi12.exe
C:\WINDOWS\system32\msblank32.html

pc neustarten

suche/loesche:
1.dat
2.dat
3.dat

scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 01:47
Member

Beiträge: 45
#42 Hallo nochmal. hab alles so weit gemacht wie beschrieben. der cureit scan fiel anschließend negativ aus, also auch kein bericht zu posten....meinen sie der patient ist überm berg, Frau Doktor oder operieren wir weiter?

gruß, moc



P.S. das zitat da oben mit dem link hab ich nicht geschnallt. was sollte ich damit machen?
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
05.12.2005, 11:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 das Zitat oben links ist die verseuchung auf deinem PC

Troj/Dloader-RA ist ein Trojaner für die Windows-Plattform.

Troj/Dloader-RA enthält Funktionalität zum Herunterladen, Installieren und Starten neuer Software.

Wenn er erstmals gestartet wird, kopiert sich Troj/Dloader-RA nach <System>\popcorn72.exe und erstellt folgende Dateien:

\%CurrentFolder%\1.dat
\%CurrentFolder%\2.dat
\%CurrentFolder%\3.dat
<System>\msblank.html
<System>\winctrl16.exe
<System>\winctrl32.exe
<System>\winctrl64.exe

Zitat

Der folgende Registrierungseintrag wird erstellt, damit popcorn72.exe beim Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ControlPanel
<System>\popcorn72.exe rundll.dll,LoadMouseProfile

Troj/Dloader-RA ändert die Startseite des Microsoft Internet Explorers, indem er den folgenden Registrierungseintrag erstellt:
ich hoffe, dass nun alles geloescht ist, dennoch mache noch einen Onlinescan mit Panda und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 23:48
Member

Beiträge: 45
#44 Hallo Sabina,

habe unter http://www.sophos.de/virusinfo/analyses/trojdloaderra.html
folgende Virenerkennungsdatei runtergeladen: mytob-dw.ide
Problem: Konnte ide-Datei nicht starten.

Nichts desto trotz habe ich einen scan mit panda versucht. Der sagt mir jedoch, er funktioniert nur mit ie ab 5.0. mein standardbrowser ist allerdings firefox.

Mein AntiVirGuard hat mir mittlerweile wieder die üblichen Trojaner gemeldet und balloon macht sich auch regelmäßig auf.

Was tun?

Liebe Grüße, Moc
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
06.12.2005, 10:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Mocca

hst du wirklich alles geleoscht, was ich rausgesucht hatte ? Ueberpruefe es mit datfindbat, ob die Dateien noch da sind.

Zitat

C:\WINDOWS\system32\winctrl16.exe
C:\WINDOWS\system32\winctrl32.exe
C:\WINDOWS\system32\winctrl64.exe
C:\WINDOWS\system32\trapi12.exe
C:\WINDOWS\system32\msblank32.html
C:\WINDOWS\system32\popcorn72.exe

1.dat
2.dat
3.dat
scanne und poste hier den scanbericht
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende