Wie so mancher andere hab ich nach einer "einfachen" Lösung gesucht und musste feststellen, dass ich ohne eure hilfe nicht weiter komme...
Einige der anderen Threads hatten das selbe (oder ähnliches) Thema aber die verdächtigen Files sind bei mir entweder andere oder zu mindest heissen Sie nicht gleich.. - ich lösch dann lieber nichts ohne vorher zu fragen..
Also - hier meine Logs:
HJT: Logfile of HijackThis v1.99.1 Scan saved at 16:53:13, on 22.10.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Ich danke im Voraus für eure Hilfe und hoffe, dass die Logs so zu gebrauchen sind..
Desweiteren möcht ich mal stellvertretend für alle Hilfesuchenden ein Dank und Lob ausprechen für dieses Forum. Sowohl den Betreibern als auch den aktiven Helfern!!
Grüsse hjh
Nachtrag (Edit): Ich bin ziemlich sicher, dass ich den Trojaner am 19.10.05 irgendwann morgens zwischen 7 und 9 Uhr eingefangen habe..
Da hab ich zumindest die erste Warnung von AntiVir erhalten.. ich lies die Datei dan wipen.. trotzdem stürtzte die nächsten 2 Tage dann immer der IE ab.. er versucht auch jedesmal eine IP in estland zu erreichen..
Zur Zeit ist's der Mozilla der in den Osten will und IE gibt ruhe.. *achselzuck*
hjh
Dieser Beitrag wurde am 22.10.2005 um 17:09 Uhr von hjh editiert.
Um auf dieses Thema zu ANTWORTEN bitte erst » hier kostenlos registrieren!!
Wie so mancher andere hab ich nach einer "einfachen" Lösung gesucht und musste feststellen, dass ich ohne eure hilfe nicht weiter komme...
Einige der anderen Threads hatten das selbe (oder ähnliches) Thema aber die verdächtigen Files sind bei mir entweder andere oder zu mindest heissen Sie nicht gleich.. - ich lösch dann lieber nichts ohne vorher zu fragen..
Also - hier meine Logs:
HJT:
Logfile of HijackThis v1.99.1
Scan saved at 16:53:13, on 22.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
E:\AA_SICHERHEIT\ANTIVIR\AVGUARD.EXE
E:\AA_Sicherheit\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe
E:\AA_HOMEPAGESOFTWARE\AA_Network\SNMP_Netguard\Nmapwin\bin\nmapserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PwsTray.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
E:\AA_Sicherheit\AntiVir\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINNT\system32\internat.exe
E:\AA_Tools\HiddenMenu22\HiddenMenu.exe
E:\AA_Sicherheit\SpyBot\TeaTimer.exe
E:\AA_Sicherheit\Frontgate MX 1.0.2\frntgate.exe
E:\AA_System\StatBar 2.406\StatBar.exe
E:\AA_Anwendungen\Acrobat 5\Distillr\AcroTray.exe
C:\Programme\Outlook Express\msimn.exe
E:\AA_System\TaskInfo 3.0\TaskInfo.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\NOTEPAD.EXE
E:\AA_Sicherheit\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
;<local>
R3 - Default URLSearchHook is missing
O1 - Hosts: 193.27.218.200 sim
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\AA_Anwendungen\Acrobat 5\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\AA_Sicherheit\SpyBot\SDHelper.dll
O2 - BHO: (no name) - {7c1ce531-09e9-4fc5-9803-1c2956615786} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Accessibility Toolbar - {11352A67-0178-46B1-8855-D50B2F81C054} - E:\AA_HOM~1\AA_BAR~1\WEBACC~1.1\ACCESS~1.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WpsRePsw] C:\WINNT\system32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SpybotSnD] "E:\AA_Sicherheit\SpyBot\SpybotSD.exe" /autocheck /autoclose /waitstart
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "E:\AA_Sicherheit\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WinVNC] "E:\AA_System\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Hidden Menu] E:\AA_Tools\HiddenMenu22\HiddenMenu.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\AA_Sicherheit\SpyBot\TeaTimer.exe
O4 - HKCU\..\Run: [WhatPulse] E:\AA_Tools\WhatPuls\WHATPU~2.EXE
O4 - HKCU\..\Run: [FG1_00] E:\AA_Sicherheit\Frontgate MX 1.0.2\frntgate.exe
O4 - HKCU\..\Run: [StatBar] E:\AA_System\StatBar 2.406\StatBar.exe
O4 - HKCU\..\Run: [024h Lucky Reminder] "E:\AA_Tools\LuckyReminder\LuckyReminder.exe" /m
O4 - Startup: EzVoice 3.0.lnk = E:\AA_Business\Telefon_Beantworter\EzVoice 3.0\ezvoice3.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\AA_Anwendungen\Acrobat 5\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ieSpell Options - res://C:\Programme\ieSpell\iespell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Check &Spelling - res://C:\Programme\ieSpell\iespell.dll/SPELLCHECK.HTM
O8 - Extra context menu item: IEB: Browser: Resize Window - E:\AA_Tools\IE-Booster\window-size.html
O8 - Extra context menu item: IEB: Frame: Open in &New Window - E:\AA_Tools\IE-Booster\frame-open-in-new-window.html
O8 - Extra context menu item: IEB: Frame: Open in &This Window - E:\AA_Tools\IE-Booster\frame-open-in-this-window.html
O8 - Extra context menu item: IEB: Image: Copy Path to Clipboard - E:\AA_Tools\IE-Booster\image-copy-path-to-clipboard.html
O8 - Extra context menu item: IEB: Image: Show Image Data - E:\AA_Tools\IE-Booster\image-view-image-data.html
O8 - Extra context menu item: IEB: Image: Show Server Response - E:\AA_Tools\IE-Booster\link-show-server-response.html
O8 - Extra context menu item: IEB: Link: Copy as <A href="URL">caption</A> - E:\AA_Tools\IE-Booster\link-copy.html
O8 - Extra context menu item: IEB: Link: Open in New Minimized Window - E:\AA_Tools\IE-Booster\link-open-minimized.html
O8 - Extra context menu item: IEB: Link: Show Server Response - E:\AA_Tools\IE-Booster\link-show-server-response.html
O8 - Extra context menu item: IEB: Page: Copy Title as <A href="URL">Title</a> - E:\AA_Tools\IE-Booster\page-copy-title.html
O8 - Extra context menu item: IEB: Page: Show Forms and Applets - E:\AA_Tools\IE-Booster\page-show-forms.html
O8 - Extra context menu item: IEB: Page: Show Hyperlinks - E:\AA_Tools\IE-Booster\page-view-hyperlinks.html
O8 - Extra context menu item: IEB: Page: Show Images - E:\AA_Tools\IE-Booster\page-show-images.html
O8 - Extra context menu item: IEB: Page: Show Source - E:\AA_Tools\IE-Booster\page-view-source.html
O8 - Extra context menu item: IEB: Page: Show Stylesheets - E:\AA_Tools\IE-Booster\page-view-stylesheets.html
O8 - Extra context menu item: IEB: Page: Show TABLE, FORM and DIV Borders - E:\AA_Tools\IE-Booster\page-show-table-structure.htm
O8 - Extra context menu item: IEB: Selection: Copy as plain text - E:\AA_Tools\IE-Booster\selection-copy-plaintext.html
O8 - Extra context menu item: IEB: Selection: Open in Browser - E:\AA_Tools\IE-Booster\selection-open-in-browser.html
O8 - Extra context menu item: IEB: Selection: Show Partial Source - E:\AA_Tools\IE-Booster\selection-show-source.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - E:\AA_System\visualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - E:\AA_System\visualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programme\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programme\ieSpell\iespell.dll
O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programme\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programme\ieSpell\iespell.dll
O9 - Extra button: 1152PX breit - {3F0DB146-A8A2-492e-9714-8DDAE9BD5C0E} - C:\Programme\validatorsidebar\resize1152.exe
O9 - Extra button: Netscape 7 - {5B07520A-5B58-4fbe-ADB0-E0C842786CB5} - C:\Programme\validatorsidebar\browsernn7.exe
O9 - Extra button: 640PX breit - {9654234A-E677-48e0-9E28-FC6C38FE5103} - C:\Programme\validatorsidebar\resize0640.exe
O9 - Extra button: 800PX breit - {9E5EA59A-220D-49d8-A223-4B7C0CE9D4ED} - C:\Programme\validatorsidebar\resize0800.exe
O9 - Extra button: 1024PX breit - {A43A99F4-5549-4071-9286-577F44C1CC1C} - C:\Programme\validatorsidebar\resize1024.exe
O9 - Extra button: Mozilla - {A88B596C-E34C-4edf-82CD-CB1400A5E642} - C:\Programme\validatorsidebar\browsermz.exe
O9 - Extra button: Validator - {AB3AB12D-1899-475a-8BD1-A4379270F803} - C:\WINNT\system32\Shdocvw.dll
O9 - Extra button: 1280PX breit - {B1071087-5799-458d-B66A-D389C1D7B384} - C:\Programme\validatorsidebar\resize1280.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .php: E:\AA_HOMEPAGESOFTWARE\AA_Browser\Netscape 8.0.1\PLUGINS\npTrident.dll
O12 - Plugin for .xml: E:\AA_HOMEPAGESOFTWARE\AA_Browser\Netscape 8.0.1\PLUGINS\npTrident.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4571C6A3-CB9E-11D0-BDE2-0000F4B02CED} (Cincom Rich Client) - http://configurator.apcc.com/products/powerstruxure/configurator/shared/cabs/attarxinf.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123941638531
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8356F39A-3D77-11D2-AC9B-00A0247437E4} (OctoArm Control) - http://62.94.174.8/WebCCTV/ActiveX/OctoArm.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://hpt1.bluewin.ch/app/static/activex/msxml4.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.189.138.114/activex/AxisCamControl.cab
O16 - DPF: {BFE1F4EA-0B7F-4AA5-8FD8-FBAB6AA5C3D5} (HTMLXpressDemo.MainControl) - http://www.htmlxpress.com/_en/demo/HTMLXPressDemo.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D53D6A60-B07B-4D5E-827F-F42C1D322879} (OpenbcBrowserControl.BaseControl) - https://www.openbc.com/sync/OpenbcBrowserControl.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B504D5B-77C4-453F-8898-901608C87C59}: NameServer = 85.255.113.149,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{42334D97-EC1B-461D-ADDD-92994AA72BAF}: NameServer = 85.255.113.149,85.255.112.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B504D5B-77C4-453F-8898-901608C87C59}: NameServer = 85.255.113.149,85.255.112.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B504D5B-77C4-453F-8898-901608C87C59}: NameServer = 85.255.113.149,85.255.112.11
O23 - Service: ActiPOINTserver - Unknown owner - C:\WINNT\system32\ActiPOINTserverSVC.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AA_SICHERHEIT\ANTIVIR\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AA_Sicherheit\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: MySQL - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NMap - Unknown owner - E:\AA_HOMEPAGESOFTWARE\AA_Network\SNMP_Netguard\Nmapwin\bin\nmapserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: YK - ??????????????????????????????????? - C:\DOKUME~1\Admin\LOKALE~1\Temp\YK.exe
**************
Blacklight:
hab auch schon versucht die Files umzubenennen..
Nach dem Reboot waren alle wieder da..
10/22/05 17:00:22 [Info]: BlackLight Engine 1.0.23 initialized
10/22/05 17:00:22 [Info]: OS: 5.0 build 2195 (Service Pack 4)
10/22/05 17:00:23 [Note]: 4019 4
10/22/05 17:00:23 [Note]: 4005 0
10/22/05 17:00:28 [Note]: 4006 0
10/22/05 17:00:29 [Note]: 4011 1248
10/22/05 17:00:29 [Note]: FSRAW library version 1.7.1011
10/22/05 17:01:17 [Info]: Hidden file: C:\WINNT\system32\wbem\wbemtest.exe
10/22/05 17:01:17 [Note]: 10002 1
10/22/05 17:01:28 [Info]: Hidden file: C:\WINNT\system32\favme.exe
10/22/05 17:01:28 [Note]: 10002 1
10/22/05 17:01:28 [Info]: Hidden file: C:\WINNT\system32\hlmicro.exe
10/22/05 17:01:28 [Note]: 10002 1
10/22/05 17:01:29 [Info]: Hidden file: C:\WINNT\system32\hlmicro.exe.ren
10/22/05 17:01:29 [Note]: 10002 1
10/22/05 17:01:35 [Info]: Hidden file: C:\WINNT\system32\cslxh.exe
10/22/05 17:01:35 [Note]: 4002 32
10/22/05 17:01:35 [Note]: 4003 1
10/22/05 17:01:35 [Note]: 10002 1
10/22/05 17:01:35 [Info]: Hidden file: C:\WINNT\system32\hwiper.exe
10/22/05 17:01:35 [Note]: 10002 1
10/22/05 17:01:36 [Info]: Hidden file: C:\WINNT\system32\hwiper.exe.ren
10/22/05 17:01:36 [Note]: 10002 1
10/22/05 17:02:40 [Note]: 4007 0
**************
DatFind.Bat
Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: F47B-A95E
Verzeichnis von C:\WINNT\system32
22.10.2005 16:47 16'384 Perflib_Perfdata_748.dat
22.10.2005 16:43 16'384 Perflib_Perfdata_770.dat
22.10.2005 16:42 16'384 Perflib_Perfdata_360.dat
22.10.2005 16:42 368'096 FNTCACHE.DAT
18.10.2005 00:59 16'384 Perflib_Perfdata_2e4.dat
05.10.2005 02:37 16'384 Perflib_Perfdata_cc8.dat
05.10.2005 02:30 16'384 Perflib_Perfdata_74c.dat
14.09.2005 22:06 39'731 Lexmark_local
14.09.2005 21:44 240'496 LexFiles.ulf
14.09.2005 21:40 6'179 LexFiles.log
14.09.2005 21:40 67 Monitor.inf
09.09.2005 17:31 67 Monitor.bak
Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: F47B-A95E
Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp
22.10.2005 16:53 16'384 ~DFA9.tmp
22.10.2005 16:43 16'384 ~DFAF60.tmp
22.10.2005 16:43 412 jusched.log
22.10.2005 04:57 4'827'423 tmp-2.xpi
22.10.2005 04:56 19'429 tmp-1.xpi
22.10.2005 04:56 13'269 tmp.xpi
21.10.2005 15:00 88 ~OBJ1E18.TMP
21.10.2005 15:00 88 ~OBJ0030.TMP
21.10.2005 06:01 183 r2h165.tmp
21.10.2005 06:01 0 h2r166.tmp
21.10.2005 04:31 429'044 CNQL1208_2.shd
21.10.2005 04:31 381 TWAIN.LOG
21.10.2005 04:30 3 Twain001.Mtx
21.10.2005 04:30 156 Twunk001.MTX
21.10.2005 04:15 30'706 CNQL1208_2B.shd
21.10.2005 04:15 0 Twunk002.MTX
19.10.2005 16:48 45'096 _VWUPSRV.EXE
19.10.2005 16:44 16'384 ~DF9AD9.tmp
19.10.2005 00:07 416 java_install_reg.log
18.10.2005 23:54 4'608 i4j31916.exe
20.09.2005 11:53 4'878'136 xpinstall.exe
Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: F47B-A95E
Verzeichnis von C:\WINNT
22.10.2005 16:45 2'386 ModemLog_Intel(R) 536EP V.92 Modem.txt
22.10.2005 16:43 51 iTouch.ini
22.10.2005 16:42 78'051 WindowsUpdate.log
22.10.2005 16:40 32'616 SchedLgU.Txt
22.10.2005 16:39 1'229 AceHTML.ini
22.10.2005 05:01 99'965 UninstallFirefox.exe
22.10.2005 05:00 29'393 mozver.dat
21.10.2005 17:17 99'965 UninstallThunderbird.exe
21.10.2005 17:17 1'063 win.ini
21.10.2005 16:41 194 cangoorank.INI
21.10.2005 16:38 131 EurekaLog.ini
21.10.2005 15:00 54'032 _BB6627C.TTF
21.10.2005 14:57 879'921 setupapi.log
19.10.2005 17:13 6'400 balloon.wav
18.10.2005 13:56 1'098 ODBC.INI
18.10.2005 07:13 1'287'880 ShellIconCache
17.10.2005 08:40 263'277 wmsetup.log
14.10.2005 00:42 54'156 QTFont.qfn
30.09.2005 07:41 1'409 QTFont.for
25.09.2005 16:26 991'694 iis5.log
25.09.2005 16:26 236'805 comsetup.log
25.09.2005 16:26 2'221 imsins.log
25.09.2005 16:26 200'422 ocgen.log
25.09.2005 16:26 16'925 ockodak.log
Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: F47B-A95E
Verzeichnis von C:\
22.10.2005 16:57 0 sys.txt
22.10.2005 16:57 13'238 system.txt
22.10.2005 16:56 1'437 systemtemp.txt
22.10.2005 16:56 115'076 system32.txt
22.10.2005 16:42 805'306'368 pagefile.sys
26.08.2005 17:58 13'030 PDOXUSRS.NET
Ich danke im Voraus für eure Hilfe und hoffe, dass die Logs so zu gebrauchen sind..
Desweiteren möcht ich mal stellvertretend für alle Hilfesuchenden ein Dank und Lob ausprechen für dieses Forum.
Sowohl den Betreibern als auch den aktiven Helfern!!
Grüsse hjh
Nachtrag (Edit):
Ich bin ziemlich sicher, dass ich den Trojaner am 19.10.05 irgendwann morgens zwischen 7 und 9 Uhr eingefangen habe..
Da hab ich zumindest die erste Warnung von AntiVir erhalten..
ich lies die Datei dan wipen.. trotzdem stürtzte die nächsten 2 Tage dann immer der IE ab..
er versucht auch jedesmal eine IP in estland zu erreichen..
Zur Zeit ist's der Mozilla der in den Osten will und IE gibt ruhe..
*achselzuck*
hjh