Habe u.a trojaner..auf meinen rechner..gebe direkt mein hijackthis log mit

#0
03.01.2006, 10:39
...neu hier

Beiträge: 8
#1 Hallo,


gebe hier meinen Hijackthis log mit:

Logfile of HijackThis v1.99.1
Scan saved at 10:31:04, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX01.078\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C215D184-BE73-46EA-903F-B54EB461F6DA} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C215D184-BE73-46EA-903F-B54EB461F6DA} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126352105343
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D4714DAD-82EE-4E98-91CF-D9EED72A3053} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/tr/filesharingctrl.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.flexview.de/InstallationsAssistent.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3A8976B-3B97-468F-BC7F-2BECAD984FD1}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing)

Ich bitte um Antwort. Danke !
Dieser Beitrag wurde am 04.01.2006 um 10:29 Uhr von kAhaber editiert.
Seitenanfang Seitenende
04.01.2006, 16:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 kAhaber

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\winmgd.win
C:\WINDOWS\system32\mouse_configurator.win

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2006, 17:52
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo Sabina,

also auf den Link klicken dann oben auf durchsuchen..dann kommen ja meine dateien.welche soll ich den durchsuchen und was soll ich dann machen?
(Habe leider nicht so viel erfahrung bei Computer)
Seitenanfang Seitenende
04.01.2006, 21:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 klicke dich durch deine Dateien, bis du findest:

C:\WINDOWS\system32\winmgd.win
C:\WINDOWS\system32\mouse_configurator.win

dann submit und den scanreport abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2006, 09:22
...neu hier

Themenstarter

Beiträge: 8
#5 Sorry, aber die Dateien finde ich echt nicht. Bist du ganz sicher das es die gibt?! Gibt es den keine andere loesung mein problem zu loesen?
Mein PC stuertz andauernd ab, das nervt echt ! ;-(
Seitenanfang Seitenende
05.01.2006, 12:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 das ist wahrscheinlich der VBS.Gaggle.E@mm
http://securityresponse.symantec.com/avcenter/venc/data/vbs.gaggle.e@mm.html

Zitat

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
kopiere hier die 4 Textdateien (3 Monate vom Datum her)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.01.2006, 09:45
...neu hier

Themenstarter

Beiträge: 8
#7 Hallo Sabina,

hier liefere ich dir meine Ergebnisse: 1)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CB0-76FD

Verzeichnis von C:\WINDOWS\system32

03.01.2006 09:26 383.254 perfh009.dat
03.01.2006 09:26 53.608 perfc009.dat
03.01.2006 09:26 394.500 perfh007.dat
03.01.2006 09:26 64.598 perfc007.dat
03.01.2006 09:26 906.552 PerfStringBackup.INI
02.01.2006 18:08 16.832 amcompat.tlb
02.01.2006 18:08 23.392 nscompat.tlb
26.12.2005 17:39 190.592 FNTCACHE.DAT
26.12.2005 17:35 148.241 NULL
09.12.2005 01:21 2.723.680 MRT.exe
03.12.2005 10:54 167.936 ie4ll_hp.exe
03.12.2005 10:54 45.056 infadsnt.dll

03.12.2005 10:54 499.712 wnasesrv.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
22.11.2005 18:22 2.206 wpa.dbl
07.11.2005 18:21 4.212 zllictbl.dat
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
01.11.2005 11:30 114.688 spacklsp.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
12.10.2005 23:11 118.784 sirenacm.dll
06.10.2005 16:59 2.272 w95inf16.dll
06.10.2005 16:59 4.608 w95inf32.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll

2)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CB0-76FD

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

06.01.2006 09:38 40.960 rtdrvmon.exe
Realtek Netzwerkkarte oder Soundkarte (Realtek Planet 2002)


06.01.2006 09:33 16.384 Perflib_Perfdata_8fc.dat
06.01.2006 09:32 512 ~DF5572.tmp
06.01.2006 09:32 32.768 ~DF5468.tmp
06.01.2006 09:32 0 vgaB.tmp
06.01.2006 09:32 0 vgaC.tmp
06.01.2006 09:31 1.236 jusched.log
05.01.2006 18:31 2.912 java_install_reg.log
05.01.2006 17:36 0 vgaA.tmp
05.01.2006 17:36 0 vga9.tmp
05.01.2006 17:00 0 qkaF.tmp
05.01.2006 15:48 0 vga8.tmp
05.01.2006 15:48 0 vga7.tmp
05.01.2006 12:40 512 ~DF3E24.tmp
05.01.2006 12:40 32.768 ~DF3D08.tmp
05.01.2006 12:40 0 vga6.tmp
05.01.2006 12:40 0 vga5.tmp
05.01.2006 11:27 66.655 2006_01rechnung_4736886286.pdf
05.01.2006 11:25 16.384 Perflib_Perfdata_a30.dat
05.01.2006 10:54 21.675 AVTMP$$$.LOG
05.01.2006 10:51 512 ~DF488B.tmp
05.01.2006 10:51 32.768 ~DF46B5.tmp
05.01.2006 10:51 0 vga4.tmp
05.01.2006 10:51 0 vga3.tmp
05.01.2006 10:30 16.384 Perflib_Perfdata_fe0.dat
05.01.2006 10:29 512 ~DF3125.tmp
05.01.2006 10:29 32.768 ~DF301A.tmp
05.01.2006 10:29 0 vga2.tmp
05.01.2006 10:29 0 vga1.tmp
05.01.2006 10:10 16.384 ~DF5367.tmp
05.01.2006 10:10 81.966 MWAV.LOG
05.01.2006 10:10 866 mwXface.log
05.01.2006 10:08 241.664 MYDB.DLL
03.01.2006 15:49 11.410 avp.klb
03.01.2006 15:49 17.323 daily.avc
03.01.2006 13:41 340.480 MWAVReg.EXE
03.01.2006 13:33 335.872 esupdate.exe
03.01.2006 13:10 377.920 mwavscan.com
03.01.2006 13:02 1.021 daily-ex.avc
03.01.2006 11:45 1.632.117 File1.sdb
03.01.2006 11:45 146.571 spydb.old
03.01.2006 11:45 118.031 File2.sdb
03.01.2006 11:45 131.388 Spyware.sdb
03.01.2006 11:45 579.964 Cid.sdb
03.01.2006 11:45 146.571 spydb.avs
03.01.2006 11:45 387.813 Dir.sdb
03.01.2006 02:31 49.909 base082.avc
03.01.2006 01:38 2.711 mwav.ini
02.01.2006 14:48 7.850 Chinese.con
02.01.2006 14:48 10.559 Finnish.con
02.01.2006 14:48 11.729 Polish.con
02.01.2006 14:48 11.462 French.con
02.01.2006 14:48 10.866 Spanish.con

3)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CB0-76FD

Verzeichnis von C:\WINDOWS

06.01.2006 09:33 1.278 win.ini
06.01.2006 09:31 159 wiadebug.log
06.01.2006 09:31 40.743 WindowsUpdate.log
06.01.2006 09:31 50 wiaservc.log
06.01.2006 09:31 0 0.log
06.01.2006 09:31 2.048 bootstat.dat
05.01.2006 19:29 1.434 SchedLgU.Txt
05.01.2006 17:01 5.864 ModemLog_Standard 56000 bps Modem.txt
05.01.2006 15:21 69 NeroDigital.ini
05.01.2006 10:46 0 setuperr.log
05.01.2006 10:46 60 setupact.log
05.01.2006 10:26 124.028 ntbtlog.txt
05.01.2006 10:10 1.125 winamp.ini
05.01.2006 10:08 0 Lic.xxx
04.01.2006 20:00 87 StillCap.ini
04.01.2006 19:27 11.338 setupapi.log
04.01.2006 19:19 0 Sti_Trace.log
04.01.2006 18:29 24 pvJ3d
04.01.2006 18:21 4.783.914 REGBK00.ZIP
03.01.2006 09:48 783 videoimp.ini
03.01.2006 09:44 54.156 QTFont.qfn
02.01.2006 18:08 1.409 QTFont.for
31.12.2005 12:00 469 lexstat.ini
31.12.2005 11:34 211 uno.ini
25.12.2005 15:33 4.333 a4w_98a.ini
17.12.2005 15:09 2.560 _MSRSTRT.EXE
01.12.2005 19:43 107.132 UninstallFirefox.exe
01.12.2005 19:43 4.243 mozver.dat
25.11.2005 18:05 1.790.298 Firefox Wallpaper.bmp
13.11.2005 09:07 303 Clony2.ini
08.11.2005 18:59 316.640 WMSysPr9.prx
01.11.2005 10:18 0 nsreg.dat
24.10.2005 08:22 292 system.ini
24.10.2005 06:44 66 TEXTware.ini
10.10.2005 00:00 25.214 xmd.ico

4) (Habe ich alle kopiert, da es nur wenige Zeilen waren)


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CB0-76FD

Verzeichnis von C:\

06.01.2006 09:42 0 sys.txt
06.01.2006 09:40 6.299 system.txt
06.01.2006 09:39 15.421 systemtemp.txt
06.01.2006 09:39 105.091 system32.txt
06.01.2006 09:31 301.989.888 pagefile.sys
05.01.2006 10:09 3 AVPCallback.log
04.01.2006 18:46 0 23990098.$$$
27.12.2005 08:42 5.129.814 AVG7DB_F.DAT
23.12.2005 16:15 12.404.209 AVG7QT.DAT
13.08.2005 07:08 1.842 log.txt
25.09.2004 20:47 211 boot.ini
25.09.2004 20:41 47.564 NTDETECT.COM
25.09.2004 20:41 251.184 ntldr
25.09.2004 20:20 0 CONFIG.SYS
25.09.2004 20:20 0 IO.SYS
25.09.2004 20:20 0 AUTOEXEC.BAT
25.09.2004 20:20 0 MSDOS.SYS
18.08.2001 13:00 4.952 bootfont.bin
Dieser Beitrag wurde am 06.01.2006 um 09:51 Uhr von kAhaber editiert.
Seitenanfang Seitenende
06.01.2006, 11:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 kAhaber

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ie4ll_hp.exe
C:\WINDOWS\system32\infadsnt.dll

-------------------------------------------------------------------
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.01.2006, 11:18
...neu hier

Themenstarter

Beiträge: 8
#9 Sabina,

den Cleaner habe ich schon vorher genutz, aber erfindet jedes mal was(meistens um die 100dateien)

Ergebniss von f-secure:

01/06/06 11:16:18 [Info]: BlackLight Engine 1.0.30 initialized
01/06/06 11:16:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/06/06 11:16:18 [Note]: 7019 4
01/06/06 11:16:18 [Note]: 7005 0
01/06/06 11:16:20 [Note]: 7006 0
01/06/06 11:16:20 [Note]: 7011 2044
01/06/06 11:16:21 [Note]: FSRAW library version 1.7.1014
01/06/06 11:17:06 [Note]: 7007 0

aber schau dir mal diesen link an, das passt auch genau auf meinen (worm) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_GEDZA.A&VSect=T
Dieser Beitrag wurde am 06.01.2006 um 11:21 Uhr von kAhaber editiert.
Seitenanfang Seitenende
06.01.2006, 11:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ie4ll_hp.exe
C:\WINDOWS\system32\infadsnt.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.01.2006, 10:28
...neu hier

Themenstarter

Beiträge: 8
#11 This is a report processed by VirusTotal on 01/07/2006 at 10:23:28 (CET) after scanning the file "ie4ll_hp.exe" file.

Antivirus Version Update Result
AntiVir 6.33.0.75 01.06.2006 no virus found
Avast 4.6.695.0 01.06.2006 no virus found
AVG 718 01.06.2006 no virus found
Avira 6.33.0.75 01.06.2006 no virus found
BitDefender 7.2 01.07.2006 no virus found
CAT-QuickHeal 8.00 01.05.2006 (Suspicious) - DNAScan
ClamAV devel-20051123 01.06.2006 no virus found
DrWeb 4.33 01.06.2006 no virus found
eTrust-Iris 7.1.194.0 01.06.2006 Win32/Propo!Trojan
eTrust-Vet 12.4.1.0 01.06.2006 Win32/Propo
Ewido 3.5 01.06.2006 no virus found
Fortinet 2.54.0.0 01.07.2006 no virus found
F-Prot 3.16c 01.07.2006 no virus found
Ikarus 0.2.59.0 01.05.2006 no virus found
Kaspersky 4.0.2.24 01.07.2006 Trojan.Win32.Crypt.t
McAfee 4669 01.06.2006 no virus found
NOD32v2 1.1355 01.06.2006 no virus found
Norman 5.70.10 01.06.2006 no virus found
Panda 9.0.0.4 01.06.2006 Suspicious file
Sophos 4.01.0 01.07.2006 no virus found
Symantec 8.0 01.07.2006 no virus found
TheHacker 5.9.2.069 01.06.2006 no virus found
UNA 1.83 01.06.2006 no virus found
VBA32 3.10.5 01.06.2006 no virus found



This is a report processed by VirusTotal on 01/07/2006 at 10:28:24 (CET) after scanning the file "infadsnt.dll" file.

Antivirus Version Update Result
AntiVir 6.33.0.75 01.06.2006 no virus found
Avast 4.6.695.0 01.06.2006 no virus found
AVG 718 01.06.2006 no virus found
Avira 6.33.0.75 01.06.2006 no virus found
BitDefender 7.2 01.07.2006 no virus found
CAT-QuickHeal 8.00 01.05.2006 no virus found
ClamAV devel-20051123 01.06.2006 no virus found
DrWeb 4.33 01.06.2006 no virus found
eTrust-Iris 7.1.194.0 01.06.2006 no virus found
eTrust-Vet 12.4.1.0 01.06.2006 Win32/Propo
Ewido 3.5 01.06.2006 no virus found
Fortinet 2.54.0.0 01.07.2006 no virus found
F-Prot 3.16c 01.07.2006 no virus found
Ikarus 0.2.59.0 01.05.2006 no virus found
Kaspersky 4.0.2.24 01.07.2006 Trojan.Win32.Crypt.t
McAfee 4669 01.06.2006 Apropos
NOD32v2 1.1355 01.06.2006 no virus found
Norman 5.70.10 01.06.2006 no virus found
Panda 9.0.0.4 01.06.2006 Suspicious file
Sophos 4.01.0 01.07.2006 no virus found
Symantec 8.0 01.07.2006 no virus found
TheHacker 5.9.2.069 01.06.2006 no virus found
UNA 1.83 01.06.2006 no virus found
VBA32 3.10.5 01.06.2006 no virus found
Seitenanfang Seitenende
07.01.2006, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" --

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:

C:\WINDOWS\system32\winmgd.win
C:\WINDOWS\system32\mouse_configurator.win
C:\WINDOWS\system32\NULL
C:\WINDOWS\system32\File.vbs
C:\WINDOWS\system32\Gedzac.vbs
C:\WINDOWS\system32\hta.vbs
C:\WINDOWS\system32\Israfel.vbs
C:\WINDOWS\system32\pubprn.vbs
C:\WINDOWS\system32\Kernel32.win
C:\WINDOWS\system32\Backup.vbs
C:\WINDOWS\system32\Template.htm
C:\WINDOWS\system32\Filezip.zip
C:\WINDOWS\system32\Regsrv.exe
C:\WINDOWS\system32\Sendi.exe
C:\WINDOWS\system32\Pkzip.exe
C:\WINDOWS\system32\AvrilLavigne.jpg
C:\WINDOWS\system32\C:\Estigma.hta
C:\WINDOWS\system32\iwn.dat
C:\WINDOWS\system32\iw.dat.
C:\WINDOWS\system32\ixn.dat
C:\WINDOWS\system32\ix.dat

C:\WINDOWS\Lic.xxx
C:\WINDOWS\pvJ3d
C:\WINDOWS\xmd.ico
C:\WINDOWS\REGBK00.ZIP
C:\WINDOWS\system32\ie4ll_hp.exe
C:\WINDOWS\system32\infadsnt.dll
C:\WINDOWS\system32\wnasesrv.exe
C:\WINDOWS\vsnct511.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten


gehe in die Registry
Start-->Ausfuenren--> regedit

bearbeiten--> suchen---> GEDZAC LABS

HKEY_LOCAL_MACHINE\Software\GEDZAC LABS <--loeschen

PC neustarten

----------------------------------------------------------------------------
http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

C:\AV-CLS --> kopiere die drei scanreporte ab und poste sie hier

------------------
vbs.gaggle.e
http://securityresponse.symantec.com/avcenter/venc/data/vbs.gaggle.e@mm.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.01.2006, 19:08
...neu hier

Themenstarter

Beiträge: 8
#13 Hijackthis=gemacht
Killbox=Wenn ich die Killbox öffne und alles richtig einstelle, d.h delet on rebot anhaken, soll ich dann jede datei einzeln reinkopieren?
Und wenn ich z.B die erste datei reinkopiere und dann auf das kreuz drücke kommt die nachricht Do you want reboot now? soll ich ja auf neinklicken, aber wenn ich auf nein klicke ist die datei weg, also nicht in der box.
Wenn ich jedoch die datei reinkopiere und auf Jadrücke wird sie ja gelöscht aber dann fährt auch jedes mal der pc runter..
Seitenanfang Seitenende
07.01.2006, 22:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 du klickst auf nein , dann die naechste Dateie rein, wieder nein usw, usw, bei der letzten Datei klickst du auf ja und killbox wird beim Hochfahren alles loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 09:31
...neu hier

Themenstarter

Beiträge: 8
#15 Meine Killbox sieht irgendwie anders aus, und da steht zum schluss nicht "all listed Files will be deleted on Next Reboot" da steht immer "do you want to remove now? Und da steht was von Single files und all files ...
Seitenanfang Seitenende