Auswertung Datfindbat - Trojanerverdacht ?

Thema ist geschlossen!
Thema ist geschlossen!
#0
08.01.2006, 23:37
Member

Beiträge: 45
#1 Auf meinem PC laufen seit 2 Tagen diverse Seiten nicht mehr und ich erhalte permanent die Meldung "Zeitüberschreitung beim Verbindungsaufbau" sowohl mit dem Firefox (den ich hauptsächlich nutze), wie auch im IE bzw. sogar im Opera. Ich kann mir nicht vorstellen, woran der Fehler liegt - daher brauche ich bitte einen fachmännischen Rat von jemandem, der sich mit so etwas auskennt.

Hier meine Auswertung der Datfindbat (auf Anraten einiger Leute hier im Forum). Ich bin exakt so vorgegangen, wie hier: http://virus-protect.org/datfindbat.html beschrieben:

---

Verzeichnis von C:\WINDOWS\system32

07.01.2006 14:02 46 DonationCoder_urlsnooper_InstallInfo.dat
07.01.2006 11:46 131.072 SpoonUninstall.exe
04.01.2006 15:20 8 wtl.dat
29.12.2005 03:54 280.064 gdi32.dll
26.12.2005 10:02 16.832 amcompat.tlb
26.12.2005 10:02 23.392 nscompat.tlb
26.12.2005 09:14 2.206 wpa.dbl
21.12.2005 23:35 176.167 rmoc3260.dll
21.12.2005 23:34 6.656 pndx5016.dll
21.12.2005 23:34 5.632 pndx5032.dll
21.12.2005 23:34 278.528 pncrt.dll
19.12.2005 17:03 98.256 FNTCACHE.DAT
08.12.2005 16:25 2.723.680 MRT.exe
02.12.2005 21:10 114.688 wmatimer.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
30.11.2005 23:15 55.296 pxcpya64.exe
30.11.2005 23:15 28.672 vxblock.dll
30.11.2005 23:15 53.248 pxinsa64.exe
30.11.2005 23:15 57.344 pxhpinst.exe
30.11.2005 23:15 155.648 pxmas.dll
30.11.2005 23:15 495.616 px.dll
30.11.2005 23:15 103.936 pxinsi64.exe
30.11.2005 23:15 368.640 pxdrv.dll
30.11.2005 23:15 105.472 pxcpyi64.exe
30.11.2005 23:15 307.200 pxwave.dll
30.11.2005 23:15 86.016 pxwma.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
10.11.2005 10:42 380.658 perfh009.dat
10.11.2005 10:42 52.880 perfc009.dat
10.11.2005 10:42 63.700 perfc007.dat
10.11.2005 10:42 391.348 perfh007.dat
10.11.2005 10:42 898.870 PerfStringBackup.INI
10.11.2005 09:57 269 spupdwxp.log
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 19:16 5.618 jupdate-1.5.0_05-b05.log
24.10.2005 21:06 25.065 wmpscheme.xml
24.10.2005 21:00 396 spdwnwxp.log
22.10.2005 23:01 0 TFTP3156
22.10.2005 22:55 0 TFTP2804
22.10.2005 10:27 124 qggxj.bat
22.10.2005 10:13 0 TFTP1504
22.10.2005 09:16 0 TFTP1776
22.10.2005 00:59 0 TFTP2256
21.10.2005 23:56 0 TFTP3936
21.10.2005 23:50 0 TFTP3532
21.10.2005 23:32 0 TFTP3364
21.10.2005 22:39 0 TFTP4068
21.10.2005 22:28 0 TFTP3496
21.10.2005 21:53 0 TFTP3032
21.10.2005 21:41 0 TFTP1604
21.10.2005 21:29 0 TFTP1396
21.10.2005 21:06 4.608 w95inf32.dll
21.10.2005 21:06 2.272 w95inf16.dll
21.10.2005 20:14 324 $winnt$.inf

21.10.2005 20:12 2.951 CONFIG.NT
21.10.2005 20:10 488 logonui.exe.manifest
21.10.2005 20:10 488 WindowsLogon.manifest
21.10.2005 20:10 749 sapi.cpl.manifest
21.10.2005 20:10 749 nwc.cpl.manifest
21.10.2005 20:10 749 ncpa.cpl.manifest
21.10.2005 20:10 749 cdplayer.exe.manifest
21.10.2005 20:10 749 wuaucpl.cpl.manifest
21.10.2005 20:09 21.740 emptyregdb.dat
21.10.2005 20:05 0 h323log.txt
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

---

Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 3CE1-BA3B

Verzeichnis von C:\DOKUME~1\ALEX~1.MAI\LOKALE~1\Temp

08.01.2006 23:05 16.384 Perflib_Perfdata_874.dat
08.01.2006 23:04 16.384 Perflib_Perfdata_3bc.dat
08.01.2006 23:04 16.384 Perflib_Perfdata_894.dat
08.01.2006 23:04 32.768 ~DFDC0A.tmp
08.01.2006 23:03 612 jusched.log
08.01.2006 21:44 2.364 INDEX.INI
08.01.2006 12:17 0 CacheInfo.dnl
07.01.2006 21:30 32.768 ~DFEA6F.tmp
8 Datei(en) 117.664 Bytes
0 Verzeichnis(se), 3.788.742.656 Bytes frei

---

Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 3CE1-BA3B

Verzeichnis von C:\WINDOWS

08.01.2006 23:03 0 0.log
08.01.2006 23:01 2.048 bootstat.dat
08.01.2006 23:01 1.864.236 WindowsUpdate.log
08.01.2006 23:00 8.702 SchedLgU.Txt
08.01.2006 22:51 116 NeroDigital.ini
07.01.2006 21:58 122 telephon.ini
07.01.2006 21:34 74.098 ntbtlog.txt
07.01.2006 19:05 2.928 cdplayer.ini
07.01.2006 17:09 391.270 setupapi.log
06.01.2006 15:41 139.531 wmsetup.log
06.01.2006 10:48 215 wiadebug.log
06.01.2006 10:48 50 wiaservc.log
06.01.2006 10:43 38.040 ocmsn.log
06.01.2006 10:43 154.528 iis6.log
06.01.2006 10:43 1.355 imsins.log
06.01.2006 10:43 398.720 tsoc.log
06.01.2006 10:43 187.691 ntdtcsetup.log
06.01.2006 10:43 300.253 comsetup.log
06.01.2006 10:43 11.105 KB912919.log
06.01.2006 10:42 568.789 ocgen.log
06.01.2006 10:42 51.270 msgsocm.log
06.01.2006 10:42 993.808 FaxSetup.log
06.01.2006 10:42 31.966 updspapi.log
29.12.2005 22:22 780 ULead32.ini
26.12.2005 11:17 495 wmsetup10.log
26.12.2005 09:55 524 win.ini
26.12.2005 09:52 316.640 WMSysPr9.prx
21.12.2005 07:52 2.359.350 Firefox Wallpaper.bmp
14.12.2005 21:27 36 kpcms.ini
14.12.2005 07:56 10.992 KB910437.log
14.12.2005 07:56 1.393 imsins.BAK
14.12.2005 07:55 16.801 KB905915.log
12.12.2005 23:11 4.867 mozver.dat
02.12.2005 20:55 724.992 iun6002.exe
23.11.2005 07:38 171.796 setupact.log
22.11.2005 23:49 36.226 KB904706.log
20.11.2005 16:48 14.911 KB896424.log
20.11.2005 16:48 12.706 KB887472.log
20.11.2005 16:48 12.206 KB896688.log
10.11.2005 10:35 10.463 KB907865.log
10.11.2005 10:35 10.285 KB906569.log
10.11.2005 10:35 224.422 KB905749.log
10.11.2005 10:35 219.207 KB905414.log
10.11.2005 10:34 10.833 KB904412.log
10.11.2005 10:34 10.136 KB903234.log
10.11.2005 10:34 228.705 KB902400.log
10.11.2005 10:34 206.769 KB901214.log
10.11.2005 10:34 218.874 KB901017.log
10.11.2005 10:34 12.266 KB900930.log
10.11.2005 10:33 229.921 KB900725.log
10.11.2005 10:33 209.836 KB899591.log
10.11.2005 10:33 12.357 KB899589.log
10.11.2005 10:33 12.205 KB899588.log
10.11.2005 10:33 210.795 KB899587.log
10.11.2005 10:32 26.385 KB898461.log
10.11.2005 10:32 12.390 KB897663.log
10.11.2005 10:32 10.353 KB896626.log
10.11.2005 10:32 205.587 KB896428.log
10.11.2005 10:32 211.796 KB896423.log
10.11.2005 10:32 206.499 KB896422.log
10.11.2005 10:31 210.158 KB896358.log
10.11.2005 10:31 12.208 KB894391.log
10.11.2005 10:31 210.732 KB893756.log
10.11.2005 10:31 10.008 KB893357.log
10.11.2005 10:31 214.075 KB890046.log
10.11.2005 10:31 8.387 KB893086.log
10.11.2005 10:30 205.766 KB893066.log
10.11.2005 10:30 195.401 KB891781.log
10.11.2005 10:30 211.382 KB890859.log
10.11.2005 10:30 5.998 KB890831.log
10.11.2005 10:29 7.786 KB890175.log
10.11.2005 10:29 7.897 KB890047.log
10.11.2005 10:29 6.830 KB889527.log
10.11.2005 10:29 6.078 KB889016.log
10.11.2005 10:29 196.780 KB888302.log
10.11.2005 10:28 195.425 KB888113.log
10.11.2005 10:28 7.957 KB887742.log
10.11.2005 10:28 7.321 KB886716.log
10.11.2005 10:28 5.676 KB886677.log
10.11.2005 10:28 21.922 KB886540.log
10.11.2005 10:27 7.018 KB886185.log
10.11.2005 10:27 7.005 KB885894.log
10.11.2005 10:27 3.950 KB885884.log
10.11.2005 10:26 192.957 KB885836.log
10.11.2005 10:26 198.774 KB885835.log
10.11.2005 10:26 6.704 KB885523.log
10.11.2005 10:26 5.753 KB885250.log
10.11.2005 10:26 4.787 KB885222.log
10.11.2005 10:26 4.301 KB884883.log
10.11.2005 10:25 3.188 KB884020.log
10.11.2005 10:25 191.504 KB873339.log
10.11.2005 10:25 4.706 KB873333.log
10.11.2005 10:12 1.456 COM+.log
10.11.2005 10:09 77.436 DirectX.log
10.11.2005 09:58 91.648 spupdsvc.log
10.11.2005 09:58 592 DtcInstall.log
10.11.2005 09:57 1.855 OEWABLog.txt
10.11.2005 09:55 1.008.244 svcpack.log
10.11.2005 09:42 400 cmsetacl.log
10.11.2005 09:42 299.552 WMSysPrx.prx
10.11.2005 09:41 1.600 sessmgr.setup.log
10.11.2005 09:18 1.435 medctroc.Log
02.11.2005 00:05 67 Power Video Converter.INI
25.10.2005 21:35 29.495 KB905495.log
25.10.2005 21:33 23.879 KB896688-IE6SP1-20051004.130236.log
25.10.2005 19:59 11.780 KB893803v2.log
25.10.2005 19:57 5.515 KB842773.log
25.10.2005 19:57 1.285.042 setupapi.log.1.old
24.10.2005 22:13 99.970 UninstallFirefox.exe
24.10.2005 21:44 149 wsdu.log
24.10.2005 21:44 874 WINNT32.LOG
24.10.2005 21:44 225 DHCPUPG.LOG
24.10.2005 21:03 342.665 spuninst.log
24.10.2005 20:28 642 nsw.log
22.10.2005 23:58 4.161 ODBCINST.INI
22.10.2005 23:58 63.966 dasetup.log
22.10.2005 23:54 105 ODBC.INI
22.10.2005 23:54 2.990.540 setupapi.log.0.old
22.10.2005 23:53 960 vminst.log
22.10.2005 23:53 28.691 KB831937.log
22.10.2005 23:52 28.842 KB825116.log
22.10.2005 23:51 28.424 KB823980.log
22.10.2005 23:51 1.108 KB837272.log
22.10.2005 23:51 30.088 KB832353.log
22.10.2005 23:46 20.683 KB840374.log
22.10.2005 23:46 25.240 KB837001.log
22.10.2005 23:45 23.656 KB835732.log
22.10.2005 23:45 18.943 KB833998.log
22.10.2005 23:45 21.564 KB828741.log
22.10.2005 23:44 16.049 KB828028.log
22.10.2005 23:44 15.988 KB828035.log
22.10.2005 23:43 17.209 KB826942.log
22.10.2005 23:42 13.395 KB825119.log
22.10.2005 23:41 14.453 KB824141.log
22.10.2005 23:40 14.073 KB824105.log
22.10.2005 23:40 13.606 KB823559.log
22.10.2005 23:39 13.599 KB823182.log
22.10.2005 23:38 16.163 KB822603.log
22.10.2005 23:37 12.746 KB821588.log
22.10.2005 23:36 13.014 KB821253.log
22.10.2005 23:35 13.644 KB820291.log
22.10.2005 23:34 13.325 KB820128.log
22.10.2005 23:33 11.735 KB818835.log
22.10.2005 23:32 13.954 Q818043.log
22.10.2005 23:32 15.130 KB817778.log
22.10.2005 23:31 11.235 KB817027.log
22.10.2005 23:30 10.970 KB812415.log
22.10.2005 23:29 12.626 KB810217.log
22.10.2005 23:29 9.586 Q329441.log
22.10.2005 23:28 11.680 KB327979.log
22.10.2005 23:28 10.398 Q817606.log
22.10.2005 23:27 9.542 Q817287.log
22.10.2005 23:26 9.231 Q816982.log
22.10.2005 23:26 10.715 Q816073.log
22.10.2005 23:25 9.085 Q815424.log
22.10.2005 23:25 9.160 Q814995.log
22.10.2005 23:24 7.170 Q814033.log
22.10.2005 23:24 6.819 Q812110.log
22.10.2005 23:23 6.941 Q812035.log
22.10.2005 23:22 5.842 Q811777.log
22.10.2005 23:22 6.114 Q811630.log
22.10.2005 23:21 6.347 Q811114.log
22.10.2005 23:21 6.119 Q810833.log
22.10.2005 23:20 8.217 Q810565.log
22.10.2005 23:19 5.172 Q810272.log
22.10.2005 23:19 4.497 Q810032.log
22.10.2005 23:18 5.173 Q329834.log
22.10.2005 23:18 4.491 Q329692.log
22.10.2005 23:17 5.317 q329256.log
22.10.2005 23:17 4.698 Q329115.log
22.10.2005 23:16 3.980 Q329048.log
22.10.2005 23:16 3.979 Q328515.log
22.10.2005 23:15 4.995 Q328310.log
22.10.2005 23:15 9.946 Q323183.log
22.10.2005 23:14 2.638 Q322011.log
21.10.2005 23:07 0 PROTOCOL.INI
21.10.2005 21:24 0 nsreg.dat
21.10.2005 21:21 4.249 mixerdef.ini
21.10.2005 21:19 26 CMCDPLAY.INI
21.10.2005 21:19 296 CMISETUP.INI
21.10.2005 20:16 8.192 REGLOCS.OLD
21.10.2005 20:12 0 control.ini
21.10.2005 20:11 240 Windows Update.log
21.10.2005 20:10 749 WindowsShell.Manifest
21.10.2005 20:08 36 vb.ini
21.10.2005 20:08 37 vbaddin.ini
21.10.2005 20:04 0 Sti_Trace.log
21.10.2005 20:02 1.348 regopt.log
21.10.2005 20:02 231 system.ini
21.10.2005 20:01 0 setuperr.log

---

Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 3CE1-BA3B

Verzeichnis von C:\

08.01.2006 23:34 0 sys.txt
08.01.2006 23:32 13.641 system.txt
08.01.2006 23:30 675 systemtemp.txt
08.01.2006 23:26 110.282 system32.txt
08.01.2006 23:01 402.653.184 PAGEFILE.SYS
10.11.2005 09:42 259 boot.ini
10.11.2005 09:27 47.564 NTDETECT.COM
10.11.2005 09:27 251.184 ntldr
15.05.2002 01:54 0 IO.SYS
15.05.2002 01:54 0 MSDOS.SYS
15.05.2002 01:54 0 AUTOEXEC.BAT
15.05.2002 01:54 0 CONFIG.SYS
15.05.2002 01:33 512 BOOTSECT.DOS
18.08.2001 12:00 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE
15 Datei(en) 403.244.557 Bytes
0 Verzeichnis(se), 3.788.718.080 Bytes frei


Nur leider komme ich jetzt mit diesen Angaben nicht weiter ...
Seitenanfang Seitenende
08.01.2006, 23:40
Member

Themenstarter

Beiträge: 45
#2 Zur Ergänzung des vorhergehenden noch mein Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:38:36, on 08.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Alex.MAICOMPJ-9D7Z5J\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129922887841
O17 - HKLM\System\CCS\Services\Tcpip\..\{1703C5CC-B85B-4E35-AC94-33EFC9FCEDC2}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{1703C5CC-B85B-4E35-AC94-33EFC9FCEDC2}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Ich bedanke mich bei allen, die irgendwie weiterhelfen können ! Danke !!!
Seitenanfang Seitenende
08.01.2006, 23:49
Member

Themenstarter

Beiträge: 45
#3 Ich wollte noch die Info nachreichen, daß SPYBOT nichts gefunden hat - auch Adaware hat nichts finden können ...
Seitenanfang Seitenende
09.01.2006, 11:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 CelticDreams

22.10.2005 23:01 0 TFTP3156
22.10.2005 22:55 0 TFTP2804
22.10.2005 10:27 124 qggxj.bat
22.10.2005 10:13 0 TFTP1504
22.10.2005 09:16 0 TFTP1776
22.10.2005 00:59 0 TFTP2256
21.10.2005 23:56 0 TFTP3936
21.10.2005 23:50 0 TFTP3532
21.10.2005 23:32 0 TFTP3364
21.10.2005 22:39 0 TFTP4068
21.10.2005 22:28 0 TFTP3496
21.10.2005 21:53 0 TFTP3032
21.10.2005 21:41 0 TFTP1604
21.10.2005 21:29 0 TFTP1396

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)


das sind alles anonyme Server, mit denen sich ein Hacker (Backdoor in dein System einloggt und alles runterlaedt, was er will....)

Willst du reinigen oder formatieren?

--------------------------------------------------

C:\WINDOWS\system32\qggxj.bat --> rechtsklick--> oeffnen mit dem Editor--> kopiere den Text hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 19:42
Member

Themenstarter

Beiträge: 45
#5 Hallo Sabina,

Danke für die prompte Antwort. Super Service hier !

Mein PC wurde erst Ende Oktober neu aufgesetzt, ich würde auf alle Fälle gerne eine Reinigung versuchen ... wenn möglich ?

Auf Anraten hier im Forum habe ich mir gestern Abend noch Counter Spy geladen und eine Reinigung durchgeführt - hier wurden 2 Schmarotzer gefunden. Macht es Sinn, wenn ich das Protokoll hier auch poste ?

Die von Dir genannte Datei kann ich komischerweise im Moment nicht (mehr) finden.
...

Was rätst Du mir ? Wie soll ich vorgehen ?
Seitenanfang Seitenende
09.01.2006, 19:45
Member

Themenstarter

Beiträge: 45
#6 Hier noch die Counter Spy Auswertung:

Spyware Scan Details
Start Date: 08.01.2006 23:57:47
End Date: 09.01.2006 00:53:07
Total Time: 55 mins 20 secs

Detected spyware

SearchMiracle.EliteBar Browser Plug-in more information...
Details: Adds a search hijacker toolbar to Internet Explorer called Elite Bar.
Status: Deleted

Infected files detected
c:\windows\etb\xml\adult.tbr
c:\windows\etb\xml\default.tbr
c:\windows\etb\xml\search.mnu
c:\windows\etb\etb.ini
c:\windows\etb\etl

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform iebar


WindUpdates.MediaGateway Adware more information...
Details: WindUpdates is responsible for downloading adware.
Status: Deleted

Infected files detected
C:\Program Files\Media Gateway\Info.txt

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\Media Gateway
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\Media Gateway UninstallString C:\Program Files\Media Gateway\MediaGateway.exe /Remove
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\Media Gateway DisplayName Media Gateway


WinAD Adware more information...
Details: WinAd open pop-up windows, displaying german language content.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Media Gateway DownloadPath \temp
HKEY_LOCAL_MACHINE\SOFTWARE\Media Gateway Language en


WindUpdates.MediaAccess Adware more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\Media Gateway
HKEY_LOCAL_MACHINE\Software\Media Gateway param 390c189f2514f241e113542c67fe33ace7f91a4aac7f1c1a:3136396
238663934366537386562386437383030333238316236323065663533
HKEY_LOCAL_MACHINE\Software\Media Gateway track 0
HKEY_LOCAL_MACHINE\Software\Media Gateway Updating 1
HKEY_LOCAL_MACHINE\Software\Media Gateway reqcount 5
HKEY_LOCAL_MACHINE\Software\Media Gateway DownloadPath \temp
HKEY_LOCAL_MACHINE\Software\Media Gateway Language en
HKEY_LOCAL_MACHINE\Software\Media Gateway SoftwareTable
436D8EB9402BABFFB0F49002FEB138EA3748AE513CDB3D860E6BE3A
A96C8593AA41B3274B134346B353686EAF1942E5C8577865446CBF621A0D
9BACFB6B241BCC99E05771F
2BBDDBA72E3FD849A603B3A1558BC9B365C1CB8C28DBD6BB6099653D244D
HKEY_LOCAL_MACHINE\Software\Media Gateway Request
436C84AE4139B9F9EBADFB69AE8467A41F51F50F3BD717F30860B7
A48CB02962AA6C6C75E53B366D3138CA9FA9962E518A4480581FDEBB71AD8
198C1A0EB53B39A934B1F4973E09EE076658639F140EBE65284B9E53F9687812
FD4C1C930C3367722470048C0
HKEY_LOCAL_MACHINE\Software\Media Gateway LastUpdate 1130789295
Seitenanfang Seitenende
09.01.2006, 23:14
...neu hier

Beiträge: 3
#7 hab au jede menge probleme! habe vor kurzem regrun installiert...hat aba auch nicht viel genutzt...auf jeden fall ich zurzeit immer volle cpu auslastung und es funktioniert einfach gar nix...
ich hoffe ihr könnt mir helfen!


Logfile of HijackThis v1.99.1
Scan saved at 23:12:14, on 09.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\netddesrv.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\dllmgr64.exe
C:\WINDOWS\System32\Netlib.exe

C:\Dokumente und Einstellungen\AnD1\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru
awaps.net ca.com dispatch.mcafee.com download.mcafee.com
download.microsoft.com downloads.microsoft.com engine.awaps.net
f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com
liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com

my-etrust.com nai.com networkassociates.com office.microsoft.com
phx.corporate-ir.net secure.nai.com securityresponse.symantec.com
service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com
symantec.com update.symantec.com updates.symantec.com us.mcafee.com
vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com
www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru
www.mcafee.com www.my-etrust.com www.nai.com
www.networkassociates.com www.sophos.com www.symantec.com
www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com


O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\geeba.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\jkklj.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [System Toolkit] C:\Dokumente und Einstellungen\AnD1\Desktop\AdbeRdr60_deu_full.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Ia`X] C:\WINDOWS\System32\oovdavoqqvsgxg.exe
O4 - HKLM\..\Run: [SwReLyIsZ] C:\WINDOWS\System32\nyxxbqftj.exe
O4 - HKLM\..\RunServices: [Windows CMS Protocol] cmss.exe
O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe
O4 - HKLM\..\RunServices: [Microsoft SDKb] mswinsdl.exe
O4 - HKLM\..\RunServices: [Microsoft sddcE Contol] taskmnegr.exe
O4 - HKLM\..\RunServices: [Microsoft Application Viewer] msappview32.exe
O4 - HKLM\..\RunServices: [SwReLyIsZ] C:\WINDOWS\System32\nyxxbqftj.exe
O4 - HKLM\..\RunServices: [Ia`X] C:\WINDOWS\System32\oovdavoqqvsgxg.exe
O4 - HKLM\..\RunServices: [intel Update Drivers] updaters.exe


O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe


O4 - HKCU\..\Run: [Registry] "C:\Programme\Greatis\RegRunSuite\lsoon.exe" -1 30 "C:\Programme\Greatis\RegRunSuite\rescue.exe" /a "c:\backreg\rstore.ini"
O4 - HKCU\..\RunServices: [intel Update Drivers] updaters.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{220B231A-1F5A-41DC-AAA0-927F0F6C7479}: NameServer = 217.237.150.141 217.237.150.97
O20 - Winlogon Notify: geeba - C:\WINDOWS\System32\geeba.dll
O20 - Winlogon Notify: jkklj - C:\WINDOWS\SYSTEM32\jkklj.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RmlzY2hlciBBbmRyZWFz\command.exe (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINDOWS\mspath.exe (file missing)
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)


hab da glaub ziemlich viel Schei... drauf, hab auch schon versucht dass ein oder andere runter zu bekomme... hat nur nicht geklappt:p

also BBBBBIIIIITTTTTTTTTTTEEEE helft mir !!






hier noch datfindbat

Verzeichnis von C:\WINDOWS\system32

09.01.2006 23:18 340.836 abeeg.ini2
09.01.2006 22:45 72 i
09.01.2006 22:40 340.538 abeeg.bak2
09.01.2006 22:38 41.681 yvfhjyttvd.exe
09.01.2006 22:38 41.687 ssnrnicqepx.exe
09.01.2006 22:38 41.681 rapzbbqcvcad.exe
09.01.2006 20:52 0 eraseme_85384.exe
09.01.2006 20:04 211.932 win32oleupdate.exe
09.01.2006 20:00 23.040 netddesrv.exe
09.01.2006 19:54 41.687 zgbxxrcdadqjqx.exe
09.01.2006 19:54 41.673 jtvhjwloquczui.exe
09.01.2006 19:54 41.687 ntgdv.exe
09.01.2006 19:54 41.687 bfcchyvdr.exe
09.01.2006 19:52 41.677 sfqibnlq.exe

09.01.2006 17:21 1.806 AUTOEXEC.NT
09.01.2006 17:21 2.951 CONFIG.NT
09.01.2006 17:04 218.584 eraseme_40252.exe
09.01.2006 16:59 47.616 Netlib.exe
09.01.2006 00:13 340.646 abeeg.tmp
09.01.2006 00:13 340.662 abeeg.ini
08.01.2006 22:41 0 eraseme_03834.exe
08.01.2006 22:28 41.687 pwrtjvybntkjf.exe
08.01.2006 22:28 41.673 nveobcqileb.exe
08.01.2006 22:28 41.681 qbscrrhbih.exe
08.01.2006 18:57 192.982 win32.exe
07.01.2006 19:29 41.681 afhgctmgixk.exe
07.01.2006 19:13 1.112 .networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
07.01.2006 19:03 41.687 rxzguprbgxbkf.exe
07.01.2006 19:03 41.681 rkrdvtvnx.exe
07.01.2006 19:01 41.687 kqtpgb.exe
07.01.2006 18:53 41.681 xkpaxizkahc.exe
07.01.2006 18:53 41.681 zrlmmdbjq.exe
07.01.2006 18:52 41.673 fvklazofypdk.exe
07.01.2006 18:52 41.681 wkbcaxiewkv.exe
07.01.2006 18:51 2.206 wpa.dbl
06.01.2006 22:52 41.681 sjewugkfamvnm.exe
06.01.2006 22:32 41.682 mzqifdmt.exe
06.01.2006 22:18 41.681 pgoersskixc.exe
06.01.2006 22:09 41.682 jtwvayezmi.exe
06.01.2006 22:00 41.681 ihkiupekqd.exe
06.01.2006 21:46 41.673 vfiohclib.exe
06.01.2006 21:38 41.687 ksqeqcocuhjxvi.exe
06.01.2006 21:32 41.673 dwatnnr.exe
06.01.2006 20:52 41.673 slsctdhtezlh.exe
06.01.2006 20:52 41.687 opbuny.exe
06.01.2006 19:24 41.681 jqpnbwu.exe
06.01.2006 19:06 41.687 rigubgtyfkhu.exe
06.01.2006 18:39 41.687 wbwqykrmgu.exe
06.01.2006 18:39 41.681 mkwlkviu.exe
06.01.2006 18:39 41.681 slehi.exe
06.01.2006 15:28 41.673 iasjzsmtv.exe
06.01.2006 13:16 41.681 rydfq.exe
05.01.2006 21:34 41.687 uiiilw.exe
05.01.2006 21:25 41.687 hoosgrdhyikbtt.exe
05.01.2006 21:23 41.682 llcdoeznsaa.exe
05.01.2006 21:00 41.673 grakegzmoncia.exe
05.01.2006 21:00 41.681 zhcauhazo.exe
05.01.2006 00:05 192.982 ywin32.exe
04.01.2006 23:52 0 TFTP1864
04.01.2006 23:39 47.616 eraseme_53853.exe
04.01.2006 21:36 323 dlrvn.htm
04.01.2006 20:21 47.616 eraseme_64502.exe
01.01.2006 17:10 43.008 eraseme_48471.exe
31.12.2005 16:12 47.616 eraseme_54484.exe
30.12.2005 15:06 0 eraseme_12363.exe
29.12.2005 19:08 35.853 ddabc.dll
29.12.2005 16:26 0 eraseme_70057.exe
29.12.2005 15:11 337.601 abeeg.bak1
29.12.2005 15:11 557.108 geeba.dll
29.12.2005 15:09 687.592 atmtd.dll._
29.12.2005 15:09 687.592 atmtd.dll
28.12.2005 22:02 0 eraseme_15438.exe
28.12.2005 21:47 35.853 awtsr.dll
28.12.2005 20:02 35.853 pmnll.dll
28.12.2005 19:30 35.853 jkhhh.dll
28.12.2005 17:26 35.853 jkkjg.dll
28.12.2005 17:02 35.853 jkklj.dll
28.12.2005 16:43 0 TFTP1812

28.12.2005 16:42 39.992 perfc009.dat
28.12.2005 16:42 311.604 perfh009.dat
28.12.2005 16:42 48.156 perfc007.dat
28.12.2005 16:42 316.594 perfh007.dat
28.12.2005 16:42 723.744 PerfStringBackup.INI
28.12.2005 16:41 91.888 FNTCACHE.DAT
28.12.2005 16:22 25.065 wmpscheme.xml
28.12.2005 16:18 261 $winnt$.inf
28.12.2005 16:14 16.832 amcompat.tlb
28.12.2005 16:14 23.392 nscompat.tlb
28.12.2005 16:12 488 WindowsLogon.manifest
28.12.2005 16:12 488 logonui.exe.manifest
28.12.2005 16:12 749 nwc.cpl.manifest
28.12.2005 16:12 749 sapi.cpl.manifest
28.12.2005 16:12 749 wuaucpl.cpl.manifest
28.12.2005 16:12 749 cdplayer.exe.manifest
28.12.2005 16:12 749 ncpa.cpl.manifest
28.12.2005 16:09 21.740 emptyregdb.dat
28.12.2005 16:06 0 h323log.txt
05.12.2005 06:12 239.066 pxhpinst.exe
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 56.320 pxinsa64.exe
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 172.032 pxmas.dll
02.11.2005 00:44 305.618 tsuninst.exe
07.10.2005 12:50 483.328 actskn45.ocx
28.09.2005 22:29 693.248 DivX.dll
28.09.2005 22:29 688.128 divx_xx07.dll
28.09.2005 22:29 688.128 divx_xx0c.dll
28.09.2005 22:29 671.744 divx_xx11.dll
16.09.2005 21:17 733.184 divxdec.ax
08.09.2005 15:49 86.016 dpl100.dll
08.09.2005 15:49 589.824 dpuGUI11.dll
08.09.2005 15:49 200.704 dtu100.dll
Dieser Beitrag wurde am 09.01.2006 um 23:30 Uhr von sf-future editiert.
Seitenanfang Seitenende
09.01.2006, 23:50
Member

Themenstarter

Beiträge: 45
#8 Sabina, was ich noch anmerken wollte - ich hatte tatsächlich um den 21./22.10. einen FTP-Zugang installiert ... könnte es hier irgendeinen Zusammenhang geben ???
Seitenanfang Seitenende
10.01.2006, 00:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 CelticDreams

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\TFTP3156
C:\WINDOWS\system32\TFTP2804
C:\WINDOWS\system32\qggxj.bat
C:\WINDOWS\system32\TFTP1504
C:\WINDOWS\system32\TFTP1776
C:\WINDOWS\system32\TFTP2256
C:\WINDOWS\system32\TFTP3936
C:\WINDOWS\system32\TFTP3532
C:\WINDOWS\system32\TFTP3364
C:\WINDOWS\system32\TFTP4068
C:\WINDOWS\system32\TFTP3496
C:\WINDOWS\system32\TFTP3032
C:\WINDOWS\system32\TFTP1604
C:\WINDOWS\system32\TFTP1396

PC neustarten

loesche, falls es noch da ist:
c:\windows\etb

scanne mit Kaspersky und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2006, 00:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 sf-future

es hat so und so keinen Zweck...du musst formatieren...und da habe ich noch nicht die anderen 3 Logs von Datfindbat gesehen....

so einen verseuchten PC sieht man selten...einsamer Record lol ...und keine WindowsUpdates...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2006, 19:31
...neu hier

Beiträge: 3
#11 ach du Schei...:p hab erst vor ner woche formatiert...hhmm kannsch mir dann vllt mal sagen wie ich des unterbinden kann? also virusprogramm, adaware firewall und des ganze züg... wäre nett!

bin dann malm formatieren! meld mich nachher nomal!

cya






so windows is wieder drauf...
Dieser Beitrag wurde am 10.01.2006 um 20:40 Uhr von sf-future editiert.
Seitenanfang Seitenende
10.01.2006, 21:11
Member

Themenstarter

Beiträge: 45
#12 Hallo Sabina,

nochmals 1000 Dank für Deine schnellen Bemühungen und Hilfestellungen.

Also, die Killbox habe ich installiert und die entsprechenden Dateien auch so reinkopiert - PC neu gestartet, worauf die entsprechenden Dateien zwar noch vorhanden, aber alle 0 KB hatten. Ich habe sie hierauf manuell aus dem Explorer gelöscht (war das okay ?). Die Datei c:\windows\etb war nach dem Neustart nicht mehr vorhanden.

So zum nächsten Vorgang. Nach Deiner Empfehlung habe ich den PC mit Kaspersky Online gescannt, wobei dieser den Backdoor.IRC.Zapchast gefunden hat. Nachstehend die Log-Datei:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, January 10, 2006 21:02:51
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 10/01/2006
Kaspersky Anti-Virus database records: 160040
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\ALEX~1.MAI\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 16547
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 1114 sec

Infected Object Name - Virus Name
C:\WINDOWS\system\DRIVER\ntauth.dll Infected: Backdoor.IRC.Zapchast

Scan process completed.

---

Nun meine Frage - kann ich diese betroffene Datei ohne weiteres löschen bzw. mit der Killbox erneut löschen lassen ? Wozu brauche ich die ntauh.dll ?

Ich kann mir schon vorstellen, daß dies ziemlich aufwendig (und nervenaufreibend wird) - Backdoor hört sich schon heftig genug an ... wie gesagt, der PC wurde erst im Oktober neu aufgesetzt.

Ich sage nochmals Danke für Deine Hilfe ! Ich weiß nicht, was ich ohne Dich + das Board hier derzeit tun würde ... Danke !
Seitenanfang Seitenende
10.01.2006, 21:30
...neu hier

Beiträge: 3
#13 sry wenn ich immer zwischen rein schreib!

hab schon wieder so n Schei... drauf ;)

hab jetzt nomal gescannt...hoffentlich kann man jetzt zumindest no was machen!

Verzeichnis von C:\WINDOWS\system32

10.01.2006 20:52 72 i
10.01.2006 20:51 58 o
10.01.2006 20:46 0 eraseme_08348.exe

10.01.2006 20:45 25.065 wmpscheme.xml
10.01.2006 20:40 150.016 FirewallingV10.exe
10.01.2006 20:37 0 eraseme_65288.exe

10.01.2006 20:35 316.594 perfh007.dat
Seitenanfang Seitenende
10.01.2006, 22:05
Member

Themenstarter

Beiträge: 45
#14 sf-future, Danke, daß Du Dich in meinem Thread breit machst ... ;)

Sabina, ich hatte vorhin nochmals einen erneuten Scan mit HijackThis durchlaufen lassen. Nach meinem Empfinden, ist das aktuelle Log doch relativ "sauber", oder ? Immerhin habe ich es geschafft, daß der letzte Eintrag nicht mehr vorhanden ist:

Logfile of HijackThis v1.99.1
Scan saved at 21:57:01, on 10.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129922887841
O17 - HKLM\System\CCS\Services\Tcpip\..\{1703C5CC-B85B-4E35-AC94-33EFC9FCEDC2}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{1703C5CC-B85B-4E35-AC94-33EFC9FCEDC2}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Mir ist allerdings noch nicht ganz klar warum diese beiden Server hier 2 x bzw. doppelt auftauchen - ich vermute, daß ich mein derzeitiger aktueller DSL-Zugang zu Freenet. Wenn ich den fixe, bin ich nicht mehr online ...

O17 - HKLM\System\CCS\Services\Tcpip\..\{1703C5CC-B85B-4E35-AC94-33EFC9FCEDC2}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{1703C5CC-B85B-4E35-AC94-33EFC9FCEDC2}: NameServer = 194.97.173.124 194.97.173.125
Seitenanfang Seitenende
11.01.2006, 01:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 CelticDreams

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

wincntrl.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

MS Dns Service

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

ntauth

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

------------------------------------------------------------------

HijackThis (StartupListe)
Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)

------------------
Info:
http://www.virus-protect.org/artikel/dienste/runas.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: