download.trojan - was nun? was tun?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
26.01.2006, 18:34
...neu hier
Beiträge: 9 |
||
|
||
27.01.2006, 01:45
Ehrenmitglied
Beiträge: 29434 |
#2
ich schaue es mir mal an
Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.01.2006, 11:52
...neu hier
Themenstarter Beiträge: 9 |
#3
hallo sabina!
vielen dank für´s antworten. ich habe zumindest einen versuch gewagt, und deine anweisungen befolgt. vielleicht kannst du jetzt ein orakel erstellen auf jeden fall vielen dank nochmal für deine bemühungen. lg reimar (anszwadrei) Logfile of HijackThis v1.99.1 Scan saved at 11:40:54, on 27.01.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\LVComS.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\system32\msbitsec.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Sony\CONNECTAutoUpdate\CONNECTAutoUpdate.exe C:\Programme\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe C:\Programme\Gemeinsame Dateien\Sony Shared\GMR\GMRMan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Egon\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\pmkli.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: pmkli - C:\WINDOWS\SYSTEM32\pmkli.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Microsoft Background Intelligent Transfer Update Version 2.0 (MBIT) - Unknown owner - C:\WINDOWS\system32\msbitsec.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Fsk\SonySCSIHelperService.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
||
27.01.2006, 15:36
Ehrenmitglied
Beiträge: 29434 |
#4
ein PC ohne Windowsupdates.... nun ja....
da muss ich tiefer graben: Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) -------------------------------------------------------------------------- stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.01.2006, 18:55
...neu hier
Themenstarter Beiträge: 9 |
#5
hallo sabina!
keine ahnung warum mein windows nicht updatet. offensichtkich macht das nur der norton. lg reimar REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 27.01.2006 18:39:30 for strings: ; '{00dbdac8-4691-4797-8e6a-7c6ab89bc441} {00dbdac8-4691-4797-8e6a-7c6ab89bc441} ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... 2.teil: hallo sabina! ist ja interessant, was da noch alles von der festplatte zum vorschein kommt... bin gespannt, ob sich dieser trojaner ohne den pc neu aufzusetzen loswerden lässt. lg reimar Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94B0-29AC Verzeichnis von C:\WINDOWS\system32 27.01.2006 09:59 228.000 FNTCACHE.DAT 24.01.2006 09:52 2.184 wpa.dbl 03.01.2006 23:23 4.150 lvcoinst.log 03.01.2006 15:31 91.904 S32EVNT1.DLL 18.12.2005 21:43 27.661 pmkli.dll 18.12.2005 19:20 238.080 msbitsec.exe 13.12.2005 13:03 7.006 jupdate-1.5.0_06-b05.log 12.12.2005 20:43 0 msmedia32.exe 12.12.2005 11:07 311.604 perfh009.dat 12.12.2005 11:07 39.992 perfc009.dat 12.12.2005 11:07 316.594 perfh007.dat 12.12.2005 11:07 48.156 perfc007.dat 12.12.2005 11:07 723.744 PerfStringBackup.INI 07.12.2005 19:05 25.065 wmpscheme.xml 07.12.2005 18:26 261 $winnt$.inf 07.12.2005 18:21 2.951 CONFIG.NT 07.12.2005 18:21 16.832 amcompat.tlb 07.12.2005 18:21 23.392 nscompat.tlb 07.12.2005 18:19 488 logonui.exe.manifest 07.12.2005 18:19 488 WindowsLogon.manifest 07.12.2005 18:19 749 cdplayer.exe.manifest 07.12.2005 18:19 749 ncpa.cpl.manifest 07.12.2005 18:19 749 wuaucpl.cpl.manifest 07.12.2005 18:19 749 sapi.cpl.manifest 07.12.2005 18:19 749 nwc.cpl.manifest 07.12.2005 18:17 21.740 emptyregdb.dat 07.12.2005 18:11 0 h323log.txt 18.11.2005 14:15 765.952 CDDBUISony.dll 18.11.2005 14:15 565.248 CddbMusicIDSony.dll 18.11.2005 14:15 487.424 CddbPlaylist2Sony.dll 18.11.2005 14:15 598.016 CDDBControlSony.dll 17.11.2005 21:18 98.304 CddbLangDESony.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 13.10.2005 00:11 118.784 sirenacm.dll 05.10.2005 08:50 82.432 MSxml4r.dll 05.10.2005 08:50 1.233.920 MSxml4.dll 03.08.2005 11:00 61.440 pxhpinst.exe 23.06.2005 09:01 430.080 pxdrv.dll 22.06.2005 09:00 28.672 vxblock.dll 14.06.2005 09:00 56.832 pxcpya64.exe 14.06.2005 09:00 108.544 pxcpyi64.exe 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 194.840 wuaueng1.dll 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 174.872 wuaucpl.cpl 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 128.280 wucltui.dll 05.05.2005 21:53 1.146.880 pxsfs.dll 05.05.2005 21:50 151.552 pxwma.dll 05.05.2005 21:50 372.736 px.dll 05.05.2005 21:49 172.032 pxmas.dll 05.05.2005 21:48 339.968 pxwave.dll 25.04.2005 10:03 109.568 pxinsi64.exe 25.04.2005 10:03 56.320 pxinsa64.exe 05.04.2005 11:17 132.824 SymRedir.dll 05.04.2005 11:17 vielen dank nochmals !!! Dieser Beitrag wurde am 27.01.2006 um 19:17 Uhr von anszwadrei editiert.
|
|
|
||
28.01.2006, 00:05
Ehrenmitglied
Beiträge: 29434 |
#6
ich sprach von 4 Logs... du hast nur eins gepostet....
Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp Verzeichnis von C:\WINDOWS Verzeichnis von C:\ http://virus-protect.org/datfindbat.html Zitat C:\WINDOWS\system32\pmkli.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2006, 12:04
...neu hier
Themenstarter Beiträge: 9 |
#7
hallo sabina!
anbei die drei fehlenden dateien. lg reimar Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94B0-29AC Verzeichnis von C:\ 28.01.2006 11:50 0 sys.txt 28.01.2006 11:50 6.181 system.txt 28.01.2006 11:50 340 systemtemp.txt 28.01.2006 11:50 93.126 system32.txt 28.01.2006 10:30 535.351.296 hiberfil.sys 28.01.2006 10:30 805.306.368 pagefile.sys 03.01.2006 23:06 183 LogiSetup.log 23.12.2005 15:16 192 setuplog 07.12.2005 18:11 194 boot.ini 13.04.2005 16:17 0 IO.SYS 13.04.2005 16:17 0 MSDOS.SYS 13.04.2005 16:17 0 AUTOEXEC.BAT 13.04.2005 16:17 0 CONFIG.SYS 23.08.2001 13:00 4.952 bootfont.bin 23.08.2001 13:00 45.124 NTDETECT.COM 23.08.2001 13:00 224.032 ntldr 16 Datei(en) 1.341.031.988 Bytes 0 Verzeichnis(se), 14.150.643.712 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94B0-29AC Verzeichnis von C:\WINDOWS 28.01.2006 10:31 0 0.log 28.01.2006 10:31 159 wiadebug.log 28.01.2006 10:31 706.334 WindowsUpdate.log 28.01.2006 10:30 50 wiaservc.log 28.01.2006 10:30 2.048 bootstat.dat 28.01.2006 01:28 32.450 SchedLgU.Txt 26.01.2006 17:10 94.206 ntbtlog.txt 11.01.2006 18:28 403 ODBC.INI 11.01.2006 18:16 803.070 setupapi.log 11.01.2006 18:15 600 win.ini 06.01.2006 20:00 245 PowerReg.dat 06.01.2006 14:19 34 cdplayer.ini 06.01.2006 12:49 197 QTW.INI 06.01.2006 12:49 231 SYSINI.QTW 06.01.2006 12:49 504 WININI.QTW 05.01.2006 18:11 76.372 DirectX.log 04.01.2006 23:17 197 wmsetup.log 03.01.2006 23:13 316.640 WMSysPr9.prx 03.01.2006 23:07 256 _delis32.ini 21.12.2005 21:26 4.924 svcpack.log 17.12.2005 22:55 28.660 xpsp1hfm.log 17.12.2005 22:55 168.090 iis6.log 17.12.2005 22:55 47.007 comsetup.log 17.12.2005 22:55 26.709 ntdtcsetup.log 17.12.2005 22:55 1.393 imsins.log 17.12.2005 22:55 52.310 tsoc.log 17.12.2005 22:55 33.947 KB828741.log 17.12.2005 22:55 4.245 ocmsn.log 17.12.2005 22:55 50.017 ocgen.log 17.12.2005 22:55 5.426 msgsocm.log 17.12.2005 22:55 104.278 FaxSetup.log 17.12.2005 22:55 38.914 msmqinst.log 17.12.2005 22:54 1.393 imsins.BAK 17.12.2005 22:54 28.390 KB835732.log 17.12.2005 22:53 20.589 Q329834.log 17.12.2005 22:53 24.005 KB823559.log 17.12.2005 22:52 20.245 Q329048.log 17.12.2005 22:51 19.028 KB834707-IE6-20040929.115007.log 17.12.2005 22:51 15.803 Q810577.log 17.12.2005 22:49 12.714 Q810833.log 17.12.2005 22:48 9.615 Q811630.log 17.12.2005 22:47 8.557 Q329441.log 17.12.2005 22:46 8.270 Q817606.log 17.12.2005 22:45 5.437 Q329170.log 17.12.2005 22:44 1.622 Q329115.log 17.12.2005 22:43 1.262 Q329390.log 17.12.2005 22:43 962 Q323255.log 14.12.2005 08:51 7.156 KB842773.log 14.12.2005 08:51 148.996 setupact.log 13.12.2005 12:47 937 vminst.log 13.12.2005 12:06 33.168 Windows Update.log 12.12.2005 20:52 4.802 SYMEVENT.LOG 12.12.2005 20:39 1.102 LUINSTALL.LOG 12.12.2005 20:11 170 NAVINST.LOG 07.12.2005 19:05 820 OEWABLog.txt 07.12.2005 19:05 685.305 setuplog.txt 07.12.2005 18:28 8.192 REGLOCS.OLD 07.12.2005 18:21 0 control.ini 07.12.2005 18:21 299.552 WMSysPrx.prx 07.12.2005 18:21 4.161 ODBCINST.INI 07.12.2005 18:19 749 WindowsShell.Manifest 07.12.2005 18:17 1.060 sessmgr.setup.log 07.12.2005 18:16 37 vbaddin.ini 07.12.2005 18:16 36 vb.ini 07.12.2005 18:16 128 DtcInstall.log 07.12.2005 18:06 2.586 regopt.log 07.12.2005 18:02 0 Sti_Trace.log 07.12.2005 17:59 231 system.ini 07.12.2005 17:58 0 setuperr.log 13.05.2005 10:56 5.826 GenAmvTool.INI 11.05.2005 04:12 6.565 fwupgrade.ini 11.05.2005 04:05 7.207 Disktool.INI 16.09.2004 13:26 12.634 ADFUUD.SYS 23.08.2004 15:01 1.381 AdfuUpdate.inf 12.05.2004 03:28 3.677 SoundCon.INI 21.09.2002 20:13 10.752 hh.exe 20.01.2002 09:52 97.280 daemon.dll 13.09.2001 02:15 90.112 snymsico.dll 23.08.2001 13:00 26.680 F„cher.bmp 23.08.2001 13:00 2 desktop.ini 23.08.2001 13:00 1.004.032 explorer.exe 23.08.2001 13:00 65.954 Pr„riewind.bmp 23.08.2001 13:00 9.522 Zapotek.bmp 23.08.2001 13:00 65.832 Santa Fe-Stuck.bmp 23.08.2001 13:00 80 explorer.scf 23.08.2001 13:00 26.582 Granit.bmp 23.08.2001 13:00 707 _default.pif 23.08.2001 13:00 65.978 Seifenblase.bmp 23.08.2001 13:00 17.362 Rhododendron.bmp 23.08.2001 13:00 15.872 TASKMAN.EXE 23.08.2001 13:00 34.818 wmprfDEU.prx 23.08.2001 13:00 94.800 twain.dll 23.08.2001 13:00 46.592 twain_32.dll 23.08.2001 13:00 49.680 twunk_16.exe 23.08.2001 13:00 25.600 twunk_32.exe 23.08.2001 13:00 141.312 regedit.exe 23.08.2001 13:00 67.072 NOTEPAD.EXE 23.08.2001 13:00 48.680 winnt256.bmp 23.08.2001 13:00 48.680 winnt.bmp 23.08.2001 13:00 1.405 msdfmap.ini 23.08.2001 13:00 18.944 vmmreg32.dll 23.08.2001 13:00 17.336 Angler.bmp 23.08.2001 13:00 17.062 Kaffeetasse.bmp 23.08.2001 13:00 82.944 clock.avi 23.08.2001 13:00 271.872 winhlp32.exe 23.08.2001 13:00 16.730 Feder.bmp 23.08.2001 13:00 1.272 Blaue Spitzen 16.bmp 23.08.2001 13:00 257.568 winhelp.exe 31.03.1999 00:11 31.744 POCELANG.DLL 17.11.1998 13:44 328.704 IsUn0407.exe 23.09.1998 21:10 195.072 POCE98.DLL 08.01.1996 02:11 93.184 VIEW32.EXE 08.01.1996 02:11 107.008 PLAY32.EXE 08.01.1996 02:11 67.415 PLAYENU.HLP 08.01.1996 02:11 36.412 VIEWENU.HLP 08.01.1996 02:11 43.875 MCENU.HLP 08.01.1996 02:11 1.708.544 QT32INST.EXE 08.01.1996 02:11 168.448 QTW32DEL.EXE 08.01.1996 02:11 234.594 SAMPLE.MOV 08.01.1996 02:11 24.960 READQT32.WRI 120 Datei(en) 9.793.360 Bytes 0 Verzeichnis(se), 14.150.647.808 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94B0-29AC Verzeichnis von C:\DOKUME~1\Egon\LOKALE~1\Temp 28.01.2006 10:40 412 jusched.log 27.01.2006 23:50 16.384 ~DF4739.tmp 2 Datei(en) 16.796 Bytes 0 Verzeichnis(se), 14.150.672.384 Bytes frei |
|
|
||
28.01.2006, 14:57
Ehrenmitglied
Beiträge: 29434 |
#8
anszwadrei
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\pmkli.dll O20 - Winlogon Notify: pmkli - C:\WINDOWS\SYSTEM32\pmkli.dll PC neustarten KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\WINDOWS\SYSTEM32\pmkli.dll C:\WINDOWS\SYSTEM32\msbitsec.exe C:\WINDOWS\SYSTEM32\msmedia32.exe PC neustarten scanne und kopiere hier den scanbericht http://virus-protect.org/spysweeper.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2006, 14:18
...neu hier
Themenstarter Beiträge: 9 |
#9
hallo sabina!
beim installieren von webroot hat der norton nicht mitgespielt. ich hab ihn erst deaktivieren müssen. hab danach den spy sweeper gestartet - später noch ein zweites mal, diesmal mit norton im hintergrund, durchgeführt. der trojaner sitzt noch fest im sattel lg reimar hier die protokolle: 11:53: Suchvorgang in Registrierung abgeschlossen, Dauer:00:25:36 11:53: Suchvorgang in Cookies wird gestartet 11:53: Suchvorgang in Cookies abgeschlossen, Dauer: 00:00:01 11:53: Suchvorgang in Dateien wird gestartet 13:44: Suchvorgang in Dateien abgeschlossen, Dauer: 01:51:45 13:44: Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 02:30:06 13:44: Gefundene Spuren: 9 ******** 10:54: | Beginn der Sitzung, Montag, 30. Jänner 2006 | 10:54: Spy Sweeper gestartet 10:54: Suchvorgang unter Verwendung der Definitionsversion eingeleitet. 556 10:54: Suchvorgang im Arbeitspeicher wird gestartet 10:58: Suchvorgang im Arbeitspeicher abgeschlossen, Dauer: 00:04:19 10:58: Suchvorgang in Registrierung wird gestartet 10:58: Gefunden Trojan Horse: trojan-downloader-conhook 10:58: HKLM\software\classes\clsid\{00dbdac8-4691-4797-8e6a-7c6ab89bc441}\ (3 Teilspuren) (ID = 833627) 10:58: HKCR\clsid\{00dbdac8-4691-4797-8e6a-7c6ab89bc441}\ (3 Teilspuren) (ID = 833628) 10:58: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{00dbdac8-4691-4797-8e6a-7c6ab89bc441}\ (ID = 833629) 10:59: Suchvorgang in Registrierung abgeschlossen, Dauer:00:00:23 10:59: Suchvorgang in Cookies wird gestartet 10:59: Gefunden Spy Cookie: falkag cookie 10:59: egon@as1.falkag[2].txt (ID = 2650) 10:59: Gefunden Spy Cookie: atlas dmt cookie 10:59: egon@atdmt[2].txt (ID = 2253) 10:59: Gefunden Spy Cookie: servlet cookie 10:59: egon@servlet[1].txt (ID = 3345) 10:59: Gefunden Spy Cookie: 2o7.net cookie 10:59: egon@symantec.122.2o7[1].txt (ID = 1958) 10:59: Gefunden Spy Cookie: tradedoubler cookie 10:59: egon@tradedoubler[1].txt (ID = 3575) 10:59: Suchvorgang in Cookies abgeschlossen, Dauer: 00:00:03 10:59: Suchvorgang in Dateien wird gestartet 11:04: Suchvorgang in Dateien abgeschlossen, Dauer: 00:05:35 11:04: Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 00:10:22 11:04: Gefundene Spuren: 14 11:05: Löschvorgang eingeleitet 11:05: Alle Spuren werden isoliert: trojan-downloader-conhook 11:05: Alle Spuren werden isoliert: 2o7.net cookie 11:05: Alle Spuren werden isoliert: atlas dmt cookie 11:05: Alle Spuren werden isoliert: falkag cookie 11:05: Alle Spuren werden isoliert: servlet cookie 11:05: Alle Spuren werden isoliert: tradedoubler cookie 11:05: Löschvorgang abgeschlossen. Abgelaufene Zeit 00:00:02 11:08: Löschen isolierter Elemente eingeleitet. 11:08: Verarbeitungsvorgang: 2o7.net cookie 11:08: Verarbeitungsvorgang: atlas dmt cookie 11:08: Verarbeitungsvorgang: falkag cookie 11:08: Verarbeitungsvorgang: servlet cookie 11:08: Verarbeitungsvorgang: tradedoubler cookie 11:08: Verarbeitungsvorgang: trojan-downloader-conhook 11:08: Löschen isolierter Elemente abgeschlossen. Abgelaufene Zeit 00:00:00 ******** 10:53: | Beginn der Sitzung, Montag, 30. Jänner 2006 | 10:53: Spy Sweeper gestartet 10:54: | Ende der Sitzung, Montag, 30. Jänner 2006 | |
|
|
||
30.01.2006, 14:21
Ehrenmitglied
Beiträge: 29434 |
#10
anszwadrei
fuehre das bitte aus und kopiere hier den scanreport http://virus-protect.org/artikel/tools/vundofixx.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2006, 15:28
...neu hier
Themenstarter Beiträge: 9 |
#11
C:\WINDOWS\System32\pmkli.dll
mehr stand da nicht drin. hab die anweisungen befolgt und den pc neu gestartet. die alte viruswarnung vom norton: download.trojan scheint weg zu sein. dafür ist jetzt eine neue da: Virenname:W32.HLLW.Gaobot Objektname: C:\WINDOWS\system32\msbitsec.exe Die Datei konnte nicht repariert werden. soll ich den norton gegen was anderes tauschen? irgend eine idee? lg reimar |
|
|
||
30.01.2006, 16:10
Ehrenmitglied
Beiträge: 29434 |
#12
loesche: --> sollte eigentlich laengst geloescht sein................
C:\WINDOWS\SYSTEM32\msmedia32.exe C:\WINDOWS\system32\msbitsec.exe am besten mit der killbox: http://virus-protect.org/killbox.html ------------------------------------------------------------------------- dann kopiere hier noch mal die 4 Textdateien von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2006, 16:46
...neu hier
Themenstarter Beiträge: 9 |
#13
1) sys.tst
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94B0-29AC Verzeichnis von C:\ 30.01.2006 16:39 0 sys.txt 30.01.2006 16:39 6.407 system.txt 30.01.2006 16:39 2.381 systemtemp.txt 30.01.2006 16:39 93.174 system32.txt 30.01.2006 15:09 535.351.296 hiberfil.sys 30.01.2006 15:09 805.306.368 pagefile.sys 30.01.2006 15:08 332 vundofix.txt 03.01.2006 23:06 183 LogiSetup.log 23.12.2005 15:16 192 setuplog 07.12.2005 18:11 194 boot.ini 13.04.2005 16:17 0 CONFIG.SYS 13.04.2005 16:17 0 IO.SYS 13.04.2005 16:17 0 MSDOS.SYS 13.04.2005 16:17 0 AUTOEXEC.BAT 23.08.2001 13:00 4.952 bootfont.bin 23.08.2001 13:00 45.124 NTDETECT.COM 23.08.2001 13:00 224.032 ntldr 17 Datei(en) 1.341.034.635 Bytes 0 Verzeichnis(se), 14.166.368.256 Bytes frei 2) system.txtVolume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94B0-29AC Verzeichnis von C:\WINDOWS 30.01.2006 15:10 0 0.log 30.01.2006 15:10 723.022 WindowsUpdate.log 30.01.2006 15:10 50 wiaservc.log 30.01.2006 15:10 159 wiadebug.log 30.01.2006 15:09 2.048 bootstat.dat 30.01.2006 11:11 32.530 SchedLgU.Txt 29.01.2006 02:01 804.120 setupapi.log 29.01.2006 01:41 1.289 Spy Sweeper 4.x.x FIX Setup Log.txt 28.01.2006 22:41 712 win.ini 26.01.2006 17:10 94.206 ntbtlog.txt 11.01.2006 18:28 403 ODBC.INI 06.01.2006 20:00 245 PowerReg.dat 06.01.2006 14:19 34 cdplayer.ini 06.01.2006 12:49 197 QTW.INI 06.01.2006 12:49 231 SYSINI.QTW 06.01.2006 12:49 504 WININI.QTW 05.01.2006 18:11 76.372 DirectX.log 04.01.2006 23:17 197 wmsetup.log 03.01.2006 23:13 316.640 WMSysPr9.prx 03.01.2006 23:07 256 _delis32.ini 21.12.2005 21:26 4.924 svcpack.log 17.12.2005 22:55 28.660 xpsp1hfm.log 17.12.2005 22:55 168.090 iis6.log 17.12.2005 22:55 47.007 comsetup.log 17.12.2005 22:55 26.709 ntdtcsetup.log 17.12.2005 22:55 1.393 imsins.log 17.12.2005 22:55 52.310 tsoc.log 17.12.2005 22:55 33.947 KB828741.log 17.12.2005 22:55 4.245 ocmsn.log 17.12.2005 22:55 50.017 ocgen.log 17.12.2005 22:55 5.426 msgsocm.log 17.12.2005 22:55 104.278 FaxSetup.log 17.12.2005 22:55 38.914 msmqinst.log 17.12.2005 22:54 1.393 imsins.BAK 17.12.2005 22:54 28.390 KB835732.log 17.12.2005 22:53 20.589 Q329834.log 17.12.2005 22:53 24.005 KB823559.log 17.12.2005 22:52 20.245 Q329048.log 17.12.2005 22:51 19.028 KB834707-IE6-20040929.115007.log 17.12.2005 22:51 15.803 Q810577.log 17.12.2005 22:49 12.714 Q810833.log 17.12.2005 22:48 9.615 Q811630.log 17.12.2005 22:47 8.557 Q329441.log 17.12.2005 22:46 8.270 Q817606.log 17.12.2005 22:45 5.437 Q329170.log 17.12.2005 22:44 1.622 Q329115.log 17.12.2005 22:43 1.262 Q329390.log 17.12.2005 22:43 962 Q323255.log 14.12.2005 08:51 7.156 KB842773.log 14.12.2005 08:51 148.996 setupact.log 13.12.2005 12:47 937 vminst.log 13.12.2005 12:06 33.168 Windows Update.log 12.12.2005 20:52 4.802 SYMEVENT.LOG 12.12.2005 20:39 1.102 LUINSTALL.LOG 12.12.2005 20:11 170 NAVINST.LOG 07.12.2005 19:05 820 OEWABLog.txt 07.12.2005 19:05 685.305 setuplog.txt 07.12.2005 18:28 8.192 REGLOCS.OLD 07.12.2005 18:21 0 control.ini 07.12.2005 18:21 299.552 WMSysPrx.prx 07.12.2005 18:21 4.161 ODBCINST.INI 07.12.2005 18:19 749 WindowsShell.Manifest 07.12.2005 18:17 1.060 sessmgr.setup.log 07.12.2005 18:16 37 vbaddin.ini 07.12.2005 18:16 36 vb.ini 07.12.2005 18:16 128 DtcInstall.log 07.12.2005 18:06 2.586 regopt.log 07.12.2005 18:02 0 Sti_Trace.log 07.12.2005 17:59 231 system.ini 07.12.2005 17:58 0 setuperr.log 27.10.2005 16:47 468.480 WRUninstall.dll 21.10.2005 15:55 684.032 libeay32.dll 21.10.2005 15:55 155.648 ssleay32.dll 13.05.2005 10:56 5.826 GenAmvTool.INI 3) system32.txt 27.01.2006 09:59 228.000 FNTCACHE.DAT 24.01.2006 09:52 2.184 wpa.dbl 03.01.2006 23:23 4.150 lvcoinst.log 03.01.2006 15:31 91.904 S32EVNT1.DLL 13.12.2005 13:03 7.006 jupdate-1.5.0_06-b05.log 12.12.2005 11:07 311.604 perfh009.dat 12.12.2005 11:07 39.992 perfc009.dat 12.12.2005 11:07 316.594 perfh007.dat 12.12.2005 11:07 48.156 perfc007.dat 12.12.2005 11:07 723.744 PerfStringBackup.INI 07.12.2005 19:05 25.065 wmpscheme.xml 07.12.2005 18:26 261 $winnt$.inf 07.12.2005 18:21 2.951 CONFIG.NT 07.12.2005 18:21 16.832 amcompat.tlb 07.12.2005 18:21 23.392 nscompat.tlb 07.12.2005 18:19 488 logonui.exe.manifest 07.12.2005 18:19 488 WindowsLogon.manifest 07.12.2005 18:19 749 cdplayer.exe.manifest 07.12.2005 18:19 749 nwc.cpl.manifest 07.12.2005 18:19 749 wuaucpl.cpl.manifest 07.12.2005 18:19 749 ncpa.cpl.manifest 07.12.2005 18:19 749 sapi.cpl.manifest 07.12.2005 18:17 21.740 emptyregdb.dat 07.12.2005 18:11 0 h323log.txt 18.11.2005 14:15 487.424 CddbPlaylist2Sony.dll 18.11.2005 14:15 765.952 CDDBUISony.dll 18.11.2005 14:15 565.248 CddbMusicIDSony.dll 18.11.2005 14:15 598.016 CDDBControlSony.dll 17.11.2005 21:18 98.304 CddbLangDESony.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 27.10.2005 16:47 492.544 WRLogonNtf.dll 27.10.2005 16:47 17.920 wrlzma.dll 27.10.2005 16:47 8.192 ssiefr.EXE 21.10.2005 15:50 102.912 islzma.dll 13.10.2005 00:11 118.784 sirenacm.dll 05.10.2005 08:50 82.432 MSxml4r.dll 05.10.2005 08:50 1.233.920 MSxml4.dll 03.08.2005 11:00 61.440 pxhpinst.exe 23.06.2005 09:01 430.080 pxdrv.dll 22.06.2005 09:00 28.672 vxblock.dll 14.06.2005 09:00 108.544 pxcpyi64.exe 14.06.2005 09:00 56.832 pxcpya64.exe 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 128.280 wucltui.dll 26.05.2005 04:16 194.840 wuaueng1.dll 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 174.872 wuaucpl.cpl 05.05.2005 21:53 1.146.880 pxsfs.dll 05.05.2005 21:50 151.552 pxwma.dll 05.05.2005 21:50 372.736 px.dll 05.05.2005 21:49 172.032 pxmas.dll 05.05.2005 21:48 339.968 pxwave.dll 25.04.2005 10:03 109.568 pxinsi64.exe 25.04.2005 10:03 56.320 pxinsa64.exe 05.04.2005 11:17 132.824 SymRedir.dll 05.04.2005 11:17 517.848 SymNeti.d 4) systemtemp.txt-Editor Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94B0-29AC Verzeichnis von C:\DOKUME~1\Egon\LOKALE~1\Temp 30.01.2006 15:20 2.060 jusched.log 30.01.2006 15:05 32.768 ~DF284C.tmp 29.01.2006 22:28 0 zap1F.tmp 29.01.2006 21:22 0 zap19.tmp 29.01.2006 17:08 67.994 TFR13.tmp 29.01.2006 02:47 0 zap63.tmp 29.01.2006 02:47 0 zap61.tmp 29.01.2006 02:47 0 zap60.tmp 29.01.2006 02:46 0 zap5B.tmp 29.01.2006 02:43 0 zap46.tmp 29.01.2006 02:43 0 zap45.tmp 29.01.2006 02:43 0 zap44.tmp 29.01.2006 02:42 0 zap43.tmp 29.01.2006 02:42 0 zap42.tmp 29.01.2006 02:42 0 zap41.tmp 29.01.2006 02:41 0 zap40.tmp 29.01.2006 02:41 0 zap3F.tmp 29.01.2006 02:40 0 zap3E.tmp 29.01.2006 02:39 0 zap3D.tmp 29.01.2006 02:38 0 zap3C.tmp 29.01.2006 02:38 0 zap3B.tmp 29.01.2006 02:37 0 zap3A.tmp 29.01.2006 02:36 0 zap38.tmp 29.01.2006 02:35 0 zap37.tmp 29.01.2006 02:35 0 zap36.tmp 29.01.2006 02:35 0 zap35.tmp 29.01.2006 02:35 0 zap34.tmp 29.01.2006 02:34 0 zap33.tmp 29.01.2006 02:34 0 zap32.tmp 29.01.2006 02:33 0 zap31.tmp 29.01.2006 02:33 0 zap30.tmp 29.01.2006 02:33 0 zap2F.tmp 29.01.2006 02:32 0 zap2E.tmp 29.01.2006 02:32 0 zap2D.tmp 29.01.2006 02:32 0 zap2C.tmp 29.01.2006 02:31 0 zap2B.tmp 29.01.2006 02:31 0 zap2A.tmp 29.01.2006 02:30 0 zap29.tmp 29.01.2006 02:29 0 zap28.tmp 29.01.2006 02:29 0 zap27.tmp 29.01.2006 02:28 0 zap26.tmp 28.01.2006 22:26 16.384 ~DF5BA7.tmp 28.01.2006 22:12 16.384 ~DF3543.tmp 27.01.2006 23:50 16.384 ~DF4739.tmp 16.12.2005 02:15 2.417.352 Patch_MSN_Messenger.EXE 45 Datei(en) 2.569.326 Bytes 0 Verzeichnis(se), 14.166.368.256 Bytes frei ps: hab wieder neu gestartet - keiner der viruswarnungen erscheint!!! Dieser Beitrag wurde am 30.01.2006 um 16:58 Uhr von anszwadrei editiert.
|
|
|
||
30.01.2006, 18:21
Ehrenmitglied
Beiträge: 29434 |
#14
loeschen:
kannst du auch mit Cleanup machen: http://virus-protect.org/cleanup.html C:\DOKUME~1\Egon\LOKALE~1\Temp\zap1F.tmp zap19.tmp TFR13.tmp zap63.tmp zap61.tmp zap60.tmp zap5B.tmp zap46.tmp zap45.tmp zap44.tmp zap43.tmp 29.01.2006 02:42 0 zap42.tmp 29.01.2006 02:42 0 zap41.tmp 29.01.2006 02:41 0 zap40.tmp 29.01.2006 02:41 0 zap3F.tmp 29.01.2006 02:40 0 zap3E.tmp 29.01.2006 02:39 0 zap3D.tmp 29.01.2006 02:38 0 zap3C.tmp 29.01.2006 02:38 0 zap3B.tmp 29.01.2006 02:37 0 zap3A.tmp 29.01.2006 02:36 0 zap38.tmp 29.01.2006 02:35 0 zap37.tmp 29.01.2006 02:35 0 zap36.tmp 29.01.2006 02:35 0 zap35.tmp 29.01.2006 02:35 0 zap34.tmp 29.01.2006 02:34 0 zap33.tmp 29.01.2006 02:34 0 zap32.tmp 29.01.2006 02:33 0 zap31.tmp 29.01.2006 02:33 0 zap30.tmp 29.01.2006 02:33 0 zap2F.tmp 29.01.2006 02:32 0 zap2E.tmp 29.01.2006 02:32 0 zap2D.tmp 29.01.2006 02:32 0 zap2C.tmp 29.01.2006 02:31 0 zap2B.tmp 29.01.2006 02:31 0 zap2A.tmp 29.01.2006 02:30 0 zap29.tmp 29.01.2006 02:29 0 zap28.tmp 29.01.2006 02:29 0 zap27.tmp 29.01.2006 02:28 0 zap26.tmp scanne mit panda und kopiere den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.01.2006, 13:18
...neu hier
Themenstarter Beiträge: 9 |
#15
hallo!
im clean up protokoll scheint der ordner: C:\DOKUME~1\Egon\LOKALE~1\Temp\zap1F.tmp nicht mehr auf. hier das panda protokoll: Incident Status Location Spyware:spyware/virtumonde Not disinfected Windows Registry lg Reimar |
|
|
||
bin beim versuch, diese lästige "zecke" zu entfernen, auf diese seite gestossen und vielleicht gibt´s da jemanden, der mit dem gleichen problem zu tun hatte und es erfolgreich lösen konnte. norton und kaspersky sind schach matt. das pferd sitzt in:
C.\WINDOWS\system32\pmkli.dll (das sagt mein norton antivirus), aber damit ist´s schon getan. helfen kann der nicht.
auf jeden fall bin ich dankbar für jeden hilfeversuch!!!
lg aus kärnten
anszwadrei