Bekomme mssearchnet.exe nicht weg

#1 Hallo,

habe mir, denke ich mal irgend nen Schei... trojaner oder sowas eingefangen. hatte spywarstrike drauf, smitrem laufengelassen, schien auch dann weg.
jetzt ist es aber wieder da (trotz aller möglichen programme, winpatrol, bitdefender, ad-aware, spybot.....). zudem fiel mir die datei mssearchnet.exe auf. scheint wohl da im zusammenhang zu stehen. kriege die aber selbst mit killbox nicht weg!

ausserdem meldet winpatrol mir inzwischen immer neue hp1614.tmp (zahlen variieren). Bin langsam echt ratlos was ich tun kann.
Bin für jede Hilfe echt dankbar!

Poste einfach mal mein Hijackthis logfile:
Logfile of HijackThis v1.99.1
Scan saved at 00:46:23, on 04.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\UAService7.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
D:\WinPatrol\WinPatrol.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\DOKUME~1\RAINER~1\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp1415.tmp
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ad-aware] "D:\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [WinPatrol] "d:\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [BDMCon] D:\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37570.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hoffe Ihr könnt da was mit anfangen und mir helfen *hoff*

#2 Bofan

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Grüezi aus der Schweiz,

Habe das selbe Problem und der Bursche ist gnz schön hartnäckig.....

Hab datfindbat mal gemacht:

20.02.2006 15:39 4.988 ncompat.tlb
20.02.2006 15:32 43.209 nvapps.xml
20.02.2006 15:32 25.101 ld787B.tmp
20.02.2006 15:32 1.080 settingsbkup.sfm
20.02.2006 15:32 384 DVCStateBkp-{00000002-00000000-0000000A-00001102-00000004-20021102}.dat
20.02.2006 15:32 1.080 settings.sfm
20.02.2006 15:32 384 DVCState-{00000002-00000000-0000000A-00001102-00000004-20021102}.dat
20.02.2006 15:32 32.592 BMXStateBkp-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
20.02.2006 15:32 32.592 BMXState-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
20.02.2006 15:32 32.088 BMXCtrlState-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
20.02.2006 15:32 32.088 BMXBkpCtrlState-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
20.02.2006 15:27 2.953 CONFIG.NT
20.02.2006 14:14 13.728 wpa.dbl
20.02.2006 11:41 16.620 LVCOMSX.LOG
20.02.2006 11:38 4.286 ot.ico
20.02.2006 09:59 5.632 msvol.tlb
20.02.2006 09:32 17.164 nvctrl.exe
20.02.2006 09:32 9.644 mssearchnet.exe
20.02.2006 09:25 14.877 dfrgsrv.exe
07.02.2006 21:28 4.513.120 MRT.exe
06.02.2006 12:15 176.167 rmoc3260.dll
06.02.2006 12:14 5.632 pndx5032.dll
06.02.2006 12:14 6.656 pndx5016.dll
06.02.2006 12:09 278.528 pncrt.dll
24.01.2006 13:41 16.832 amcompat.tlb

Danke für deine Hilfe

M.Papis

#4 papiS

ich nehme mal an, du hast dein System auf C:\

http://virus-protect.org/killbox.html

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ld787B.tmp
C:\WINDOWS\system32\settingsbkup.sfm
C:\WINDOWS\system32\settings.sfm
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\dfrgsrv.exe

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

abarbeiten
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo, erstmal ein herzliches Dankeschön für deine sehr schnelle Antwort.

Also um ehrlich zu sein weiss ich nicht genau wie du das gemeint hast! Mir ist die Vorgehensweise mit dieser Killbox unklar. Kannst du mir ein bisschen genauer dabei helfen?

Herzlichen Dank Markus

#6 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: (von hier aus)............

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ld787B.tmp
C:\WINDOWS\system32\settingsbkup.sfm
C:\WINDOWS\system32\settings.sfm
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\dfrgsrv.exe

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell
http://virus-protect.org/killbox.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Tach Loitz,

ich habe das Problem mssearchnet.exe recht simpel lösen können. Ich habe das TuneUpXP drauf und das hat einen eingebauten Datenshredder. Also C: Windows/System32 und einfach die Datei shreddern. Hat funktioniert !!!

Greetz

N-Dzzz

#8 ich versuchs mal hier,bevor ich neuen thread aufmache ^^
hab nun zum ersten mal hijack benutzen müssen
hab nix gegen viren auf m pc,nur xp pro + sp2 wie ihr sehen könnt
...ich bins selber schuld ^^,hab mir nen "emcodec" gesaugt und installiert ^^,mir war schon fast klar das es "dreck" ist ><
Was ich immer noch habe ist unten rechts im task ein blinkendes zeichen(virus alert! roter kreis und das grüne behinderten zeichen)
ps:die habe ich alle mal mit killbox gesucht und gelöscht (gelöscht hat er 3 glaube ich,der rest war nicht vorhanden):
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hpFBE9.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ld6474.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\hp7B49.tmp
C:\WINDOWS\system32\hpA6FF.tmp
C:\WINDOWS\System32\hp671D.tmp
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\mscornet.exe

_____________________________________________
_____________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 01:49:59, on 27.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Dokumente und Einstellungen\DMoD_MaTriX\Desktop\HijackThis.exe

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - D:\WINDOWS\system32\hp7128.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download with NetPumper - c:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115069691781
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{067C85F1-085C-4F53-B972-41695BF264B6}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{067C85F1-085C-4F53-B972-41695BF264B6}: NameServer = 217.237.150.97 217.237.149.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - D:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

#9 DMoD_MaTriX

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - D:\WINDOWS\system32\hp7128.tmp
O8 - Extra context menu item: Download with NetPumper - c:\Programme\NetPumper\AddUrl.htm

PC neustarten

arbeite die bfu, smitfraud und smitrem ab, erst dann ist alles sauber
http://virus-protect.org/artikel/bfu/spyfalcon_bfu.html

-------------------------------------------------------------------------

eventuell ist es auch die neue Variante:
http://virus-protect.org/artikel/spyware/spywarequake.html
ich weiss es nicht, denn du hast die 4 Logs von datfindbat nicht gepostet....
falls du das findest:

C:\Windows\System32\stickrep.dll
C:\Windows\System32\interf.tlb

auch loeschen !!!

------------------------------------------------------------------------

p.s.: NetPumper solltest du schnellstens deinstallieren ...
__________
MfG Sabina

rund um die PC-Sicherheit

#10 so,alles gelöscht hoffe ich
die 4 logs der datfiles,ehm,sry ,wüsste nicht wo ich die herholen sollte


mein neues logfile nach all dem gescanne und gelösche...sieht ganz ok aus oder?
ich hab auf jeden fall nix mehr im task stehen
ich danke dir

Logfile of HijackThis v1.99.1
Scan saved at 14:00:07, on 27.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Dokumente und Einstellungen\DMoD_MaTriX\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - D:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

#11 DMoD_MaTriX

ich schaue noch mal nach:

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 27.03.2006 13:59 21.961 nvapps.xml
27.03.2006 01:20 380.350 perfh009.dat
27.03.2006 01:20 52.764 perfc009.dat
27.03.2006 01:20 63.580 perfc007.dat
27.03.2006 01:20 391.000 perfh007.dat
27.03.2006 01:20 897.954 PerfStringBackup.INI
27.03.2006 01:19 2.206 wpa.dbl
10.03.2006 02:10 4.799.320 MRT.exe
23.01.2006 20:11 43.520 CmdLineExt03.dll
12.01.2006 20:06 7.006 jupdate-1.5.0_06-b05.log
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
26.12.2005 04:39 137.256 FNTCACHE.DAT
15.12.2005 03:08 0 pavjob.log
14.12.2005 10:24 118.784 sirenacm.dll
12.12.2005 20:23 1.364 tsdigsgn.dat
12.12.2005 20:23 66.048 VCLSMP50.bpl
12.12.2005 20:23 2.020.864 VCL50.bpl
12.12.2005 20:23 26.624 ssmenu.dll
12.12.2005 20:23 248.832 VCLX50.bpl
06.12.2005 07:02 5.533.696 wmp.dll
01.12.2005 05:31 1.492.480 shdocvw.dll

_____________________________________________________

Datentr„ger in Laufwerk D: ist Windows
Volumeseriennummer: 18D3-87B0

Verzeichnis von D:\DOKUME~1\DMOD_M~1\LOKALE~1\Temp

27.03.2006 14:14 16.384 ~DF3495.tmp
27.03.2006 14:09 206 jusched.log
27.03.2006 14:05 360.448 ~DFE7E7.tmp
3 Datei(en) 377.038 Bytes
0 Verzeichnis(se), 2.434.359.296 Bytes frei

____________________________________________________

Datentr„ger in Laufwerk D: ist Windows
Volumeseriennummer: 18D3-87B0

Verzeichnis von D:\WINDOWS

27.03.2006 14:49 98 clientshell.INI
27.03.2006 14:06 1.490.741 WindowsUpdate.log
27.03.2006 14:01 27.520 KB905915.log
27.03.2006 13:59 0 0.log
27.03.2006 13:59 157 wiadebug.log
27.03.2006 13:59 50 wiaservc.log
27.03.2006 13:59 2.048 bootstat.dat
27.03.2006 13:56 186.696 setupact.log
27.03.2006 13:56 0 setuperr.log
27.03.2006 13:46 651.892 ntbtlog.txt
27.03.2006 13:45 32.576 SchedLgU.Txt
27.03.2006 01:18 227 system.ini
27.03.2006 01:18 537 win.ini
25.03.2006 03:03 54.156 QTFont.qfn
24.03.2006 02:55 100.399 wmsetup.log
20.03.2006 02:46 116 NeroDigital.ini
07.03.2006 10:54 754 WORDPAD.INI
17.02.2006 13:04 29.857 spupdsvc.log
17.02.2006 13:03 1.454 COM+.log
17.02.2006 07:30 437.720 iis6.log
17.02.2006 07:30 77.714 ntdtcsetup.log
17.02.2006 07:30 128.769 comsetup.log
17.02.2006 07:30 1.374 imsins.log
17.02.2006 07:30 19.683 ocmsn.log
17.02.2006 07:30 169.674 tsoc.log
17.02.2006 07:30 18.576 tabletoc.log
17.02.2006 07:30 11.624 KB911927.log
17.02.2006 07:30 188.060 ocgen.log
17.02.2006 07:30 24.135 medctroc.Log
17.02.2006 07:30 62.859 netfxocm.log
17.02.2006 07:30 18.286 msgsocm.log
17.02.2006 07:30 350.938 FaxSetup.log
17.02.2006 07:30 118.194 msmqinst.log
17.02.2006 07:30 25.316 updspapi.log
17.02.2006 07:30 1.374 imsins.BAK
17.02.2006 07:30 6.578 KB911564.log
17.02.2006 07:30 6.846 KB911565.log
17.02.2006 07:29 7.189 KB913446.log
12.01.2006 11:08 10.101 KB908519.log
07.01.2006 01:14 13.440 KB912919.log
19.12.2005 23:00 617 eReg.dat
17.12.2005 12:33 107.132 UninstallFirefox.exe
17.12.2005 12:33 5.924 mozver.dat
15.12.2005 01:36 11.504 KB910437.log
12.12.2005 20:44 2.794 KB904706.log
12.12.2005 20:44 67.438 DirectX.log
12.12.2005 11:25 400 ODBC.INI

_____________________________________________________

Datentr„ger in Laufwerk D: ist Windows
Volumeseriennummer: 18D3-87B0

Verzeichnis von D:\

28.03.2006 00:29 0 sys.txt
28.03.2006 00:28 9.155 system.txt
28.03.2006 00:27 387 systemtemp.txt
28.03.2006 00:25 105.839 system32.txt
27.03.2006 13:59 805.306.368 pagefile.sys
27.03.2006 13:57 1.984 rapport.txt
27.03.2006 13:55 3.964 smitfiles.txt
31.10.2005 17:56 700.416 StubInstaller.exe
8 Datei(en) 806.128.113 Bytes
0 Verzeichnis(se), 2.434.347.008 Bytes frei

#13 DMoD_MaTriX

C:\StubInstaller.exe --> loeschen

dann mache noch einen Onlinescan mit Kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 alternative für ne bessere übersicht hier : http://img89.imageshack.us/img89/1176/verseucht5ic.jpg


D:\Dokumente und Einstellungen\DMoD_MaTriX\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\dialarch.jar-56e86951-43794d8c.zip/Installer.class Infected: Trojan-Downloader.Java.OpenStream.v skipped
D:\Dokumente und Einstellungen\DMoD_MaTriX\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\dialarch.jar-56e86951-43794d8c.zip ZIP: infected - 1 skipped
D:\Dokumente und Einstellungen\DMoD_MaTriX\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-5aa0b436-331d164c.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w skipped
D:\Dokumente und Einstellungen\DMoD_MaTriX\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-5aa0b436-331d164c.zip ZIP: infected - 1 skipped
D:\Dokumente und Einstellungen\DMoD_MaTriX\Desktop\backups\backup-20060327-133752-729.dll Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\Dokumente und Einstellungen\DMoD_MaTriX\Shared\Sony Vegas v6 0d Incl keyg*hier nicht*-SSG[unrealtorrents.com].zip/Setup.exe Infected: P2P-Worm.Win32.VB.dw skipped
D:\Dokumente und Einstellungen\DMoD_MaTriX\Shared\Sony Vegas v6 0d Incl keyg*hier nicht*-SSG[unrealtorrents.com].zip ZIP: infected - 1 skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031593.exe/data0007 Infected: Trojan-Downloader.Win32.Zlob.jl skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031593.exe/data0008 Infected: Trojan-Downloader.Win32.Zlob.jl skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031593.exe NSIS: infected - 2 skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031593.exe UPX: infected - 2 skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031603.tlb Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031626.exe Infected: Trojan-Downloader.Win32.Zlob.is skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031633.tlb Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031640.exe Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP562\A0031647.tlb Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031664.exe Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031680.dll Infected: Trojan.Win32.Agent.qf skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031681.tlb Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031685.exe Infected: Trojan-Downloader.Win32.Zlob.jl skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031686.exe Infected: Trojan-Downloader.Win32.Zlob.is skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031688.exe Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031695.exe Infected: Trojan-Downloader.Win32.Zlob.jl skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031698.exe Infected: Trojan-Downloader.Win32.Zlob.is skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031699.exe Infected: Trojan-Downloader.Win32.Zlob.jk skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031701.dll Infected: Trojan.Win32.Agent.qf skipped
D:\System Volume Information\_restore{CB35705A-4174-4664-872E-F50163F52119}\RP563\A0031703.tlb Infected: Trojan-Downloader.Win32.Zlob.jk skipped
E:\Programme\icq\Scytheman\rpcnuke.rar/rpcnuke.exe Infected: Nuker.Win32.RPCNuker skipped
E:\Programme\icq\Scytheman\rpcnuke.rar RAR: infected - 1 skipped
Scan process completed.

#15 DMoD_MaTriX

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
loeschen:

D:\Dokumente und Einstellungen\DMoD_MaTriX\Desktop\backups\backup-20060327-133752-729.dll

3.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
Start - Ausfuehren - reinschreiben: cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

4.
dann aktiviere die Systemwiederherstellung wieder.
-------------------------------------------------------------------------------

p.s. keyg*hier nicht*wuerde ich alle loeschen, denn da stecken oft auch Trojaner dahinter....
__________
MfG Sabina

rund um die PC-Sicherheit