Logfile-TrojanerbefallThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
19.02.2006, 17:08
Member
Beiträge: 20 |
||
|
||
19.02.2006, 18:44
Ehrenmitglied
Beiträge: 29434 |
#2
Arrosarka
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll" O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe" O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download" PC neustarten stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.02.2006, 19:04
Member
Themenstarter Beiträge: 20 |
#3
Zitat Sabina postete |
|
|
||
20.02.2006, 15:32
Ehrenmitglied
Beiträge: 29434 |
#4
IncrediMail wird als Malware anerkannt...ich wuerde damit nicht arbeiten.
Aber gut...fixe es nicht. Und arbeite den Rest ab. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.02.2006, 17:27
Member
Themenstarter Beiträge: 20 |
#5
Verzeichnis von C:\WINDOWS\system32
19.02.2006 16:06 1.806 TRJ_NTAUTO.TMP 19.02.2006 16:05 221.632 FNTCACHE.DAT 19.02.2006 14:25 38 getfile.dat 16.02.2006 16:21 1.158 wpa.dbl 16.02.2006 16:20 14.848 BASSMOD.dll 14.02.2006 16:53 69.632 ysbactivex.dl$ --> YSBactivex.dl$ -> Downloader.IstBar 08.02.2006 06:23 4.513.120 MRT.exe 25.01.2006 14:08 77.824 xcomm.dll 04.01.2006 04:35 68.096 webclnt.dll 29.12.2005 03:54 280.064 gdi32.dll 08.12.2005 13:56 65.536 QuickTimeVR.qtx 08.12.2005 13:56 49.152 QuickTime.qts 07.12.2005 11:30 770.048 CDDBUINokia.dll 07.12.2005 11:29 643.072 CDDBControlNokia.dll 06.12.2005 20:43 100 LuResult.txt 06.12.2005 06:02 5.533.696 wmp.dll 04.12.2005 16:08 7.006 jupdate-1.5.0_06-b05.log 01.12.2005 04:31 1.492.480 shdocvw.dll 29.11.2005 12:49 246.272 ConnAPI.dll 28.11.2005 09:08 115.712 DAAPI.dll 24.11.2005 10:53 110.592 NclAPI.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 16.11.2005 22:48 2.416 OEMINFO.PNF 15.11.2005 22:54 380.684 perfh009.dat 15.11.2005 22:54 391.574 perfh007.dat 15.11.2005 22:54 53.098 perfc009.dat 15.11.2005 22:54 63.976 perfc007.dat 15.11.2005 22:54 898.510 PerfStringBackup.INI 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe Verzeichnis von C:\DOKUME~1\...\LOKALE~1\Temp Verzeichnis von C:\WINDOWS 20.02.2006 17:17 0 0.log 20.02.2006 17:17 1.733.527 WindowsUpdate.log 20.02.2006 17:17 2.048 bootstat.dat 20.02.2006 17:16 32.636 SchedLgU.Txt 20.02.2006 08:12 654.075 setupapi.log 19.02.2006 18:02 798 win.ini 15.02.2006 17:15 406 wiadebug.log 15.02.2006 14:18 50 wiaservc.log 15.02.2006 13:31 1.219 spupdsvc.log 15.02.2006 13:31 61.689 wmsetup.log 15.02.2006 08:38 55.489 iis6.log 15.02.2006 08:38 124.076 comsetup.log 15.02.2006 08:38 73.571 ntdtcsetup.log 15.02.2006 08:38 137.222 tsoc.log 15.02.2006 08:38 1.374 imsins.log 15.02.2006 08:38 19.011 ocmsn.log 15.02.2006 08:38 11.813 KB911927.log 15.02.2006 08:38 169.233 ocgen.log 15.02.2006 08:38 17.200 msgsocm.log 15.02.2006 08:38 339.272 FaxSetup.log 15.02.2006 08:38 23.314 updspapi.log 15.02.2006 08:37 1.374 imsins.BAK 15.02.2006 08:37 9.625 KB911564.log 15.02.2006 08:37 9.883 KB911565.log 15.02.2006 08:35 7.035 KB913446.log 14.02.2006 21:46 116 NeroDigital.ini 12.02.2006 23:26 221.211 setupact.log 12.02.2006 19:33 335 GEARInstall.log 11.02.2006 15:04 754 WORDPAD.INI 11.01.2006 22:20 0 MSDraw.ini 11.01.2006 22:15 10.768 KB908519.log 06.01.2006 22:35 11.602 KB912919.log 24.12.2005 20:40 13.949 DirectX.log 15.12.2005 00:52 9.691 KB910437.log 15.12.2005 00:52 16.565 KB905915.log 10.12.2005 14:00 25 kpe.dat 29.11.2005 00:50 25.831 KB893066.log 28.11.2005 21:30 37.871 appleJuice Setup Log.txt 21.11.2005 18:50 250 accessdll.log 20.11.2005 19:17 28.371 KB899587.log 20.11.2005 19:17 27.608 KB901017.log 20.11.2005 19:17 27.932 KB899591.log 20.11.2005 19:17 28.094 KB896424.log 20.11.2005 19:17 27.535 KB893756.log 20.11.2005 19:17 26.315 KB896423.log 20.11.2005 19:17 38.787 KB902400.log 20.11.2005 19:16 19.928 KB896688.log 20.11.2005 19:16 20.433 KB905414.log 20.11.2005 19:16 21.708 KB900725.log 20.11.2005 19:16 19.467 KB904706.log 20.11.2005 19:16 19.077 KB905749.log 20.11.2005 19:16 20.731 KB894391.log 20.11.2005 19:16 18.410 KB890859.log 20.11.2005 15:59 14 popcinfo.dat 16.11.2005 23:07 3.826 ModemLog_TOSHIBA Software Modem.txt 15.11.2005 23:10 192 winamp.ini 15.11.2005 20:07 11.794 KB887742.log 15.11.2005 20:06 5.600 KB898458.log 15.11.2005 20:06 13.138 KB890046.log 15.11.2005 20:06 11.359 KB901214.log 15.11.2005 20:06 3.988 KB903235.log 15.11.2005 20:06 10.212 KB896428.log 15.11.2005 16:09 656.896 fpuninst.exe 15.11.2005 14:15 51.065 KB898461.log 15.11.2005 14:06 4.397 SYMEVENT.LOG 15.11.2005 13:22 3.667 KB885295.log 15.11.2005 13:03 107 avmsysnet.log Verzeichnis von C:\ 20.02.2006 17:21 0 sys.txt 20.02.2006 17:20 9.670 system.txt 20.02.2006 17:19 133 systemtemp.txt 20.02.2006 17:18 97.352 system32.txt 20.02.2006 17:17 1.073.201.152 hiberfil.sys 20.02.2006 17:17 1.610.612.736 pagefile.sys 30.10.2005 23:17 8.278 AVTranslation.txt 26.09.2005 18:35 50 AUTOEXEC.BAT 26.09.2005 18:15 211 boot.ini 24.08.2005 14:41 292 SWSTAMP.TXT 17.08.2005 13:44 0 IO.SYS 17.08.2005 13:44 0 MSDOS.SYS 17.08.2005 13:44 0 CONFIG.SYS 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 04.08.2004 13:00 251.184 ntldr 16 Datei(en) 2.684.233.574 Bytes 0 Verzeichnis(se), 56.240.406.528 Bytes frei Verzeichnis von C:\WINDOWS\Downloaded Program Files 07.12.2004 16:07 32 bdcore.dll 01.03.2005 14:08 118.784 bdupd.dll 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 24.01.2005 11:38 1.249 erma.inf 01.03.2005 14:08 53.248 ipsupd.dll 16.02.2005 17:15 401.408 isusweb.dll 09.03.2005 15:42 6.742 lang.ini 07.12.2004 16:07 32 libfn.dll 18.02.2005 16:22 126 live.ini 01.03.2005 11:15 1.246 oscan8.inf 09.03.2005 15:40 475.136 oscan8.ocx 25.01.2004 13:43 1.087 qdiagcc.inf 09.03.2005 15:43 6.828 scanoptions.tsi 14 Datei(en) 1.287.102 Bytes Echo: Anzahl der angezeigten Dateien: 14 Datei(en) 1.287.102 Bytes 0 Verzeichnis(se), 56.240.177.152 Bytes frei Ich bin ja absoluter Laie, aber ist "1.806 TRJ_NTAUTO.TMP" der verdammte Trojaner? LG Arro |
|
|
||
21.02.2006, 00:00
Ehrenmitglied
Beiträge: 29434 |
#6
Lade Find It NT-2K-XP
http://lineofire.geekstogo.com/ klicke findbat --> nach dem Scan kopiere ab, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.02.2006, 08:17
Member
Themenstarter Beiträge: 20 |
#7
Ist das jetzt gut oder schlecht?
Please disregard any "File Not Found" messages, they are a normal part of the search process. Datei nicht gefunden. Beginning strings.exe search...this portion of the search can take several minutes, please allow it to run until the log appears. Das System kann den angegebenen Pfad nicht finden. LG Arro |
|
|
||
21.02.2006, 12:01
Ehrenmitglied
Beiträge: 29434 |
#8
die Meldung, von der du berichtest...ist normal. Du musst Geduld haben und warten, bis sich der Texteditor oeffnet
http://virus-protect.org/artikel/tools/FindItNt2kXP.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.02.2006, 13:54
Member
Themenstarter Beiträge: 20 |
#9
Oho! Das hat ja fast 10 min. gedauert! Konnte ja nicht ahnen, dass da noch was kommt ;-)
Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you're doing. Find.bat is running from: C:\Dokumente und Einstellungen\Denni\Desktop\Protecus\Find It NT-2K-XP ------- System Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8093-1DB6 Verzeichnis von C:\WINDOWS\System32 20.02.2006 14:08 <DIR> dllcache 17.08.2005 13:47 <DIR> Microsoft 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 56.234.430.464 Bytes frei ------- Hidden Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8093-1DB6 Verzeichnis von C:\WINDOWS\System32 20.02.2006 14:08 <DIR> dllcache 17.08.2005 13:43 488 logonui.exe.manifest 17.08.2005 13:43 488 WindowsLogon.manifest 17.08.2005 13:43 749 wuaucpl.cpl.manifest 17.08.2005 13:43 749 sapi.cpl.manifest 17.08.2005 13:43 749 cdplayer.exe.manifest 17.08.2005 13:43 749 nwc.cpl.manifest 17.08.2005 13:43 749 ncpa.cpl.manifest 7 Datei(en) 4.721 Bytes 1 Verzeichnis(se), 56.234.430.464 Bytes frei ------------ Files Named "Guard" --------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8093-1DB6 Verzeichnis von C:\WINDOWS\System32 ------ Temp Files in System32 Directory ------ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8093-1DB6 Verzeichnis von C:\WINDOWS\System32 19.02.2006 16:06 1.806 TRJ_NTAUTO.TMP 04.08.2004 13:00 2.951 CONFIG.TMP 2 Datei(en) 4.757 Bytes 0 Verzeichnis(se), 56.234.426.368 Bytes frei ------------------ User Agent ---------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" ------------- Keys Under Notify ------------- REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ------------- Locate.com Results ------------- No matches found. -------- Strings.exe Qoologic Results -------- --------- Strings.exe Aspack Results --------- C:\WINDOWS\system32\d3dx9_26.dll: D3DXUVAtlasPack C:\WINDOWS\system32\MRT.exe: (ASPack) C:\WINDOWS\system32\MRT.exe: (AsPack2k) C:\WINDOWS\system32\MRT.exe: (ASPack 1.00b) C:\WINDOWS\system32\MRT.exe: (ASPack 2.1) C:\WINDOWS\system32\MRT.exe: (ASPack 2.12) C:\WINDOWS\system32\MRT.exe: (ASPack 2.11) C:\WINDOWS\system32\MRT.exe: (ASPack 2.000) C:\WINDOWS\system32\MRT.exe: (ASPack 2.001) C:\WINDOWS\system32\MRT.exe: (ASPack 2.11x) C:\WINDOWS\system32\MRT.exe: ASPack2000 C:\WINDOWS\system32\MRT.exe: ASPack 1.61 C:\WINDOWS\system32\MRT.exe: ASPack 1.084 C:\WINDOWS\system32\MRT.exe: ASPack 1.083 C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b C:\WINDOWS\system32\MRT.exe: ASPack 1.07b C:\WINDOWS\system32\MRT.exe: ASPack 1.05b C:\WINDOWS\system32\MRT.exe: ASPack 1.02 C:\WINDOWS\system32\MRT.exe: ASPACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\ntdll.dll: .aspack C:\WINDOWS\system32\d3dx9_26.dll: D3DXUVAtlasPack C:\WINDOWS\system32\MRT.exe: (ASPack) C:\WINDOWS\system32\MRT.exe: (AsPack2k) C:\WINDOWS\system32\MRT.exe: (ASPack 1.00b) C:\WINDOWS\system32\MRT.exe: (ASPack 2.1) C:\WINDOWS\system32\MRT.exe: (ASPack 2.12) C:\WINDOWS\system32\MRT.exe: (ASPack 2.11) C:\WINDOWS\system32\MRT.exe: (ASPack 2.000) C:\WINDOWS\system32\MRT.exe: (ASPack 2.001) C:\WINDOWS\system32\MRT.exe: (ASPack 2.11x) C:\WINDOWS\system32\MRT.exe: ASPack2000 C:\WINDOWS\system32\MRT.exe: ASPack 1.61 C:\WINDOWS\system32\MRT.exe: ASPack 1.084 C:\WINDOWS\system32\MRT.exe: ASPack 1.083 C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b C:\WINDOWS\system32\MRT.exe: ASPack 1.07b C:\WINDOWS\system32\MRT.exe: ASPack 1.05b C:\WINDOWS\system32\MRT.exe: ASPack 1.02 C:\WINDOWS\system32\MRT.exe: ASPACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\ntdll.dll: .aspack -------------- HKLM Run Key ---------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe" "SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray" "AGRSMMSG"="AGRSMMSG.exe" "THotkey"="C:\\Programme\\Toshiba\\Toshiba Applet\\thotkey.exe" "PadTouch"="C:\\Programme\\TOSHIBA\\Touch and Launch\\PadExe.exe" "TPSMain"="TPSMain.exe" "NDSTray.exe"="NDSTray.exe" "Tvs"="C:\\Programme\\TOSHIBA\\Tvs\\TvsTray.exe" "SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe" "TFncKy"="TFncKy.exe" "dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe" "AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe" "Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon" "CFSServ.exe"="CFSServ.exe -NoClient" "BDMCon"="\"C:\\Programme\\Softwin\\BitDefender9\\bdmcon.exe\"" "BDOESRV"="\"C:\\Programme\\Softwin\\BitDefender9\\bdoesrv.exe\"" "BDNewsAgent"="\"C:\\Programme\\Softwin\\BitDefender9\\bdnagent.exe\"" "BDSwitchAgent"="\"C:\\Programme\\Softwin\\BitDefender9\\bdswitch.exe\"" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup" "ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start" "PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -onlytray" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" |
|
|
||
21.02.2006, 14:50
Ehrenmitglied
Beiträge: 29434 |
#10
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ... C:\WINDOWS\system32\ysbactivex.dl$ C:\WINDOWS\system32\TRJ_NTAUTO.TMP PC neustarten scanne mit Panda und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.02.2006, 20:08
Member
Themenstarter Beiträge: 20 |
#11
No viruses or other malicious software have been found! Scan again
See report Scan finished Stop 225960 Files scanned D:Scan report Save report Scan again Send to laboratory Save report Scan again ActiveScan only disinfects viruses. To disinfect all Thread, buy or try a recommended security product. ActiveScan gives you a deep second opinion analysis of the security level of your PC. Detected Disinfected Virus 0 0 Spyware 0 0 Hacking Tools and potentially unwanted tools 0 0 Dialers 0 0 Security Risks 0 0 Suspicious files 0 0 Jokes 0 0 ABER: Wenn ich die temporären Internetdateien lösche, kommt immer noch die Trojanerwarnung! LG Arro |
|
|
||
22.02.2006, 01:06
Ehrenmitglied
Beiträge: 29434 |
#12
Virenwarnung in den Temp-Dateien... welche Datei wird genau bezeichnet ?
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.02.2006, 11:48
Member
Themenstarter Beiträge: 20 |
#13
c:\dokumente und einstellungen\...\lokale einstellungen\temporary internet files\content.ie5\ajsdinw5\index[2].htm=>(IFRAME)
und c:\dokumente und einstellungen\...\lokale einstellungen\temporary internet files\content.ie5\ajsdinw5\index[2].htm Die beiden tauchen dann so 4 mal auf. Hab gerade versucht, es manuell zu löschen: index[2].htm kann nicht gelöscht werden: Die Quelldatei oder vom Quellendatenträger kann nicht gelesen werden. Und wenn ich Bitdefender drüberlaufen lasse, findet er zwar den Trojaner, versucht ihn zu kopieren, das schlägt fehl, er landet in der Quarantäne, da kann ich ihn löschen, ABER in den temp bleibt er trotzdem die ganz Zeit. Jetzt habe ich es mit der KillBox versucht. Die temp ist dann zwar leer, aber wenn ich sie dann trotzdem cleane, ist der Trojaner wieder da. LG Arro Dieser Beitrag wurde am 22.02.2006 um 13:04 Uhr von Arrosarka editiert.
|
|
|
||
22.02.2006, 14:09
Ehrenmitglied
Beiträge: 29434 |
#14
scanne mit allen 4 Scannern, falls etwas gefunden wird , gehe in C:\AV-CLS und kopiere diesen Teil ab
http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.02.2006, 08:22
Member
Themenstarter Beiträge: 20 |
#15
Sophos:
>>> Virus fragment 'Micro-128' found in file c:\WINDOWS\system32\ActiveScan\pskavs.dll Removal successful Could not open c:\WINDOWS\system32\config\system.LOG Could not check c:\WINDOWS\system32\emptyregdb.dat (corrupt) Could not open d:\ 1 master boot record swept. 51733 files swept in 51 minutes and 22 seconds. 523 errors were encountered. 1 virus was discovered. 1 file out of 51733 was infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 64 encrypted files were not checked. Ending Sophos Anti-Virus. Trend: Viele Dateien mit Vermerk:Zugriff verweigert Bekannte temp-Datei: Could not set file for reading (das steht aber auch z.B. bei den zu prüfenden Datein von Killbox etc.) (copy & paste funktioniert nicht) Keine Viren gefunden. McAfee: Options: /ADL /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [] Scanning C:\*.* C:\Programme\ICQToolbar\toolbaru.inf ... Found potentially unwanted program Adware-Softomate. The file or process has been deleted. C:\WINDOWS\oemdrv\treseal\RESEAL.CMD ... Found the Bat/sdel trojan !!! The file or process has been deleted. Summary report on C:\*.* File(s) Total files: ........... 110155 Clean: ................. 109716 Possibly Infected: ..... 1 Cleaned: ............... 0 Deleted: ............... 2 Non-critical Error(s): 2 Master Boot Record(s): ......... 1 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Time: 00:40.06 Kaspersky: Habe ich über Nacht durchlaufen lassen. Hat kein Scan-Protokoll erstellt. Der Trojaner ist allerdings immer noch da... LG Arro |
|
|
||
Wollte dieses Logfile in meinen Beitrag "Trojan.Downloader.Small.WV+Exploit.Win32.WMF-PFV" mit einfügen, hat aber leider nicht geklappt. Daher bitte nicht böse sein wegen Doppel-Posting.
Ich verzweifel hier eh schon.
Danke für Euren "Blick".
Logfile of HijackThis v1.99.1
Scan saved at 17:05:32, on 19.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Softwin\BitDefender9\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\Programme\Softwin\BitDefender9\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdswitch.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\...\Eigene Dateien\Downloaded Prog\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:*//www.apple-deluxe.to/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:*//www.t-online.de/toshiba
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll"
O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe"
O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [HitwarePKLite] C:\Programme\Hitware Popup Killer Lite 3\HitwarePKLite.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Google-Suche - res:*//c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res:*//C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res:*//c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &MSN Suche - res:*//C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res:*//c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res:*//C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?b223ba357aad4e338c7a6c8214794e79
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res:*//C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?b223ba357aad4e338c7a6c8214794e79
O8 - Extra context menu item: Verweisseiten - res:*//c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res:*//c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: eBay - {60FF3727-80F3-4181-980F-CE95137B6359} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http:*//aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http:*//download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)