Command.exe als Prozess

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.11.2006, 17:16
Member

Beiträge: 41
#76 Da findet er nichts, also:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Liegt wohl daran, daß die mscache.sys mittlerweile auch nach 5mal Anvenger entfernt werden konnte...

Das müsste es dann gewesen sein, sehe ich das richtig?

-------------------------
Nachtrag

Sabina
Dann muss ich dir mal insgesamt für deine Mühe und geduld danken. Ich hab schon einige deiner Beiträge gelesen und kann nicht fassen mit welcher ruhe du ewig die gleichen Fragen beantwortest ;)

Umso schwerer fällt es mir, dich um einen weiteren Gefallen zu bitten. In unserer Familie stehen 4 Rechner und ich bin mir sciher, daß die anderen ebenfalls verseucht sind.

Da ich dir das aber jetzt nicht antun möchte schritt für schritt auch die restlichen 3 mit mir einzeln durchzugehen, wärs schön wenn du mir ein paar Tips mit auf den Weg geben könntest. Wie analysierst du zum Beispiel die Logs die immer wieder gepostet werden? Gibts da Tools zum Download oder muss man die suspekten Dateien tatsächlich alle im Kopf haben?
Gibt es vieleicht eine Seite wo man sich intensiver mit der Materie befassen kann und lernt wies gemacht wird?
Dieser Beitrag wurde am 14.11.2006 um 19:21 Uhr von Nomatic editiert.
Seitenanfang Seitenende
15.11.2006, 01:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#77 kein Problem, reinigen wir alle ;)
aber bitte einen nach dem anderen - HijackThis, Combofix und datfindbat

p.s : ich habe alle Malware "im Gedaechnis" - Erfahrung - , oder ich suche nach Infos , oder die virenscanner helfen , wenn nichts mehr geht.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2006, 16:31
Member

Beiträge: 41
#78

Zitat

ich habe alle Malware "im Gedaechnis" - Erfahrung -
hart

Zitat

oder ich suche nach Infos
wo? Wenn ich nach solchen SAchen suche, lande ich auf Seiten die einem zwar sagen ob nun die ein oder andere Datei gut/schlecht ist, aber ich find nirgends etwas wo zum Beispiel eine Liste von Dateien steht, die alle zum Trojaner XY gehören, oder wie diese Trojaner überhaupt heißen - wenn wir schon bei XY sind. Wie heißen die Dinger eigentlich "offiziell"? Jeder Scanner gibt denen irgendwelche merkwürdigen eigenen Bezeichnungen, mit denen man überhauptnichts anfangen kann... Die Materie find ich ziemlich interessant, nur brauche ich eine Art Einstiegshilfe um mich näher damit auseinanderzusetzen.

------------------------------------------------------

Was die anderen Rechner angeht: Find ich sehr nett, daß du mir auch bei denen hilfst ;)

Ich hab die Logs von combofix, hijackthis, datfind und filelist (das ist so ähnlich wie datfind) gezippt, da sie wahrscheinlich zu lang für posten wären. Ist hoffentlich in ordnung!?


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Install.dat


((((((((((((((((((((((((((((((( Files Created from 2006-10-15 to 2006-11-15 ))))))))))))))))))))))))))))))))))


2006-11-15 16:25 668 --a------ C:\datFind.bat
2006-11-04 17:32 73,728 --a------ C:\WINDOWS\system32\MVmc14n.dll
2006-11-04 17:32 68,608 --a------ C:\WINDOWS\system32\MVix14n.dll
2006-11-04 17:32 56,320 --a------ C:\WINDOWS\system32\MVfs14n.dll
2006-11-04 17:32 51,200 --a------ C:\WINDOWS\system32\MVsr14n.dll
2006-11-04 17:32 50,688 --a------ C:\WINDOWS\system32\MVtl14n.dll
2006-11-04 17:32 32,768 --a------ C:\WINDOWS\system32\MVmg14n.dll
2006-11-04 17:32 25,600 --a------ C:\WINDOWS\system32\MVbk14n.dll
2006-11-04 17:32 211,424 --a------ C:\WINDOWS\system32\DBClient.dll
2006-11-04 17:32 112,128 --a------ C:\WINDOWS\system32\MVcl14n.dll
2006-11-04 17:32 10,240 --a------ C:\WINDOWS\system32\MVut14n.dll
2006-11-04 01:04 247,664 --a------ C:\WINDOWS\UNINST16.EXE
2006-10-25 14:50 302,592 --a------ C:\WINDOWS\unin0407.exe
2006-10-21 13:49 20,992 --a------ C:\WINDOWS\jestertb.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-15 16:24 -------- d-------- C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Azureus
2006-11-12 21:30 -------- d-------- C:\Programme\KillTask
2006-11-12 21:26 -------- d-------- C:\Programme\winlogon
2006-11-05 01:42 36734 --a------ C:\WINDOWS\system32\OggDSuninst.exe
2006-11-04 00:59 -------- d-------- C:\Programme\HandyBits
2006-11-02 12:51 -------- d---s---- C:\Programme\Gemeinsame Dateien\Teknum Systems
2006-10-04 18:43 -------- d---s---- C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Microsoft
2006-10-03 23:04 162432 --a------ C:\WINDOWS\system32\drivers\ithsgt.sys
2006-10-03 23:04 12032 --a------ C:\WINDOWS\system32\drivers\lilsgt.sys
2006-10-03 13:26 48928 --a------ C:\WINDOWS\system32\drivers\Tetris.sys
2006-10-03 01:15 611064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-09-23 01:02 72748 --a------ C:\WINDOWS\unins000.exe
2006-09-21 01:01 -------- d-------- C:\Programme\directx
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Update Service"="\"C:\\Programme\\Gemeinsame Dateien\\Teknum Systems\\update.exe\" /startup"
"Systems.exe"="\"\""
"updateMgr"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"M-Audio Taskbar Icon"="C:\\WINDOWS\\System32\\M-AudioTaskBarIcon.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"HPHmon03"="C:\\WINDOWS\\system32\\hphmon03.exe"
"DAEMON Tools"="\"D:\\DAEMON Tools\\daemon.exe\" -lang 1033"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,00,02,00,00,2f,00,00,00,e0,00,00,00,d6,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
"NoSharedDocuments"=dword:00000001
"NoSMBalloonTip"=dword:00000000
"NoSaveSettings"=dword:00000000
"ForceClassicControlPanel"=dword:00000001
"CDRAutoRun"=dword:00000001
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableStatusMessages"=dword:00000001
"NoInternetOpenWith"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000
"verbosestatus"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=dword:00000001
"NoSharedDocuments"=dword:00000001
"ClearRecentDocsOnExit"=dword:00000001
"NoRecentDocsHistory"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000001
"NoInstrumentation"=dword:00000001
"NoCDBurning"=dword:00000001
"NoRemoteRecursiveEvents"=dword:00000001
"NoWelcomeScreen"=dword:00000001
"NoSimpleStartMenu"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-15 16:25:52.92
C:\ComboFix.txt ... 06-11-15 16:25


Verzeichnis von C:\WINDOWS\system32

27.03.2006 22:13 24.731 stub46.ini
22.03.2006 07:21 24.602 stub47.ini
17.03.2006 19:13 24.180 stub43.ini
17.03.2006 01:38 28.672 verclsid.exe
16.03.2006 08:33 24.685 stub41.ini
13.03.2006 19:53 24.384 stub39.ini
06.03.2006 08:22 24.767 stub40.ini
04.03.2006 19:30 24.418 stub44.ini
04.03.2006 08:32 24.558 stub45.ini
04.03.2006 05:49 24.736 stub42.ini
01.03.2006 20:43 161.280 msdtcuiu.dll
01.03.2006 20:43 11.776 xolehlp.dll
01.03.2006 20:43 66.560 mtxclu.dll
01.03.2006 20:43 91.136 mtxoci.dll
01.03.2006 20:43 956.416 msdtctm.dll
01.03.2006 20:43 426.496 msdtcprx.dll
21.02.2006 18:36 0 dvrtr.dll
07.02.2006 14:35 24.174 stub36.ini
05.02.2006 15:09 23.956 stub34.ini
04.02.2006 16:21 0 xzgwh.log
04.02.2006 15:30 24.180 stub31.ini
01.02.2006 11:20 207.304 FNTCACHE.DAT
01.02.2006 02:50 0 logs2.ini
30.01.2006 00:46 24.118 stub38.ini
29.01.2006 05:02 22.118 stub18.ini
28.01.2006 21:30 23.580 stub24.ini
27.01.2006 21:10 24.538 stub33.ini
27.01.2006 13:23 24.057 stub29.ini
26.01.2006 16:37 23.685 stub20.ini
26.01.2006 09:24 24.443 stub35.ini
25.01.2006 20:11 24.085 stub23.ini
25.01.2006 19:44 24.366 stub37.ini
21.01.2006 18:47 24.101 stub28.ini
19.01.2006 22:17 23.219 stub21.ini
19.01.2006 06:31 23.997 stub32.ini
18.01.2006 12:17 23.264 stub15.ini
18.01.2006 09:33 24.565 stub27.ini
16.01.2006 18:52 23.344 stub7.ini
14.01.2006 23:26 23.318 stub8.ini
14.01.2006 07:26 23.818 stub26.ini
13.01.2006 19:22 23.501 stub11.ini
13.01.2006 18:17 22.711 stub2.ini
13.01.2006 18:17 1.199 logs1.ini
13.01.2006 13:46 23.416 stub10.ini
10.01.2006 00:23 23.496 stub9.ini
09.01.2006 16:44 23.978 stub30.ini
09.01.2006 14:00 23.166 stub3.ini
06.01.2006 01:51 22.835 stub19.ini
05.01.2006 15:45 23.904 stub25.ini
05.01.2006 02:10 23.060 stub22.ini
04.01.2006 08:27 23.847 stub14.ini
04.01.2006 04:35 68.096 webclnt.dll
03.01.2006 10:50 22.854 stub1.ini
02.01.2006 10:42 23.395 stub17.ini
30.12.2005 09:59 23.622 stub16.ini
29.12.2005 03:54 280.064 gdi32.dll
28.12.2005 16:50 23.567 stub12.ini
28.12.2005 04:06 23.500 stub5.ini
27.12.2005 23:40 23.745 stub13.ini
26.12.2005 04:18 23.619 stub6.ini
25.12.2005 06:08 23.246 stub4.ini
20.11.2005 15:12 585.728 x264vfw.dll
18.11.2005 00:46 21.840 SIntfNT.dll
18.11.2005 00:46 17.212 SIntf32.dll
18.11.2005 00:46 12.067 SIntf16.dll

Verzeichnis von C:\WINDOWS

16.05.2005 13:11 1.228 GatorPdpLoudInstaller.log


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {25A0CAC3-1209-21C6-3E92-81CC5DEB3061} - (no file)
O2 - BHO: (no name) - {4C91ED05-E936-9DB3-A2FB-94E06016CC72} - (no file)
O2 - BHO: (no name) - {962342AD-7D9C-4ED9-06F6-290AD24C961B} - (no file)
O2 - BHO: (no name) - {98BEE562-A984-68F6-3C3D-5BA8C901DC71} - (no file)
O2 - BHO: (no name) - {9F27B9CF-B4CA-5172-9786-0E69214AEDD9} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {D26AF2AB-0F2A-822B-1267-109C8769FEDC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [Systems.exe] ""
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Global Startup: ColorVisionStartup.lnk = D:\PANTONE COLORVISION\Startup\ColorVisionStartup.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6971054B-C3CA-48C2-B3DE-C8C06EC769B9}: NameServer = 192.168.1.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: M-Audio Transit Installer (TransitInstallerService) - M-Audio - C:\Programme\M-Audio\Transit\Install\TUSBInst.exe

Anhang: pc2.zip
Seitenanfang Seitenende
15.11.2006, 17:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#79 1.
Cleanup anwenden + PC neustarten
http://virus-protect.org/cleanup.html


2.
auf dem Rechner ist der Winhound (seit Dezember 2005 .. ;) ) - ich schaue noch mal genauer nach...............
http://virus-protect.org/artikel/spyware/trojanagent2.html


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\winlogon" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2006, 19:42
Member

Beiträge: 41
#80 Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Programme\winlogon

12.11.2006 21:26 <DIR> .
12.11.2006 21:26 <DIR> ..
10.05.2005 23:03 1.928.192 winlogon.exe
1 Datei(en) 1.928.192 Bytes
2 Verzeichnis(se), 5.439.008.768 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.10.2004 17:21 1.706.800 gdiplus.dll
04.10.2004 17:21 283.296 IDrop.ocx
04.10.2004 17:21 114.848 IDropENU.dll
08.12.2003 12:58 3.759 swflash.inf
04.10.2004 17:21 114.688 vizable.ocx
5 Datei(en) 2.223.391 Bytes
0 Verzeichnis(se), 5.439.004.672 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Dokumente und Einstellungen\JG

15.11.2006 19:34 <DIR> .
15.11.2006 19:34 <DIR> ..
15.11.2006 19:33 <DIR> Desktop
11.05.2005 20:55 <DIR> Eigene Dateien
11.09.2006 22:49 <DIR> Favoriten
10.05.2005 00:00 <DIR> Startmen
11.05.2005 21:01 <DIR> WINDOWS
0 Datei(en) 0 Bytes
7 Verzeichnis(se), 5.439.004.672 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Dokumente und Einstellungen\JG\Eigene Dateien

11.05.2005 20:55 <DIR> .
11.05.2005 20:55 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.439.004.672 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Program Files

21.01.2006 01:22 <DIR> .
21.01.2006 01:22 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.439.004.672 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Dokumente und Einstellungen\JG\Lokale Einstellungen\Temp

15.11.2006 19:34 <DIR> .
15.11.2006 19:34 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.439.004.672 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\WINDOWS\Temp

15.11.2006 19:34 <DIR> .
15.11.2006 19:34 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.439.004.672 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Temp

30.06.2005 11:32 <DIR> .
30.06.2005 11:32 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.439.004.672 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Programme

15.11.2006 19:33 <DIR> .
15.11.2006 19:33 <DIR> ..
20.05.2005 23:46 <DIR> ACD Systems
01.02.2006 11:54 <DIR> Adobe
02.08.2006 14:58 <DIR> AntiVir PersonalEdition Classic
26.07.2005 12:10 <DIR> backburner 2
15.11.2006 19:33 <DIR> CleanUp!
09.05.2005 23:20 <DIR> ComPlus Applications
11.05.2005 20:44 <DIR> CyberLink
21.09.2006 01:01 <DIR> directx
31.03.2006 01:37 <DIR> DivX
21.11.2005 00:49 <DIR> Fraunhofer MP3 Codec Pro
05.09.2006 01:32 <DIR> Gemeinsame Dateien
09.08.2006 22:57 <DIR> Google
04.11.2006 00:59 <DIR> HandyBits
23.08.2006 16:12 <DIR> hp photosmart
10.08.2006 02:01 <DIR> Internet Explorer
12.11.2006 21:30 <DIR> KillTask
17.04.2006 11:27 <DIR> M-Audio
17.04.2006 11:27 <DIR> M-Audio Transit
17.04.2006 11:22 <DIR> M-Audio Transit USB
01.06.2005 16:07 <DIR> Media Player Classic
09.05.2005 23:21 <DIR> Movie Maker
20.05.2005 19:34 <DIR> MSI
09.05.2005 23:19 <DIR> MSN Gaming Zone
11.05.2005 20:23 <DIR> NVIDIA Corporation
09.05.2005 23:21 <DIR> Online-Dienste
11.05.2005 23:17 <DIR> Ontrack
16.04.2006 00:57 <DIR> Outlook Express
31.03.2006 01:15 <DIR> RegCleaner
26.04.2006 08:12 <DIR> Spybot - Search & Destroy
02.08.2006 14:52 <DIR> WideStep Software
18.02.2006 13:25 <DIR> Windows Media Player
09.05.2005 23:19 <DIR> Windows NT
12.11.2006 21:26 <DIR> winlogon
21.11.2005 00:56 <DIR> x264
0 Datei(en) 0 Bytes
36 Verzeichnis(se), 5.439.000.576 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Dokumente und Einstellungen\JG\Lokale Einstellungen\Anwendungsdaten

16.05.2005 01:23 <DIR> ACDSee
16.09.2005 13:22 <DIR> Adobe
22.09.2006 11:42 <DIR> ApplicationHistory
13.11.2006 03:33 241.152 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
11.08.2005 18:05 135 fusioncache.dat
18.02.2006 00:19 61.464 GDIPFONTCACHEV1.DAT
09.08.2006 22:58 <DIR> Google
16.05.2005 01:15 <DIR> Help
30.05.2005 20:45 <DIR> Identities
04.06.2005 20:13 <DIR> Microsoft
31.03.2006 01:44 <DIR> Mozilla
21.08.2005 21:36 <DIR> WMTools Downloaded Files
15.05.2005 00:01 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150020}
30.05.2005 13:43 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142080}
3 Datei(en) 302.751 Bytes
11 Verzeichnis(se), 5.439.000.576 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Dokumente und Einstellungen\JG\Anwendungsdaten

16.05.2005 01:23 <DIR> ACD Systems
05.09.2006 01:34 <DIR> Adobe
10.08.2006 23:42 <DIR> AdobeUM
15.11.2006 19:34 <DIR> Azureus
31.08.2005 01:23 <DIR> Bradsoft.com
15.11.2005 18:09 <DIR> CyberLink
09.08.2006 22:58 <DIR> Google
16.05.2005 01:15 <DIR> Help
11.08.2005 18:38 <DIR> ID3-TagIT 3
09.05.2005 23:31 <DIR> Identities
14.05.2005 00:10 <DIR> Kazaa Lite
01.02.2006 11:54 <DIR> Leadertech
12.05.2005 00:00 <DIR> Macromedia
17.05.2005 14:50 <DIR> Media Player Classic
11.05.2005 23:53 <DIR> Mozilla
27.07.2005 18:13 <DIR> NetPumper
02.10.2005 22:15 <DIR> Opera
01.06.2005 14:28 <DIR> Real
15.06.2005 21:57 <DIR> ROXIO
15.05.2005 13:28 <DIR> Sonic Foundry
18.05.2005 09:40 <DIR> Sudeki
16.05.2005 19:10 <DIR> Sun
28.05.2005 10:58 <DIR> T-DSL SpeedManager
11.05.2005 23:53 <DIR> Talkback
12.05.2005 00:48 <DIR> vlc
0 Datei(en) 0 Bytes
25 Verzeichnis(se), 5.439.000.576 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

16.05.2005 01:25 <DIR> ACD Systems
08.02.2006 12:57 305 addr_file.html
31.01.2006 16:29 <DIR> Adobe
16.09.2005 13:20 <DIR> Adobe Systems
15.11.2006 16:01 <DIR> AntiVir PersonalEdition Classic
12.08.2006 00:43 <DIR> Apple Computer
26.07.2005 12:11 <DIR> Autodesk
11.05.2005 20:44 <DIR> CyberLink
10.08.2005 22:09 <DIR> ID3-TagIT 3
12.11.2006 21:40 <DIR> KSP
15.05.2005 13:09 <DIR> Macrovision
09.05.2005 23:31 <DIR> nView_Profiles
01.06.2005 16:07 <DIR> Real
31.03.2006 01:52 <DIR> Spybot - Search & Destroy
29.05.2005 16:12 <DIR> T-DSL SpeedManager
14.11.2005 14:44 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
15 Verzeichnis(se), 5.438.996.480 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Programme\Gemeinsame Dateien

05.09.2006 01:32 <DIR> .
05.09.2006 01:32 <DIR> ..
20.05.2005 23:48 <DIR> ACD Systems
12.02.2006 18:18 <DIR> Adobe
16.09.2005 13:17 <DIR> Adobe Systems Shared
15.06.2005 21:51 <DIR> Ahead
26.07.2005 12:11 <DIR> Autodesk Shared
11.05.2005 20:52 <DIR> DESIGNER
09.05.2005 23:21 <DIR> Dienste
11.05.2005 20:59 <DIR> InstallShield
30.05.2005 16:22 <DIR> Java
11.05.2005 20:52 <DIR> Microsoft Shared
09.05.2005 23:21 <DIR> MSSoap
11.05.2005 20:23 <DIR> NVIDIA Shared
10.05.2005 00:00 <DIR> ODBC
01.06.2005 14:28 <DIR> Real
11.05.2005 21:00 <DIR> ROXIO Shared
10.05.2005 00:00 <DIR> SpeechEngines
16.04.2006 00:57 <DIR> System
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 5.438.996.480 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4

Verzeichnis von C:\Windows\tasks
Seitenanfang Seitenende
15.11.2006, 19:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#81 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\Programme\winlogon\winlogon.exe

poste den report

____________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html

Zitat

Files to delete:
C:\WINDOWS\system32\stub46.ini
C:\WINDOWS\system32\stub47.ini
C:\WINDOWS\system32\stub43.ini
C:\WINDOWS\system32\stub41.ini
C:\WINDOWS\system32\stub39.ini
C:\WINDOWS\system32\stub40.ini
C:\WINDOWS\system32\stub44.ini
C:\WINDOWS\system32\stub45.ini
C:\WINDOWS\system32\stub42.ini
C:\WINDOWS\system32\dvrtr.dll
C:\WINDOWS\system32\stub36.ini
C:\WINDOWS\system32\stub34.ini
C:\WINDOWS\system32\xzgwh.log
C:\WINDOWS\system32\stub31.ini
C:\WINDOWS\system32\logs2.ini
C:\WINDOWS\system32\stub38.ini
C:\WINDOWS\system32\stub18.ini
C:\WINDOWS\system32\stub24.ini
C:\WINDOWS\system32\stub33.ini
C:\WINDOWS\system32\stub29.ini
C:\WINDOWS\system32\stub20.ini
C:\WINDOWS\system32\stub35.ini
C:\WINDOWS\system32\stub23.ini
C:\WINDOWS\system32\stub37.ini
C:\WINDOWS\system32\stub28.ini
C:\WINDOWS\system32\stub21.ini
C:\WINDOWS\system32\stub32.ini
C:\WINDOWS\system32\stub15.ini
C:\WINDOWS\system32\stub27.ini
C:\WINDOWS\system32\stub7.ini
C:\WINDOWS\system32\stub8.ini
C:\WINDOWS\system32\stub26.ini
C:\WINDOWS\system32\stub11.ini
C:\WINDOWS\system32\stub2.ini
C:\WINDOWS\system32\logs1.ini
C:\WINDOWS\system32\stub10.ini
C:\WINDOWS\system32\stub9.ini
C:\WINDOWS\system32\stub30.ini
C:\WINDOWS\system32\stub3.ini
C:\WINDOWS\system32\stub19.ini
C:\WINDOWS\system32\stub25.ini
C:\WINDOWS\system32\stub22.ini
C:\WINDOWS\system32\stub14.ini
C:\WINDOWS\system32\stub1.ini
C:\WINDOWS\system32\stub17.ini
C:\WINDOWS\system32\stub16.ini
C:\WINDOWS\system32\stub12.ini
C:\WINDOWS\system32\stub5.ini
C:\WINDOWS\system32\stub13.ini
C:\WINDOWS\system32\stub6.ini
C:\WINDOWS\system32\stub4.ini
C:\WINDOWS\GatorPdpLoudInstaller.log

Folders to delete:
C:\Dokumente und Einstellungen\JG\Anwendungsdaten\NetPumper


ADS Spy
http://virus-protect.org/artikel/tools/ADSSpy.exe
http://virus-protect.org/streams.html

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk

poste den report

_______

Fixe mit dem HijackThis:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {25A0CAC3-1209-21C6-3E92-81CC5DEB3061} - (no file)
O2 - BHO: (no name) - {4C91ED05-E936-9DB3-A2FB-94E06016CC72} - (no file)
O2 - BHO: (no name) - {962342AD-7D9C-4ED9-06F6-290AD24C961B} - (no file)
O2 - BHO: (no name) - {98BEE562-A984-68F6-3C3D-5BA8C901DC71} - (no file)
O2 - BHO: (no name) - {9F27B9CF-B4CA-5172-9786-0E69214AEDD9} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {D26AF2AB-0F2A-822B-1267-109C8769FEDC} - (no file)

O4 - HKCU\..\Run: [Systems.exe] ""

PC neustarten

neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 14:37
Member

Beiträge: 41
#82 Sind all diese Einträge und Dateien vom "Winhound", oder ist da auch noch anderer Mist drauf?

-----------------------------------

Folgendes läßt sich nicht über hijackthis löschen:

Zitat

O2 - BHO: (no name) - {25A0CAC3-1209-21C6-3E92-81CC5DEB3061} - (no file)
O2 - BHO: (no name) - {4C91ED05-E936-9DB3-A2FB-94E06016CC72} - (no file)
O2 - BHO: (no name) - {962342AD-7D9C-4ED9-06F6-290AD24C961B} - (no file)
O2 - BHO: (no name) - {98BEE562-A984-68F6-3C3D-5BA8C901DC71} - (no file)
O2 - BHO: (no name) - {9F27B9CF-B4CA-5172-9786-0E69214AEDD9} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {D26AF2AB-0F2A-822B-1267-109C8769FEDC} - (no file)
Und beim VErsuch das hier zu löschen wird hijackthis sogar einfach beendet:

Zitat

O4 - HKCU\..\Run: [Systems.exe] ""
VirusTotal meldet über C:\Programme\winlogon\winlogon.exe folgendes:

Zitat

Complete scanning result of "winlogon.exe", received in VirusTotal at 11.16.2006, 14:26:32 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.16.2006 no virus found
Authentium 4.93.8 11.16.2006 no virus found
Avast 4.7.892.0 11.15.2006 no virus found
AVG 386 11.15.2006 no virus found
BitDefender 7.2 11.16.2006 Application.Key.Logger.Kgb.Keylogger.A
CAT-QuickHeal 8.00 11.15.2006 no virus found
ClamAV devel-20060426 11.16.2006 no virus found
DrWeb 4.33 11.16.2006 no virus found
eTrust-InoculateIT 23.73.57 11.16.2006 no virus found
eTrust-Vet 30.3.3195 11.16.2006 no virus found
Ewido 4.0 11.16.2006 Not-A-Virus.Monitor.Win32.KGBSpy.184
Fortinet 2.82.0.0 11.16.2006 W32/KGBSpy
F-Prot 3.16f 11.16.2006 no virus found
F-Prot4 4.2.1.29 11.16.2006 no virus found
Ikarus 0.2.65.0 11.15.2006 no virus found
Kaspersky 4.0.2.24 11.16.2006 not-a-virus:Monitor.Win32.KGBSpy.184
McAfee 4896 11.15.2006 no virus found
Microsoft 1.1609 11.16.2006 KGB Keylogger (Thread-c)
NOD32v2 1868 11.15.2006 no virus found
Norman 5.80.02 11.15.2006 no virus found
Panda 9.0.0.4 11.15.2006 no virus found
Prevx1 V2 11.16.2006 Malicious
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.1.119 11.15.2006 Aplicacion/KGBSpy.184
UNA 1.83 11.15.2006 no virus found
VBA32 3.11.1 11.15.2006 no virus found
VirusBuster 4.3.15:9 11.15.2006 no virus found

Aditional Information
File size: 1928192 bytes
MD5: 607412542368fed22b53a899b35a7c93
SHA1: 5a7310608aed05625ad003d70826628c0613dc9b
Und Avenger:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ejabvpfg

*******************

Script file located at: \??\C:\Program Files\msxkyvul.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\stub46.ini deleted successfully.
File C:\WINDOWS\system32\stub47.ini deleted successfully.
File C:\WINDOWS\system32\stub43.ini deleted successfully.
File C:\WINDOWS\system32\stub41.ini deleted successfully.
File C:\WINDOWS\system32\stub39.ini deleted successfully.
File C:\WINDOWS\system32\stub40.ini deleted successfully.
File C:\WINDOWS\system32\stub44.ini deleted successfully.
File C:\WINDOWS\system32\stub45.ini deleted successfully.
File C:\WINDOWS\system32\stub42.ini deleted successfully.
File C:\WINDOWS\system32\dvrtr.dll deleted successfully.
File C:\WINDOWS\system32\stub36.ini deleted successfully.
File C:\WINDOWS\system32\stub34.ini deleted successfully.
File C:\WINDOWS\system32\xzgwh.log deleted successfully.
File C:\WINDOWS\system32\stub31.ini deleted successfully.
File C:\WINDOWS\system32\logs2.ini deleted successfully.
File C:\WINDOWS\system32\stub38.ini deleted successfully.
File C:\WINDOWS\system32\stub18.ini deleted successfully.
File C:\WINDOWS\system32\stub24.ini deleted successfully.
File C:\WINDOWS\system32\stub33.ini deleted successfully.
File C:\WINDOWS\system32\stub29.ini deleted successfully.
File C:\WINDOWS\system32\stub20.ini deleted successfully.
File C:\WINDOWS\system32\stub35.ini deleted successfully.
File C:\WINDOWS\system32\stub23.ini deleted successfully.
File C:\WINDOWS\system32\stub37.ini deleted successfully.
File C:\WINDOWS\system32\stub28.ini deleted successfully.
File C:\WINDOWS\system32\stub21.ini deleted successfully.
File C:\WINDOWS\system32\stub32.ini deleted successfully.
File C:\WINDOWS\system32\stub15.ini deleted successfully.
File C:\WINDOWS\system32\stub27.ini deleted successfully.
File C:\WINDOWS\system32\stub7.ini deleted successfully.
File C:\WINDOWS\system32\stub8.ini deleted successfully.
File C:\WINDOWS\system32\stub26.ini deleted successfully.
File C:\WINDOWS\system32\stub11.ini deleted successfully.
File C:\WINDOWS\system32\stub2.ini deleted successfully.
File C:\WINDOWS\system32\logs1.ini deleted successfully.
File C:\WINDOWS\system32\stub10.ini deleted successfully.
File C:\WINDOWS\system32\stub9.ini deleted successfully.
File C:\WINDOWS\system32\stub30.ini deleted successfully.
File C:\WINDOWS\system32\stub3.ini deleted successfully.
File C:\WINDOWS\system32\stub19.ini deleted successfully.
File C:\WINDOWS\system32\stub25.ini deleted successfully.
File C:\WINDOWS\system32\stub22.ini deleted successfully.
File C:\WINDOWS\system32\stub14.ini deleted successfully.
File C:\WINDOWS\system32\stub1.ini deleted successfully.
File C:\WINDOWS\system32\stub17.ini deleted successfully.
File C:\WINDOWS\system32\stub16.ini deleted successfully.
File C:\WINDOWS\system32\stub12.ini deleted successfully.
File C:\WINDOWS\system32\stub5.ini deleted successfully.
File C:\WINDOWS\system32\stub13.ini deleted successfully.
File C:\WINDOWS\system32\stub6.ini deleted successfully.
File C:\WINDOWS\system32\stub4.ini deleted successfully.
File C:\WINDOWS\GatorPdpLoudInstaller.log deleted successfully.


Folder C:\Dokumente und Einstellungen\JG\AnwendungsdatenNetPumper not found!
Deletion of folder C:\Dokumente und Einstellungen\JG\AnwendungsdatenNetPumper failed!

Could not process line:
C:\Dokumente und Einstellungen\JG\AnwendungsdatenNetPumper
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
ADCSpy

Zitat

C:\WINDOWS\KB901214.log : sacmxp (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\WINDOWS\ODBC.INI : jxmng (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\WINDOWS\Zapotek.bmp : umzgmc (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

Avenger 2ter Versuch (Beim letzten Eintrag fehlte ein Backslash)

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ksuoavlg

*******************

Script file located at: \??\C:\Program Files\lvshtfps.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Dokumente und Einstellungen\JG\Anwendungsdaten\NetPumper deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Dieser Beitrag wurde am 16.11.2006 um 14:45 Uhr von Nomatic editiert.
Seitenanfang Seitenende
16.11.2006, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#83 0.
mit ADCSpy - die gefundenen Streams loeschen lassen !

1.
Avenger

Zitat

Folders to delete:
C:\Programme\winlogon
C:\Dokumente und Einstellungen\JG\Anwendungsdaten\NetPumper
2.
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Systems.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 14:53
Member

Beiträge: 41
#84 Regsearch findet zwar was, gibt beim Versuch das Ganze mit Wordpad anzuzeigen aber folgendes aus: (Siehe Anhang)
------
Achja, und seitdem wir meinen PC bereinigt haben sehe ich niemanden mehr im in der "Netzwerkumgebung". Früher waren da halt sämtliche Mitglieder und deren Ordner, nun ist das komplett leer. Ich kann allerdings bei den anderen gesehen werden.

---------

Avenger für c:\programme\winlogon

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jaqrifsl

*******************

Script file located at: \??\C:\Program Files\bjugngvv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\winlogon deleted successfully.

Completed script processing.

*******************

Finished! Terminate.[/qoute]


Dieser Beitrag wurde am 16.11.2006 um 15:00 Uhr von Nomatic editiert.
Seitenanfang Seitenende
16.11.2006, 15:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#85 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Systems.exe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 15:14
Member

Beiträge: 41
#86 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.11.2006 15:13:57 for strings:
; 'systems.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Systems.exe"="\"\""

; End Of The Log...
Seitenanfang Seitenende
16.11.2006, 15:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#87 gehe in die Registry
Start - Ausfuehren - regedit

oben links- bearbeiten - suchen - Systems.exe

loesche den Eintrag (siehe oben)
+
starte den rechner neu

************************************************

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\systems*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 15:45
Member

Beiträge: 41
#88 Wird nicht mehr gefunden, aus Run ist und bleibt es verschwunden.

Soll ich dann jetzt mal kaspersky bzw panda laufen lassen?
Dieser Beitrag wurde am 16.11.2006 um 15:50 Uhr von Nomatic editiert.
Seitenanfang Seitenende
16.11.2006, 15:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#89 ja, scanne mit kaspersky Online oder lade den scanner
http://virus-protect.org/onlinescan.html

dann poste auch das neue log vom Hijackthis - mal sehen, was mit den 02-Eintraegen ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 16:11
Member

Beiträge: 41
#90 Ok, das dauert ja dann wieder eine Weile... Eine Frage: Mein Bruder wohnt in einer WG und hat bei sich einen Keylogger installiert (http://www.elite-keylogger.com/) um zu überprüfen ob jemand in seiner Abwesenheit am PC war.
Stellt das ein Sicherheitsrisiko dar, oder kann man den getrost benutzen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: