Command.exe als ProzessThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
14.11.2006, 17:16
Member
Beiträge: 41 |
||
|
||
15.11.2006, 01:21
Ehrenmitglied
Beiträge: 29434 |
#77
kein Problem, reinigen wir alle
aber bitte einen nach dem anderen - HijackThis, Combofix und datfindbat p.s : ich habe alle Malware "im Gedaechnis" - Erfahrung - , oder ich suche nach Infos , oder die virenscanner helfen , wenn nichts mehr geht. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.11.2006, 16:31
Member
Beiträge: 41 |
#78
Zitat ich habe alle Malware "im Gedaechnis" - Erfahrung -hart Zitat oder ich suche nach Infoswo? Wenn ich nach solchen SAchen suche, lande ich auf Seiten die einem zwar sagen ob nun die ein oder andere Datei gut/schlecht ist, aber ich find nirgends etwas wo zum Beispiel eine Liste von Dateien steht, die alle zum Trojaner XY gehören, oder wie diese Trojaner überhaupt heißen - wenn wir schon bei XY sind. Wie heißen die Dinger eigentlich "offiziell"? Jeder Scanner gibt denen irgendwelche merkwürdigen eigenen Bezeichnungen, mit denen man überhauptnichts anfangen kann... Die Materie find ich ziemlich interessant, nur brauche ich eine Art Einstiegshilfe um mich näher damit auseinanderzusetzen. ------------------------------------------------------ Was die anderen Rechner angeht: Find ich sehr nett, daß du mir auch bei denen hilfst Ich hab die Logs von combofix, hijackthis, datfind und filelist (das ist so ähnlich wie datfind) gezippt, da sie wahrscheinlich zu lang für posten wären. Ist hoffentlich in ordnung!? (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Install.dat ((((((((((((((((((((((((((((((( Files Created from 2006-10-15 to 2006-11-15 )))))))))))))))))))))))))))))))))) 2006-11-15 16:25 668 --a------ C:\datFind.bat 2006-11-04 17:32 73,728 --a------ C:\WINDOWS\system32\MVmc14n.dll 2006-11-04 17:32 68,608 --a------ C:\WINDOWS\system32\MVix14n.dll 2006-11-04 17:32 56,320 --a------ C:\WINDOWS\system32\MVfs14n.dll 2006-11-04 17:32 51,200 --a------ C:\WINDOWS\system32\MVsr14n.dll 2006-11-04 17:32 50,688 --a------ C:\WINDOWS\system32\MVtl14n.dll 2006-11-04 17:32 32,768 --a------ C:\WINDOWS\system32\MVmg14n.dll 2006-11-04 17:32 25,600 --a------ C:\WINDOWS\system32\MVbk14n.dll 2006-11-04 17:32 211,424 --a------ C:\WINDOWS\system32\DBClient.dll 2006-11-04 17:32 112,128 --a------ C:\WINDOWS\system32\MVcl14n.dll 2006-11-04 17:32 10,240 --a------ C:\WINDOWS\system32\MVut14n.dll 2006-11-04 01:04 247,664 --a------ C:\WINDOWS\UNINST16.EXE 2006-10-25 14:50 302,592 --a------ C:\WINDOWS\unin0407.exe 2006-10-21 13:49 20,992 --a------ C:\WINDOWS\jestertb.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-15 16:24 -------- d-------- C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Azureus 2006-11-12 21:30 -------- d-------- C:\Programme\KillTask 2006-11-12 21:26 -------- d-------- C:\Programme\winlogon 2006-11-05 01:42 36734 --a------ C:\WINDOWS\system32\OggDSuninst.exe 2006-11-04 00:59 -------- d-------- C:\Programme\HandyBits 2006-11-02 12:51 -------- d---s---- C:\Programme\Gemeinsame Dateien\Teknum Systems 2006-10-04 18:43 -------- d---s---- C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Microsoft 2006-10-03 23:04 162432 --a------ C:\WINDOWS\system32\drivers\ithsgt.sys 2006-10-03 23:04 12032 --a------ C:\WINDOWS\system32\drivers\lilsgt.sys 2006-10-03 13:26 48928 --a------ C:\WINDOWS\system32\drivers\Tetris.sys 2006-10-03 01:15 611064 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2006-09-23 01:02 72748 --a------ C:\WINDOWS\unins000.exe 2006-09-21 01:01 -------- d-------- C:\Programme\directx 2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll 2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll 2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll 2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe 2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Update Service"="\"C:\\Programme\\Gemeinsame Dateien\\Teknum Systems\\update.exe\" /startup" "Systems.exe"="\"\"" "updateMgr"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "M-Audio Taskbar Icon"="C:\\WINDOWS\\System32\\M-AudioTaskBarIcon.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "HPHmon03"="C:\\WINDOWS\\system32\\hphmon03.exe" "DAEMON Tools"="\"D:\\DAEMON Tools\\daemon.exe\" -lang 1033" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,00,02,00,00,2f,00,00,00,e0,00,00,00,d6,00,\ 00,00,01,00,00,00 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=hex:91,00,00,00 "NoSharedDocuments"=dword:00000001 "NoSMBalloonTip"=dword:00000000 "NoSaveSettings"=dword:00000000 "ForceClassicControlPanel"=dword:00000001 "CDRAutoRun"=dword:00000001 "NoActiveDesktop"=dword:00000000 "ClassicShell"=dword:00000000 "ForceActiveDesktopOn"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "DisableStatusMessages"=dword:00000001 "NoInternetOpenWith"=dword:00000001 "SynchronousMachineGroupPolicy"=dword:00000000 "SynchronousUserGroupPolicy"=dword:00000000 "verbosestatus"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=dword:00000001 "NoSharedDocuments"=dword:00000001 "ClearRecentDocsOnExit"=dword:00000001 "NoRecentDocsHistory"=dword:00000001 "NoRecentDocsMenu"=dword:00000001 "NoLowDiskSpaceChecks"=dword:00000001 "NoInstrumentation"=dword:00000001 "NoCDBurning"=dword:00000001 "NoRemoteRecursiveEvents"=dword:00000001 "NoWelcomeScreen"=dword:00000001 "NoSimpleStartMenu"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=hex:91,00,00,00 "CDRAutoRun"=dword:00000000 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=hex:91,00,00,00 "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Completion time: 06-11-15 16:25:52.92 C:\ComboFix.txt ... 06-11-15 16:25 Verzeichnis von C:\WINDOWS\system32 27.03.2006 22:13 24.731 stub46.ini 22.03.2006 07:21 24.602 stub47.ini 17.03.2006 19:13 24.180 stub43.ini 17.03.2006 01:38 28.672 verclsid.exe 16.03.2006 08:33 24.685 stub41.ini 13.03.2006 19:53 24.384 stub39.ini 06.03.2006 08:22 24.767 stub40.ini 04.03.2006 19:30 24.418 stub44.ini 04.03.2006 08:32 24.558 stub45.ini 04.03.2006 05:49 24.736 stub42.ini 01.03.2006 20:43 161.280 msdtcuiu.dll 01.03.2006 20:43 11.776 xolehlp.dll 01.03.2006 20:43 66.560 mtxclu.dll 01.03.2006 20:43 91.136 mtxoci.dll 01.03.2006 20:43 956.416 msdtctm.dll 01.03.2006 20:43 426.496 msdtcprx.dll 21.02.2006 18:36 0 dvrtr.dll 07.02.2006 14:35 24.174 stub36.ini 05.02.2006 15:09 23.956 stub34.ini 04.02.2006 16:21 0 xzgwh.log 04.02.2006 15:30 24.180 stub31.ini 01.02.2006 11:20 207.304 FNTCACHE.DAT 01.02.2006 02:50 0 logs2.ini 30.01.2006 00:46 24.118 stub38.ini 29.01.2006 05:02 22.118 stub18.ini 28.01.2006 21:30 23.580 stub24.ini 27.01.2006 21:10 24.538 stub33.ini 27.01.2006 13:23 24.057 stub29.ini 26.01.2006 16:37 23.685 stub20.ini 26.01.2006 09:24 24.443 stub35.ini 25.01.2006 20:11 24.085 stub23.ini 25.01.2006 19:44 24.366 stub37.ini 21.01.2006 18:47 24.101 stub28.ini 19.01.2006 22:17 23.219 stub21.ini 19.01.2006 06:31 23.997 stub32.ini 18.01.2006 12:17 23.264 stub15.ini 18.01.2006 09:33 24.565 stub27.ini 16.01.2006 18:52 23.344 stub7.ini 14.01.2006 23:26 23.318 stub8.ini 14.01.2006 07:26 23.818 stub26.ini 13.01.2006 19:22 23.501 stub11.ini 13.01.2006 18:17 22.711 stub2.ini 13.01.2006 18:17 1.199 logs1.ini 13.01.2006 13:46 23.416 stub10.ini 10.01.2006 00:23 23.496 stub9.ini 09.01.2006 16:44 23.978 stub30.ini 09.01.2006 14:00 23.166 stub3.ini 06.01.2006 01:51 22.835 stub19.ini 05.01.2006 15:45 23.904 stub25.ini 05.01.2006 02:10 23.060 stub22.ini 04.01.2006 08:27 23.847 stub14.ini 04.01.2006 04:35 68.096 webclnt.dll 03.01.2006 10:50 22.854 stub1.ini 02.01.2006 10:42 23.395 stub17.ini 30.12.2005 09:59 23.622 stub16.ini 29.12.2005 03:54 280.064 gdi32.dll 28.12.2005 16:50 23.567 stub12.ini 28.12.2005 04:06 23.500 stub5.ini 27.12.2005 23:40 23.745 stub13.ini 26.12.2005 04:18 23.619 stub6.ini 25.12.2005 06:08 23.246 stub4.ini 20.11.2005 15:12 585.728 x264vfw.dll 18.11.2005 00:46 21.840 SIntfNT.dll 18.11.2005 00:46 17.212 SIntf32.dll 18.11.2005 00:46 12.067 SIntf16.dll Verzeichnis von C:\WINDOWS 16.05.2005 13:11 1.228 GatorPdpLoudInstaller.log R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {25A0CAC3-1209-21C6-3E92-81CC5DEB3061} - (no file) O2 - BHO: (no name) - {4C91ED05-E936-9DB3-A2FB-94E06016CC72} - (no file) O2 - BHO: (no name) - {962342AD-7D9C-4ED9-06F6-290AD24C961B} - (no file) O2 - BHO: (no name) - {98BEE562-A984-68F6-3C3D-5BA8C901DC71} - (no file) O2 - BHO: (no name) - {9F27B9CF-B4CA-5172-9786-0E69214AEDD9} - (no file) O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file) O2 - BHO: (no name) - {D26AF2AB-0F2A-822B-1267-109C8769FEDC} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup O4 - HKCU\..\Run: [Systems.exe] "" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1 O4 - Global Startup: ColorVisionStartup.lnk = D:\PANTONE COLORVISION\Startup\ColorVisionStartup.exe O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Microsoft Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{6971054B-C3CA-48C2-B3DE-C8C06EC769B9}: NameServer = 192.168.1.1 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe O23 - Service: M-Audio Transit Installer (TransitInstallerService) - M-Audio - C:\Programme\M-Audio\Transit\Install\TUSBInst.exe Anhang: pc2.zip
|
|
|
||
15.11.2006, 17:50
Ehrenmitglied
Beiträge: 29434 |
#79
1.
Cleanup anwenden + PC neustarten http://virus-protect.org/cleanup.html 2. auf dem Rechner ist der Winhound (seit Dezember 2005 .. ) - ich schaue noch mal genauer nach............... http://virus-protect.org/artikel/spyware/trojanagent2.html Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.11.2006, 19:42
Member
Beiträge: 41 |
#80
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Programme\winlogon 12.11.2006 21:26 <DIR> . 12.11.2006 21:26 <DIR> .. 10.05.2005 23:03 1.928.192 winlogon.exe 1 Datei(en) 1.928.192 Bytes 2 Verzeichnis(se), 5.439.008.768 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\WINDOWS\Downloaded Program Files 04.10.2004 17:21 1.706.800 gdiplus.dll 04.10.2004 17:21 283.296 IDrop.ocx 04.10.2004 17:21 114.848 IDropENU.dll 08.12.2003 12:58 3.759 swflash.inf 04.10.2004 17:21 114.688 vizable.ocx 5 Datei(en) 2.223.391 Bytes 0 Verzeichnis(se), 5.439.004.672 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Programme Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Dokumente und Einstellungen\JG 15.11.2006 19:34 <DIR> . 15.11.2006 19:34 <DIR> .. 15.11.2006 19:33 <DIR> Desktop 11.05.2005 20:55 <DIR> Eigene Dateien 11.09.2006 22:49 <DIR> Favoriten 10.05.2005 00:00 <DIR> Startmen 11.05.2005 21:01 <DIR> WINDOWS 0 Datei(en) 0 Bytes 7 Verzeichnis(se), 5.439.004.672 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Dokumente und Einstellungen\JG\Eigene Dateien 11.05.2005 20:55 <DIR> . 11.05.2005 20:55 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 5.439.004.672 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Program Files 21.01.2006 01:22 <DIR> . 21.01.2006 01:22 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 5.439.004.672 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Dokumente und Einstellungen\JG\Lokale Einstellungen\Temp 15.11.2006 19:34 <DIR> . 15.11.2006 19:34 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 5.439.004.672 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\WINDOWS\Temp 15.11.2006 19:34 <DIR> . 15.11.2006 19:34 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 5.439.004.672 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Temp 30.06.2005 11:32 <DIR> . 30.06.2005 11:32 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 5.439.004.672 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Programme 15.11.2006 19:33 <DIR> . 15.11.2006 19:33 <DIR> .. 20.05.2005 23:46 <DIR> ACD Systems 01.02.2006 11:54 <DIR> Adobe 02.08.2006 14:58 <DIR> AntiVir PersonalEdition Classic 26.07.2005 12:10 <DIR> backburner 2 15.11.2006 19:33 <DIR> CleanUp! 09.05.2005 23:20 <DIR> ComPlus Applications 11.05.2005 20:44 <DIR> CyberLink 21.09.2006 01:01 <DIR> directx 31.03.2006 01:37 <DIR> DivX 21.11.2005 00:49 <DIR> Fraunhofer MP3 Codec Pro 05.09.2006 01:32 <DIR> Gemeinsame Dateien 09.08.2006 22:57 <DIR> Google 04.11.2006 00:59 <DIR> HandyBits 23.08.2006 16:12 <DIR> hp photosmart 10.08.2006 02:01 <DIR> Internet Explorer 12.11.2006 21:30 <DIR> KillTask 17.04.2006 11:27 <DIR> M-Audio 17.04.2006 11:27 <DIR> M-Audio Transit 17.04.2006 11:22 <DIR> M-Audio Transit USB 01.06.2005 16:07 <DIR> Media Player Classic 09.05.2005 23:21 <DIR> Movie Maker 20.05.2005 19:34 <DIR> MSI 09.05.2005 23:19 <DIR> MSN Gaming Zone 11.05.2005 20:23 <DIR> NVIDIA Corporation 09.05.2005 23:21 <DIR> Online-Dienste 11.05.2005 23:17 <DIR> Ontrack 16.04.2006 00:57 <DIR> Outlook Express 31.03.2006 01:15 <DIR> RegCleaner 26.04.2006 08:12 <DIR> Spybot - Search & Destroy 02.08.2006 14:52 <DIR> WideStep Software 18.02.2006 13:25 <DIR> Windows Media Player 09.05.2005 23:19 <DIR> Windows NT 12.11.2006 21:26 <DIR> winlogon 21.11.2005 00:56 <DIR> x264 0 Datei(en) 0 Bytes 36 Verzeichnis(se), 5.439.000.576 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Dokumente und Einstellungen\JG\Lokale Einstellungen\Anwendungsdaten 16.05.2005 01:23 <DIR> ACDSee 16.09.2005 13:22 <DIR> Adobe 22.09.2006 11:42 <DIR> ApplicationHistory 13.11.2006 03:33 241.152 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 11.08.2005 18:05 135 fusioncache.dat 18.02.2006 00:19 61.464 GDIPFONTCACHEV1.DAT 09.08.2006 22:58 <DIR> Google 16.05.2005 01:15 <DIR> Help 30.05.2005 20:45 <DIR> Identities 04.06.2005 20:13 <DIR> Microsoft 31.03.2006 01:44 <DIR> Mozilla 21.08.2005 21:36 <DIR> WMTools Downloaded Files 15.05.2005 00:01 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150020} 30.05.2005 13:43 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142080} 3 Datei(en) 302.751 Bytes 11 Verzeichnis(se), 5.439.000.576 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Dokumente und Einstellungen\JG\Anwendungsdaten 16.05.2005 01:23 <DIR> ACD Systems 05.09.2006 01:34 <DIR> Adobe 10.08.2006 23:42 <DIR> AdobeUM 15.11.2006 19:34 <DIR> Azureus 31.08.2005 01:23 <DIR> Bradsoft.com 15.11.2005 18:09 <DIR> CyberLink 09.08.2006 22:58 <DIR> Google 16.05.2005 01:15 <DIR> Help 11.08.2005 18:38 <DIR> ID3-TagIT 3 09.05.2005 23:31 <DIR> Identities 14.05.2005 00:10 <DIR> Kazaa Lite 01.02.2006 11:54 <DIR> Leadertech 12.05.2005 00:00 <DIR> Macromedia 17.05.2005 14:50 <DIR> Media Player Classic 11.05.2005 23:53 <DIR> Mozilla 27.07.2005 18:13 <DIR> NetPumper 02.10.2005 22:15 <DIR> Opera 01.06.2005 14:28 <DIR> Real 15.06.2005 21:57 <DIR> ROXIO 15.05.2005 13:28 <DIR> Sonic Foundry 18.05.2005 09:40 <DIR> Sudeki 16.05.2005 19:10 <DIR> Sun 28.05.2005 10:58 <DIR> T-DSL SpeedManager 11.05.2005 23:53 <DIR> Talkback 12.05.2005 00:48 <DIR> vlc 0 Datei(en) 0 Bytes 25 Verzeichnis(se), 5.439.000.576 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 16.05.2005 01:25 <DIR> ACD Systems 08.02.2006 12:57 305 addr_file.html 31.01.2006 16:29 <DIR> Adobe 16.09.2005 13:20 <DIR> Adobe Systems 15.11.2006 16:01 <DIR> AntiVir PersonalEdition Classic 12.08.2006 00:43 <DIR> Apple Computer 26.07.2005 12:11 <DIR> Autodesk 11.05.2005 20:44 <DIR> CyberLink 10.08.2005 22:09 <DIR> ID3-TagIT 3 12.11.2006 21:40 <DIR> KSP 15.05.2005 13:09 <DIR> Macrovision 09.05.2005 23:31 <DIR> nView_Profiles 01.06.2005 16:07 <DIR> Real 31.03.2006 01:52 <DIR> Spybot - Search & Destroy 29.05.2005 16:12 <DIR> T-DSL SpeedManager 14.11.2005 14:44 <DIR> Windows Genuine Advantage 1 Datei(en) 305 Bytes 15 Verzeichnis(se), 5.438.996.480 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Programme\Gemeinsame Dateien 05.09.2006 01:32 <DIR> . 05.09.2006 01:32 <DIR> .. 20.05.2005 23:48 <DIR> ACD Systems 12.02.2006 18:18 <DIR> Adobe 16.09.2005 13:17 <DIR> Adobe Systems Shared 15.06.2005 21:51 <DIR> Ahead 26.07.2005 12:11 <DIR> Autodesk Shared 11.05.2005 20:52 <DIR> DESIGNER 09.05.2005 23:21 <DIR> Dienste 11.05.2005 20:59 <DIR> InstallShield 30.05.2005 16:22 <DIR> Java 11.05.2005 20:52 <DIR> Microsoft Shared 09.05.2005 23:21 <DIR> MSSoap 11.05.2005 20:23 <DIR> NVIDIA Shared 10.05.2005 00:00 <DIR> ODBC 01.06.2005 14:28 <DIR> Real 11.05.2005 21:00 <DIR> ROXIO Shared 10.05.2005 00:00 <DIR> SpeechEngines 16.04.2006 00:57 <DIR> System 0 Datei(en) 0 Bytes 19 Verzeichnis(se), 5.438.996.480 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: DCBA-99C4 Verzeichnis von C:\Windows\tasks |
|
|
||
15.11.2006, 19:52
Ehrenmitglied
Beiträge: 29434 |
#81
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\Programme\winlogon\winlogon.exe poste den report ____________________________________________________ Avenger http://virus-protect.org/artikel/tools/avenger.html Zitat Files to delete:ADS Spy http://virus-protect.org/artikel/tools/ADSSpy.exe http://virus-protect.org/streams.html - Quick scan - Ignore system info data streams - Calculate MD5 checksums of streams' contents wenn der scan beendet ist, klicke mit der rechten Maustaste auf das Fenster Save scan results to disk poste den report _______ Fixe mit dem HijackThis: Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blankPC neustarten neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2006, 14:37
Member
Beiträge: 41 |
#82
Sind all diese Einträge und Dateien vom "Winhound", oder ist da auch noch anderer Mist drauf?
----------------------------------- Folgendes läßt sich nicht über hijackthis löschen: Zitat O2 - BHO: (no name) - {25A0CAC3-1209-21C6-3E92-81CC5DEB3061} - (no file)Und beim VErsuch das hier zu löschen wird hijackthis sogar einfach beendet: Zitat O4 - HKCU\..\Run: [Systems.exe] ""VirusTotal meldet über C:\Programme\winlogon\winlogon.exe folgendes: Zitat Complete scanning result of "winlogon.exe", received in VirusTotal at 11.16.2006, 14:26:32 (CET).Und Avenger: Zitat Logfile of The Avenger version 1, by Swandog46ADCSpy Zitat C:\WINDOWS\KB901214.log : sacmxp (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)Avenger 2ter Versuch (Beim letzten Eintrag fehlte ein Backslash) Zitat Logfile of The Avenger version 1, by Swandog46 Dieser Beitrag wurde am 16.11.2006 um 14:45 Uhr von Nomatic editiert.
|
|
|
||
16.11.2006, 14:42
Ehrenmitglied
Beiträge: 29434 |
#83
0.
mit ADCSpy - die gefundenen Streams loeschen lassen ! 1. Avenger Zitat Folders to delete:2. Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: Systems.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2006, 14:53
Member
Beiträge: 41 |
#84
Regsearch findet zwar was, gibt beim Versuch das Ganze mit Wordpad anzuzeigen aber folgendes aus: (Siehe Anhang)
------ Achja, und seitdem wir meinen PC bereinigt haben sehe ich niemanden mehr im in der "Netzwerkumgebung". Früher waren da halt sämtliche Mitglieder und deren Ordner, nun ist das komplett leer. Ich kann allerdings bei den anderen gesehen werden. --------- Avenger für c:\programme\winlogon Zitat Logfile of The Avenger version 1, by Swandog46 Anhang: Unbenannt-2.gif Dieser Beitrag wurde am 16.11.2006 um 15:00 Uhr von Nomatic editiert.
|
|
|
||
16.11.2006, 15:02
Ehrenmitglied
Beiträge: 29434 |
#85
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Systems.exe in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2006, 15:14
Member
Beiträge: 41 |
#86
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.11.2006 15:13:57 for strings: ; 'systems.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "Systems.exe"="\"\"" ; End Of The Log... |
|
|
||
16.11.2006, 15:29
Ehrenmitglied
Beiträge: 29434 |
#87
gehe in die Registry
Start - Ausfuehren - regedit oben links- bearbeiten - suchen - Systems.exe loesche den Eintrag (siehe oben) + starte den rechner neu ************************************************ Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\systems*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2006, 15:45
Member
Beiträge: 41 |
#88
Wird nicht mehr gefunden, aus Run ist und bleibt es verschwunden.
Soll ich dann jetzt mal kaspersky bzw panda laufen lassen? Dieser Beitrag wurde am 16.11.2006 um 15:50 Uhr von Nomatic editiert.
|
|
|
||
16.11.2006, 15:54
Ehrenmitglied
Beiträge: 29434 |
#89
ja, scanne mit kaspersky Online oder lade den scanner
http://virus-protect.org/onlinescan.html dann poste auch das neue log vom Hijackthis - mal sehen, was mit den 02-Eintraegen ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2006, 16:11
Member
Beiträge: 41 |
#90
Ok, das dauert ja dann wieder eine Weile... Eine Frage: Mein Bruder wohnt in einer WG und hat bei sich einen Keylogger installiert (http://www.elite-keylogger.com/) um zu überprüfen ob jemand in seiner Abwesenheit am PC war.
Stellt das ein Sicherheitsrisiko dar, oder kann man den getrost benutzen? |
|
|
||
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED
Liegt wohl daran, daß die mscache.sys mittlerweile auch nach 5mal Anvenger entfernt werden konnte...
Das müsste es dann gewesen sein, sehe ich das richtig?
-------------------------
Nachtrag
Sabina
Dann muss ich dir mal insgesamt für deine Mühe und geduld danken. Ich hab schon einige deiner Beiträge gelesen und kann nicht fassen mit welcher ruhe du ewig die gleichen Fragen beantwortest
Umso schwerer fällt es mir, dich um einen weiteren Gefallen zu bitten. In unserer Familie stehen 4 Rechner und ich bin mir sciher, daß die anderen ebenfalls verseucht sind.
Da ich dir das aber jetzt nicht antun möchte schritt für schritt auch die restlichen 3 mit mir einzeln durchzugehen, wärs schön wenn du mir ein paar Tips mit auf den Weg geben könntest. Wie analysierst du zum Beispiel die Logs die immer wieder gepostet werden? Gibts da Tools zum Download oder muss man die suspekten Dateien tatsächlich alle im Kopf haben?
Gibt es vieleicht eine Seite wo man sich intensiver mit der Materie befassen kann und lernt wies gemacht wird?