IE 6.0 leitet auf falsche Internet-Seiten weiter

#0
23.04.2006, 00:57
Member

Beiträge: 20
#31 Moin!

System32:

Zitat

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4746 created Apr 21 2006
Scanning for 187256 viruses, trojans and variants.

Virus Scan Results



04/22/2006 23:33:26


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 8037
Clean: ................. 8027
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:04.58


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.
Windows:

Zitat

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4746 created Apr 21 2006
Scanning for 187256 viruses, trojans and variants.

Virus Scan Results



04/22/2006 23:42:46


Options:
"C:\WINDOWS\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 46716
Clean: ................. 46701
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:18.36


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.
C:

Zitat

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4746 created Apr 21 2006
Scanning for 187256 viruses, trojans and variants.

Virus Scan Results



04/23/2006 00:10:35


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\Dokumente und Einstellungen\Kaland\Eigene Dateien\Witze\HOTUNFCHICK.ZIP\HOTUNFCHICK.EXE ... Found potentially unwanted program Generic Joke.

Summary report on C:\*.*
File(s)
Total files: ........... 105875
Clean: ................. 105842
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 3


Time: 00:40.50


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.
Gute Nacht
Seitenanfang Seitenende
23.04.2006, 13:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 pencilmania

ich denke mal, dass nun alles wieder in Ordnung ist.

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
scanne noch mal im abgesicherten Modus mit CleanUp
-------
gibt es noch Beschwerden, oder funktioniert nun alles, wie es soll ??
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.04.2006, 13:43
Member

Beiträge: 20
#33 Hi Sabina!

Ja also im Moment siehts gut aus ;)
Ich hoffe das bleibt auch so. Ansonsten meld ich mich wieder!

Auf jeden Fall vielen Dank!!!
Wenn jemand Ahnung hat, dann du!

Liebe Grüße und schönen Sonntag!
Seitenanfang Seitenende
23.04.2006, 21:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 da es ja wieder Probs zu geben scheint, poste noch mal HijackThis + datfindbat-Logs, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 01:18
Member

Beiträge: 20
#35 Hi!
Danke mal wieder für deine Hilfe!

Also hier Hijack:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 01:09:20, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\MAGIX\Common\Database\bin\fbserver.exe
C:\MAGIX\Common\Database\bin\fabs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kaland\Eigene Dateien\Programme\hijack this 1.99.1\HijackThis.exe

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Datfind system32:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\WINDOWS\system32

23.04.2006 22:30 1.543 Kaland_KBD.ini
22.04.2006 12:57 311.938 perfh009.dat
22.04.2006 12:57 40.326 perfc009.dat
22.04.2006 12:57 317.168 perfh007.dat
22.04.2006 12:57 48.552 perfc007.dat
21.04.2006 17:05 53.248 mscfg.dll
20.04.2006 12:06 723.568 PerfStringBackup.INI
17.04.2006 00:27 43.520 CmdLineExt03.dll
16.04.2006 00:32 1.158 wpa.dbl
14.04.2006 15:45 219.248 FNTCACHE.DAT
06.04.2006 21:48 5.143.456 MRT.exe
02.04.2006 20:18 52.858 interceptor.sys
02.04.2006 20:17 45.056 WNASPI32.DLL
31.03.2006 02:15 1.273 $winnt$.inf
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
24.01.2006 19:34 118.784 sirenacm.dll
04.01.2006 05:35 68.096 webclnt.dll
Datfindbat systemtemp

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\DOKUME~1\Kaland\LOKALE~1\Temp

24.04.2006 00:42 1.409 FORC0.tmp
24.04.2006 00:42 5.856 ZTRBF.tmp
24.04.2006 00:42 1.409 FORBE.tmp
24.04.2006 00:42 21.564 ZTRBD.tmp
24.04.2006 00:42 7.940 ZTRBB.tmp
24.04.2006 00:42 1.409 FORBC.tmp
24.04.2006 00:42 1.409 FORBA.tmp
24.04.2006 00:42 39.864 ZTRB9.tmp
23.04.2006 23:05 923 TWAIN.LOG
23.04.2006 23:05 3 Twain001.Mtx
23.04.2006 23:05 156 Twunk001.MTX
23.04.2006 23:04 0 mso55D64.jpg
23.04.2006 22:30 402 jusched.log
23.04.2006 21:45 0 mso2F3A5.jpg
23.04.2006 18:51 0 msoFF89C.jpg
23.04.2006 16:18 65.996 msoCBDAB.emf
23.04.2006 16:18 65.996 msoD8A62.emf
23.04.2006 16:18 64.868 mso1EDCD.emf
23.04.2006 16:18 65.996 mso97DDC.emf
23.04.2006 16:18 19.946.884 msoCE9BF.emf
23.04.2006 16:18 65.996 mso7C0E6.emf
23.04.2006 16:18 8.876 mso3AE01.emf
23.04.2006 16:18 912.238 mso41600.wmf
23.04.2006 16:18 7.564 mso64B13.emf
23.04.2006 16:18 19.975.752 mso6C3AA.emf
23.04.2006 16:18 22.748 mso30575.emf
23.04.2006 13:55 0 131773.dmp
23.04.2006 13:55 0 12DC00.dmp
23.04.2006 13:55 0 12CB09.dmp
23.04.2006 13:53 514 DelUS.bat
23.04.2006 13:53 81.920 unwise.exe
23.04.2006 13:48 95 PICLog.log
23.04.2006 13:32 0 Twunk002.MTX
24.03.2005 11:00 109.800 set55.tmp
24.03.2005 11:00 109.800 set53.tmp
24.03.2005 11:00 109.800 set54.tmp
Datfindbat windows:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\WINDOWS

23.04.2006 23:39 1.272.612 WindowsUpdate.log
23.04.2006 23:30 155 winamp.ini
23.04.2006 23:05 263 wiadebug.log
23.04.2006 22:30 0 0.log
23.04.2006 22:30 50 wiaservc.log
23.04.2006 22:30 2.048 bootstat.dat
23.04.2006 22:29 32.582 SchedLgU.Txt
23.04.2006 22:04 14.176 setupapi.log
23.04.2006 13:38 56.961 iis6.log
23.04.2006 13:38 92.781 ntdtcsetup.log
23.04.2006 13:38 144.810 comsetup.log
23.04.2006 13:38 4.566 imsins.log
23.04.2006 13:38 171.458 tsoc.log
23.04.2006 13:38 24.074 ocmsn.log
23.04.2006 13:38 261.649 ocgen.log
23.04.2006 13:38 21.978 msgsocm.log
23.04.2006 13:38 392.284 FaxSetup.log
23.04.2006 13:31 752.220 ntbtlog.txt
23.04.2006 11:19 69 NeroDigital.ini
22.04.2006 20:38 667 KB829558.log
22.04.2006 16:53 4.566 imsins.BAK
21.04.2006 20:25 45.065 wmsetup.log
21.04.2006 19:57 0 setupact.log
21.04.2006 19:57 0 setuperr.log
20.04.2006 23:48 2.901 mozver.dat
20.04.2006 10:19 0 nsreg.dat
20.04.2006 10:19 107.132 UninstallFirefox.exe
19.04.2006 14:02 1.829 spupdsvc.log
19.04.2006 13:30 19.408 updspapi.log
18.04.2006 22:46 27.403 Adobe PSEle2.log
18.04.2006 22:46 115.751 Adobe PSEle2 Lang Installer.log
14.04.2006 21:57 635 Rtcw.INI
14.04.2006 21:55 9.544 DirectX.log
14.04.2006 21:18 851 QIII.INI
04.04.2006 14:10 29 DEBUGSM.INI
04.04.2006 14:02 1.041.812 EPSTPLOG.TXT
04.04.2006 13:55 31 EPSMTL32.TXT
04.04.2006 13:53 25 CDE CX3600FGD.ini
04.04.2006 13:51 1.115 epsswt_log.txt
03.04.2006 16:53 417 vbface.INI
03.04.2006 15:24 654 SynInst.log
02.04.2006 22:05 573 win.ini
02.04.2006 21:28 8.984 ModemLog_SENS LT56ADW Modem.txt
02.04.2006 19:48 400 ODBC.INI
31.03.2006 09:44 378 wmsetup10.log
31.03.2006 02:16 1.174 OEWABLog.txt
31.03.2006 02:15 5.548 regopt.log
31.03.2006 02:02 641 DtcInstall.log
25.11.2005 18:59 8.192 REGLOCS.OLD
datfindbat sys:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\

24.04.2006 01:17 0 sys.txt
24.04.2006 01:16 5.073 system.txt
24.04.2006 01:16 2.088 systemtemp.txt
24.04.2006 01:13 100.464 system32.txt
23.04.2006 22:30 1.071.894.528 hiberfil.sys
23.04.2006 22:30 1.610.612.736 pagefile.sys
21.04.2006 19:04 1.184 avenger.txt
08.04.2006 21:43 0 AILog.txt
31.03.2006 02:41 211 boot.ini
So, das wars erstmal wieder.
Lg
Seitenanfang Seitenende
24.04.2006, 11:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 pencilmania

1.
wende noch mal cleanup an

2.
RootkitRevealer -> poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html

3.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 15:26
Member

Beiträge: 20
#37 Cleanup hab ich gemacht.

Hier das log vom Rootkitrevealer:

Zitat

HKLM\S-1-5-21-2306124500-3236160513-742092293-1005\RemoteAccess\InternetProfile 04.04.2006 17:18 3 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temp\tmp000073d5 24.04.2006 14:48 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temp\tmp000073d5\tmp00000000 24.04.2006 14:48 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temp\~DF6EE.tmp 24.04.2006 14:48 512 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\!ZGW`!0J_3581RTPNDN`X9[1].jpg 24.04.2006 14:47 5.16 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\1211777382[1].htm 24.04.2006 14:47 302 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\comunity[1].png 24.04.2006 14:47 2.87 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\content_borderleft[1].gif 24.04.2006 14:47 1.50 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\content_borderright[1].gif 24.04.2006 14:47 1.69 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\FPOWJ__LE1!3A+DEP@8F][1].jpg 24.04.2006 14:47 1.87 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\mgou[1].gif 24.04.2006 14:47 398 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\MSN_Haribo_180x150_bnr_041906_PR01[1].swf 24.04.2006 14:47 19.77 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\MSN_Haribo_180x150_FBPnl_041906_PR01[1].swf 24.04.2006 14:47 48.84 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\msntoday4[1].css 24.04.2006 14:47 6.43 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\music_tab_icon[1].png 24.04.2006 14:47 4.03 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\pod2[1].png 24.04.2006 14:47 621 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\PRServe[1].htm 24.04.2006 14:47 5.68 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SWZ6PBH\RUH5VD2H2I55DG!9SU[ZR}[1].jpg 24.04.2006 14:47 1.09 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\1x1[1].gif 24.04.2006 14:47 43 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\content_tabsnavigation[1].gif 24.04.2006 14:47 3.14 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\envelope_open[1].gif 24.04.2006 14:47 166 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\faq[1].png 24.04.2006 14:47 2.23 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\GTYX2DMJXV1`DMEWR+P[+}[1].jpg 24.04.2006 14:47 1.61 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\mittendrin[1].png 24.04.2006 14:47 1.27 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\mymsn[1].js 24.04.2006 14:47 6.33 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\PRServe[1].htm 24.04.2006 14:47 206 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\sbtnbk[1].gif 24.04.2006 14:47 146 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\schematizedstore[1].xml 24.04.2006 14:47 555 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\search[1].png 24.04.2006 14:47 2.28 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPH0MEOY\Track[1].6287792297106456 24.04.2006 14:47 1 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\34[1].gif 24.04.2006 14:47 523 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\blank[1].gif 24.04.2006 14:47 43 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\F@,-LN}GI1!HCOBMQ_IZY[1].jpg 24.04.2006 14:47 954 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\knuddelstab[1].png 24.04.2006 14:47 2.19 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\meegotab[1].png 24.04.2006 14:47 2.48 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\MSN_Haribo_180x150_TWL_041906_PR01[1].swf 24.04.2006 14:47 48.62 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\msntoday6[1].js 24.04.2006 14:47 12.72 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\setsitecode[1].htm 24.04.2006 14:47 67 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\soft[1].htm 24.04.2006 14:47 1.69 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\tab_icon[1].png 24.04.2006 14:47 811 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\Track[1].6755569208080768 24.04.2006 14:47 1 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\trans[1].gif 24.04.2006 14:47 44 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXQ38XQ7\WKN+HEGFN4{~,30D@ADQS[1].jpg 24.04.2006 14:47 1.98 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\`3O~BIT58@2HNII!_KY!Z][1].gif 24.04.2006 14:47 13.93 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\content_bottomstretch[1].gif 24.04.2006 14:47 96 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\cp2403_Couple[1].png 24.04.2006 14:47 2.95 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\e8c05ed120abf2e64f660aa0635a651f[1].jpg 24.04.2006 14:47 9.39 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\ebaylogo[1].png 24.04.2006 14:47 1.07 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\Mobile_tab[1].png 24.04.2006 14:47 2.63 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\MsgrConfig[1].xml 24.04.2006 14:47 20.32 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\O-C}3PK_ES4O`9-DG[ZC4D[1].jpg 24.04.2006 14:47 15.61 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\PRScript[1].dll 24.04.2006 14:47 8.85 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\Track[1].8487245493258899 24.04.2006 14:47 1 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\wtab2[1].png 24.04.2006 14:47 2.21 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\{3GY63~X`5N!-}OMQ~9Y,[1].gif 24.04.2006 14:47 1.59 KB Visible in Windows API, but not in MFT or directory index.
und hier das andre ding:

Zitat

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Apr 24, 2006 15:22:39

Unknown Service # 13
Service Name: GVKEBZLQLQWTWT
Display Name: GVKEBZLQLQWTWT
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\dokume~1\kaland\lokale~1\temp\gvkebzlqlqwtwt.exe
State: Running
Process ID: 3876
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 91 Win32 services on this machine.
13 were unrecognized.

Script Execution Time: 2,90625 seconds.
hoffe, das war alles richtig so
mfg
Seitenanfang Seitenende
24.04.2006, 15:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 pencilmania

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

GVKEBZLQLQWTWT

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.



das ist der "Uebeltaeter"


c:\dokume~1\kaland\lokale~1\temp\gvkebzlqlqwtwt.exe

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M8IGN6YQ\{3GY63~X`5N!-}OMQ~9Y,[1].gif
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 15:56
Member

Beiträge: 20
#39 Na das hört sich ja höchst interessant an... Frag mich nur wie sowas auf den Rechner kommt...

Hier das log

Zitat

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 24.04.2006 15:53:39 for strings:
; 'gvkebzlqlqwtwt'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-2306124500-3236160513-742092293-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList]
"b"="GVKEBZLQLQWTWT.exe"

[HKEY_USERS\S-1-5-21-2306124500-3236160513-742092293-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\Kaland\\LOKALE~1\\Temp\\GVKEBZLQLQWTWT.exe"="Rootkit detection utility"

; End Of The Log...
Seitenanfang Seitenende
24.04.2006, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 1.

im abgesicherten Modus

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

2.
Start-Ausfuehren - regedit

bearbeiten suchen - GVKEBZLQLQWTWT
loesche alles,

3.
dann ueberpruefe mit dem Rootkitrevealer, dass alle temp-Eintraege geloescht sind !
es darf keiner mehr bleiben

4.
auch noch mal Cleanup im abges.Modus anwenden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 19:38
Member

Beiträge: 20
#41 Hi!

Ja, hab alles so gemacht, wie beschrieben.
Wolltest du nochmal das eine log von rootkit?

Mal sehen, ob jetzt alles funktioniert. Wenn nicht, dann melde ich mich wieder ;)!

Aber schonmal wieder vielen vielen Dank für die Mühe.

Viele Grüße
Seitenanfang Seitenende
25.04.2006, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 poste das neue Log vom Rootkit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.04.2006, 10:49
Member

Beiträge: 20
#43 Hier das log

Zitat

HKLM\S-1-5-21-2306124500-3236160513-742092293-1005\RemoteAccess\InternetProfile 04.04.2006 17:18 3 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\414VILU5\handcuffs[1].jpg 24.04.2006 18:43 58.01 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\414VILU5\top_backstretch[1].gif 24.04.2006 18:43 57 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJ6ZK9GJ\content_borderleft[1].gif 24.04.2006 18:43 1.50 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJ6ZK9GJ\content_bottomstretch[1].gif 24.04.2006 18:43 96 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHER0HKF\content_borderright[1].gif 24.04.2006 18:43 1.69 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHER0HKF\setsitecode[1].htm 24.04.2006 18:43 67 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QNS7SBKL\content_tabsnavigation[1].gif 24.04.2006 18:43 3.14 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QNS7SBKL\cupid2[1].htm 24.04.2006 18:43 1.88 KB Visible in Windows API, but not in MFT or directory index.
C:\Programme\eDonkey2000\temp\Die.drei.Fragezeichen.(017-032).128kbit.(eselohr.de.vu).rar.1\1.69.part 24.04.2006 18:59 9.28 MB Hidden from Windows API.
C:\System Volume Information\_restore{4CDC47E0-F463-419A-B29E-003C0D69DDF8}\RP63\A0010250.ini 24.04.2006 14:58 338 bytes Hidden from Windows API.
C:\System Volume Information\_restore{4CDC47E0-F463-419A-B29E-003C0D69DDF8}\RP63\A0010251.ini 24.04.2006 14:58 54 bytes Hidden from Windows API.
viele grüße
Seitenanfang Seitenende
25.04.2006, 10:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
solange die temp-Dateien loeschen, bis im Rootkit nichts mehr davon zu sehen ist ;)

-------------------

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QNS7SBKL\cupid2[1].htm

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHER0HKF\setsitecode[1].htm

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\414VILU5\handcuffs[1].jpg

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\414VILU5\top_backstretch[1].gif

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJ6ZK9GJ\content_borderleft[1].gif

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\414VILU5\handcuffs[1].jpg

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\414VILU5\top_backstretch[1].gif

C:\Dokumente und Einstellungen\Kaland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJ6ZK9GJ\content_bottomstretch[1].gif

-------------------

3.
C:\Programme\eDonkey2000 deinstallieren, bis sich alles "beruhigt " hat ;)


dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.04.2006, 19:54
Member

Beiträge: 20
#45 Hi!

Hab alles so gemacht, wie beschrieben. In Rootkit war nichts mehr.
Den ganzen Vormittag hab ich gesurft und nach Praktikumsstellen gesucht, da hatte ich die ganze Zeit keine Probleme (außer mal "fehler 404").
Eben kam dann aber schonwieder dieser Google Error, dass die Seite auf dem Server nicht gefunden wurde und noch eine andere Fehlermeldung mit sonem blauen Bildchen in der Mitte....

Kann das alles immernoch am Virus liegen?

Liebe Grüße

P.S.: Eben als ich versucht hab zu antworten kam wieder ein Google Error "not implemented"...
Seitenanfang Seitenende