Dialer verändert sich und lässt sich nicht entfernen

#0
19.04.2006, 10:43
Member

Beiträge: 27
#1 Hallo,

ich habe wohl einen Dialer (DialPlatform) auf dem PC, der zwar von Norton AV erkannt und gelöscht wird, kurze Zeit später aber wieder unter einem etwas anderen Ordner in den Temp. Internet Files/Content.IE5 wieder aktiv ist.

Spybot findet diesen Dialer leider garnicht.

Kann mir jemand helfen, wie ich diesen Dialer ausfindig mache und ihn komplett von meinem Notebook löschen kann.

Meist lautet die .exe srv***[1].exe, also z.B. srvdsf[1].exe und wird als Dialer.DialPlatform im Ordner Tempor.InternetFiles/Content.IE5/xxxx erkannt (d.h. den Unterordner verändert er wohl auch immer)

Vielen Dank für Eure schnelle Hilfe!

Andre
Seitenanfang Seitenende
19.04.2006, 12:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Andre K.

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

4.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 12:27
Member

Themenstarter

Beiträge: 27
#3 ICH SEHE GERADE, DASS DIE HÄLFTE DER EMAIL ABGESCHNITTEN WURDE - ICH FÜGE JETZT NUR DAS FILE VOM HIJACKTHIS EIN, WENN DU WAS ANDERES BENÖTIGST GIB MIR BITTE KURZ BESCHEID.



Hallo Sabrina,

vielen Dank schonmal für die schnelle Antwort.

Logfile of HijackThis v1.99.1
Scan saved at 12:30:15, on 19.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Messenger\msmsgs.exe
F:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
F:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Trillian\trillian.exe
f:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
F:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Eigene Dateien\Downloads\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pure-connection.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - https://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136486235921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133087933328
O16 - DPF: {9BC681EE-D40C-4A77-B690-5092AA4B1D5B} (MplayActiveX Element) - http://www.kenia-reiseexperten.de/elearning/Mplay.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: winmfu32 - C:\WINDOWS\SYSTEM32\winmfu32.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
Dieser Beitrag wurde am 19.04.2006 um 12:34 Uhr von Andre K. editiert.
Seitenanfang Seitenende
19.04.2006, 14:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 poste noch die anderen Logs ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 14:14
Member

Themenstarter

Beiträge: 27
#5 Hallo Sabrina,

das Forum schneidet die Hälfte der Antworten immer ab. Gibt es die Möglichkeit Dir diese per EMail zukommen zu lassen?

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4C2-ECA3

Verzeichnis von C:\WINDOWS\system32

19.04.2006 12:24 314.842 perfh009.dat
19.04.2006 12:24 41.170 perfc009.dat
19.04.2006 12:24 320.072 perfh007.dat
19.04.2006 12:24 49.396 perfc007.dat
19.04.2006 12:24 731.572 PerfStringBackup.INI
19.04.2006 12:21 41.102 vsconfig.xml
18.04.2006 20:37 13.738 wpa.dbl
17.04.2006 10:06 26.402 ikhcore.log
15.04.2006 00:08 4.212 zllictbl.dat
14.04.2006 23:49 12.221 winmfu32.dll
06.04.2006 21:48 5.143.456 MRT.exe
21.03.2006 22:30 93 NULL
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
10.03.2006 06:09 5.533.696 wmp.dll
27.02.2006 23:00 100 LuResult.txt
15.02.2006 18:26 161.472 SymRedir.dll
15.02.2006 18:26 534.208 SymNeti.dll
14.02.2006 13:05 87.808 S32EVNT1.DLL
14.02.2006 10:20 550.120 LegitCheckControl.dll
02.02.2006 18:53 430.080 SIPPS_TAPI_Provider.tsp
25.01.2006 16:39 387.072 msfeeds.dll
25.01.2006 16:39 248.320 webcheck.dll
25.01.2006 16:39 25.088 jsproxy.dll
25.01.2006 16:39 3.260.416 mshtml.dll
...

editiert (Sabina)
Seitenanfang Seitenende
19.04.2006, 14:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 man kann es auch uebertreiben..die Dateien aus dem Mittelalter interessieren mich nicht...und ich hatte geschrieben...drei Monate !

Poste noch die restlichen drei Logs (3 Monate) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 14:57
Member

Themenstarter

Beiträge: 27
#7 ok, kein thema - ich glaube das war es dann oder?

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4C2-ECA3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
26.08.2005 15:57 495 LegitCheckControl.inf
10.02.2005 15:39 934.400 MplayActiveProj.ocx
26.05.2005 05:19 293 muweb.inf
17.01.2005 17:09 227 opuc.inf
31.01.2005 14:13 595 OSD38A.OSD
31.01.2005 14:11 685.120 ppctl.dll
09.11.2004 13:53 1.801 PPSDKActiveXScanner.INF
09.11.2004 13:53 670.320 PPSDKActiveXScanner.ocx
27.08.2005 14:30 5.065 swflash.inf
22.01.2003 14:05 1.400 SysPro.inf
26.05.2005 05:19 291 wuweb.inf
14 Datei(en) 2.693.223 Bytes

Anzahl der angezeigten Dateien:
14 Datei(en) 2.693.223 Bytes
0 Verzeichnis(se), 3.432.521.728 Bytes frei
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4C2-ECA3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
26.08.2005 15:57 495 LegitCheckControl.inf
10.02.2005 15:39 934.400 MplayActiveProj.ocx
26.05.2005 05:19 293 muweb.inf
17.01.2005 17:09 227 opuc.inf
31.01.2005 14:13 595 OSD38A.OSD
31.01.2005 14:11 685.120 ppctl.dll
09.11.2004 13:53 1.801 PPSDKActiveXScanner.INF
09.11.2004 13:53 670.320 PPSDKActiveXScanner.ocx
27.08.2005 14:30 5.065 swflash.inf
22.01.2003 14:05 1.400 SysPro.inf
26.05.2005 05:19 291 wuweb.inf
14 Datei(en) 2.693.223 Bytes

Anzahl der angezeigten Dateien:
14 Datei(en) 2.693.223 Bytes
0 Verzeichnis(se), 3.432.808.448 Bytes frei

und

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4C2-ECA3

Verzeichnis von C:\DOKUME~1\ANDREK~1.AEP\LOKALE~1\Temp

19.04.2006 13:33 16.384 ~DF4B20.tmp
19.04.2006 12:24 512 ~DFC33A.tmp
19.04.2006 12:24 16.384 ~DFC253.tmp
19.04.2006 12:24 512 ~DFA620.tmp
19.04.2006 12:23 16.384 ~DFCCF7.tmp
19.04.2006 12:23 512 ~DFCD2E.tmp
19.04.2006 12:23 16.384 ~DF8D9F.tmp
7 Datei(en) 67.072 Bytes
0 Verzeichnis(se), 3.432.775.680 Bytes frei
Seitenanfang Seitenende
19.04.2006, 15:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es fehlen noch 2 Logs.... ;)
vielleicht studierst du mal die Seite von datfinbat genauer ....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 16:29
Member

Themenstarter

Beiträge: 27
#9 sorry bin absoluter laie..... hier die beiden letzten:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4C2-ECA3

Verzeichnis von C:\WINDOWS

19.04.2006 16:23 1.566.688 WindowsUpdate.log
19.04.2006 16:22 159 wiadebug.log
19.04.2006 16:22 50 wiaservc.log
19.04.2006 16:22 0 0.log
19.04.2006 16:22 2.048 bootstat.dat
19.04.2006 16:20 32.548 SchedLgU.Txt
18.04.2006 21:04 74.307 setupact.log
18.04.2006 20:17 287.040 comsetup.log
18.04.2006 20:17 172.247 ntdtcsetup.log
18.04.2006 20:17 972.572 iis6.log
18.04.2006 20:17 37.470 tabletoc.log
18.04.2006 20:17 1.917 imsins.log
18.04.2006 20:17 354.627 tsoc.log
18.04.2006 20:17 41.331 ocmsn.log
18.04.2006 20:17 129.526 netfxocm.log
18.04.2006 20:17 53.430 MedCtrOC.log
18.04.2006 20:17 397.336 ocgen.log
18.04.2006 20:17 37.570 msgsocm.log
18.04.2006 20:17 720.901 FaxSetup.log
18.04.2006 20:17 249.870 msmqinst.log
18.04.2006 19:27 1.917 imsins.BAK
15.04.2006 00:51 4.700 spupdsvc.log
15.04.2006 00:41 15.371 KB911565.log
15.04.2006 00:41 102.200 wmsetup.log
15.04.2006 00:40 597.148 setupapi.log
15.04.2006 00:39 11.628 KB911562.log
15.04.2006 00:39 50.311 updspapi.log
15.04.2006 00:39 11.504 KB908531.log
15.04.2006 00:39 10.843 KB911567.log
15.04.2006 00:39 0 setuperr.log
14.04.2006 01:13 0 nsreg.dat
31.03.2006 18:59 0 CatClient.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4C2-ECA3

Verzeichnis von C:\

19.04.2006 16:29 0 sys.txt
19.04.2006 16:27 8.211 system.txt
19.04.2006 16:27 736 systemtemp.txt
19.04.2006 16:27 100.221 system32.txt
19.04.2006 16:22 1.598.029.824 pagefile.sys
19.04.2006 14:55 2.136 DirDPF.txt
19.04.2006 14:55 2 DirDPFCns.txt
21.03.2006 22:30 283 TO_InstallLog.txt

16 Datei(en) 1.598.448.091 Bytes
0 Verzeichnis(se), 3.433.717.760 Bytes frei
Dieser Beitrag wurde am 19.04.2006 um 16:33 Uhr von Andre K. editiert.
Seitenanfang Seitenende
19.04.2006, 16:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
du kannst die winmfu32.dll auch manuell loeschen...oder mit dem Avenger.

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\winmfu32.dll
C:\WINDOWS\system32\ikhcore.log

klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: winmfu32 - C:\WINDOWS\SYSTEM32\winmfu32.dll

PC neustarten

3.
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

4.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 17:09
Member

Themenstarter

Beiträge: 27
#11 Hallo,

vielen dank für die Info.

wenn ich C:\WINDOWS\system32\winmfu32.dll in den avenger eingebe sagt er immer, dass es ein invalid script ist und führt es nicht aus.

per hand kann ich die datei nicht löschen, da der zugriff verweigert wurde - ist aber nicht schreibgeschütz. gibe es noch eine andere möglichkeit zu löschen?

Auch umbenennen oder im abgesicherten Modus löschen geht nicht, weil sie von einem Prozess genutzt wird. Da ich nicht weiss welcher, kann ich diesen auch nicht herunterfahren....
Dieser Beitrag wurde am 19.04.2006 um 18:04 Uhr von Andre K. editiert.
Seitenanfang Seitenende
19.04.2006, 18:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\system32\winmfu32.dll
C:\WINDOWS\system32\ikhcore.log

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 20:18
Member

Themenstarter

Beiträge: 27
#13 hallo sabina,

es scheint geklappt zu haben. allerdings hat sich beim öffnen der killbox seite eine nachricht "sie haben gewonnen" im pop-up geöffnet. ich hoffe das ist kein neuer dialer gewesen.

ewido habe ich laufen lassen (siehe report). die datei wurde bei killbox im folder wieder gefunden und ich glaube entfernt.

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:11:49, 19.04.2006
+ Report-Checksumme: FF8AC89F

+ Scanergebnis:

C:\!KillBox\winmfu32.dll -> Trojan.Agent.qt : Gesäubert mit Backup
:mozilla.9:C:\Dokumente und Einstellungen\aka\Anwendungsdaten\Mozilla\Firefox\Profiles\nj9vbc9v.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\aka\Anwendungsdaten\Mozilla\Firefox\Profiles\nj9vbc9v.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\aka\Anwendungsdaten\Mozilla\Firefox\Profiles\nj9vbc9v.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\aka\Anwendungsdaten\Mozilla\Firefox\Profiles\nj9vbc9v.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\aka\Anwendungsdaten\Mozilla\Firefox\Profiles\nj9vbc9v.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\aka\Anwendungsdaten\Mozilla\Firefox\Profiles\nj9vbc9v.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\aka\Cookies\aka@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\aka\Cookies\aka@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\WINDOWS\Temp\win1F.tmp.exe -> Trojan.Dialer.oy : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
19.04.2006, 20:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ;)

"sie haben gewonnen!"...mein vermaledeiter Webseitenzaehler (finanziert sich ueber werbung).... nicht sehr originell.

allerdings funktionieren die onlinescans nur mit dem ie.
buegel noch mal mit dem kasperky ueber das system und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 21:42
Member

Themenstarter

Beiträge: 27
#15 der kaspery online scan funktioniert bei mir leider nicht - auch wenn ich activeX zulasse tut sich da wenig.

langt es auch wenn ich den norton nutze? oder normal ewido?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »