Internetverbindung langsam...Neuer NETZWURM BACKDOOR ???

#1 Hallo Leute,

ich habe folgendes Problem, seit ca. 1 Monat ist meine Internetverbindung extrem lahm geworden. Durch selbstständiges recherchieren habe ich herausgefunden, das es sich hierbei höchstverscheinlich um ein Netzwurm Backdoor handelt. Ich muß zugeben als mein Virusprogramm "etrust" von Microsoft abgelaufen war, bin ich nur auf eine Seite gegangen um mir Ware anzugucken, ohne dabei ein neues Update zu haben, und ich hätte niemals gedacht das man sich gleich so ein Ding einfangen tut.

Ich habe wirklich schon alles probiert: Virenscan, Systemwiederherstellung, hijack logfiles löschen, clean up, doch den Übeltäter habe ich einfach nicht gefunden bzw. weggekriegt, auch in diesem Forum habe ich keine Lösung dafür gefunden.

Ich habe schonmal Vorarbeit geleistet und liste euch sämtliche Informationen.

Der hijackthis logfile 017 - wurde in dem Forum auf "Eventuell Böse" eingestuft, und ich habe beobachtet, das bei jeder Internetverbindung dieser logfile wieder drauf ist, mit anderen Worten, wo liegt der Bösewicht der mir diesen file immer wieder raufladen tut, obwohl ich ihn gelöscht habe.

Ich komme einfach nicht mehr weiter, und ich brauche den PC unbedingt zum arbeiten. Ich bin Existenzgründer und bin auch bereit für eine fachmännische Hilfe eine Gegenleistung zu bringen.

Danke für jede Hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 23:56:13, on 19.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Berlin\Desktop\hijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 212.7.148.65 212.7.148.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\system32

19.04.2006 22:27 7.275 nvapps.xml
13.04.2006 02:04 2.206 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 03:50 51.814 perfc009.dat
26.03.2006 03:50 376.016 perfh009.dat
26.03.2006 03:50 386.338 perfh007.dat
26.03.2006 03:50 62.578 perfc007.dat
26.03.2006 03:50 886.928 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
15.02.2006 17:26 161.472 SymRedir.dll
15.02.2006 17:26 534.208 SymNeti.dll
14.02.2006 12:05 87.808 S32EVNT1.DLL
22.01.2006 12:36 4.212 zllictbl.dat
10.01.2006 14:29 1.527 INSTALL.LOG
04.01.2006 05:35 68.096 webclnt.dll

#2 das Log vom HijackThis, sowie das 1.Log von datfindbat sind sauber. (es sind vier Logs im Ganzen... )

1.
allerdings:

Zitat

O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe (file missing)

versuche die AOL-Software neu zu installieren. Dann berichte.

2.
dann kannst du es auch mit einem Onlinescan versuchen (auch wenn es lange dauern wird...)
poste dann den scanreport vom kaspersky (Fullscan)
http://virus-protect.org/onlinescan.html

3.
Frage: hast du auch noch Zonealarm installiert ? Falls ja und du benutzt es nicht, deinstalliere die Firewall.

4.

Zitat

mein Virusprogramm "etrust" von Microsoft abgelaufen

wenn die Software abgelaufen ist, und du sie nicht mehr verwendest, deinstalliere sie.

O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Leute,

Danke für deine schnelle Antwort Sabina.

Sorry, ich muß mich kurz halten, denn ich habe schonmal ein Text geschrieben, doch der konnte leider nicht übermittelt werden.

Also, ich habe alle Punkte durchgeführt. Zone Alarm hatte ich mal, als ich damals noch das Problem mit Spyaxe hatte, doch dieses Programm habe ich sofort wieder deinstalliert. "etrust" habe ich auch deinstalliert, da mir bewußt war, das sich 2 Antivirenprogramme sich nicht riechen können. Im Hintergrund läuft nur noch Norton.

Dank deiner Hilfe habe ich jetzt auch die Files mit der Anfangsnummer 023 gefixt, da ich wie du auch schon gesagt hast, etrust nicht mehr benötige.

Den Virusscan bei Kaspersky habe ich durchgeführt und ich habe folgendes festgestellt. Alles war in Ordnung, doch als ich "My Computer" gescannt habe, war dieser Trojaner wieder da. Als ich mit Norton das aller erstemal mein Computer gescannt habe, hat er mir den Trojaner schonmal angezeigt, doch den habe ich natürlich daraufhin removed. Bei weiteren Scan`s hat mir Norton nichts mehr angezeigt, doch mit Kaspersky ist er schon wieder da. Was kann man dagegen machen ??? Soll ich dem Übeltäter im Win32 auflauern und zur Strecke bringen ???

Ich bitte um Hilfe ...DANKE !!!

C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP274\A0027050.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP274\A0027051.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP274\A0027052.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP274\A0027053.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP274\A0027054.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP276\A0028227.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP276\A0028228.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP276\A0028229.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP276\A0028230.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP276\A0028231.dll Infected: Trojan-Downloader.Win32.Zlob.do skipped

#4 Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://virus-protect.org/systemwiederherstellung.html
dann wieder aktivieren
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Leute,

Sabinaaaaa, ich habe deinen Anweisungen befolgt und habe auch diesen Trojan Downloader weggekriegt. Bei einem erneuten Virusscan mit Kaspersky hat er mir den Trojan nicht angezeigt, Danke für deine Hilfe. Ich merke auch das der PC ein tick besser geworden ist, aber irgendwie ist der Seitenaufbau immer noch schleppend, auf jeden Fall nicht wie früher. Damals habe ich einmal geklickt und in 2 Sekunden war die Seite aufgebaut. Jetzt ist es so, das sich 2-3 Seiten sich schnell aufbauen lassen und danach ist erstmal für ca. 30 Sekunden Pause. Ich gucke immer unten auf die Netzwerkverbindung, dort wo immer die 2 Monitore aufblinken tun, und manchmal reagiert der Übertragungsmonitor nicht sofort, und außerdem wird auch ziemlich oft die Seite nicht angezeigt, so daß ich oftmals die Option "Aktualisieren" betätigen muß. Jetzt überlege ich echt, ob die Verbindung mit Versatel daran Schuld ist, aber das kann ich mir nicht vorstellen, denn bei der Übertragungsrate steht 100,0 MBit/s. Ich weis nicht ob es vielleicht an der Norton Firewall liegt, aber das Problem hatte ich auch schon vor Norton. Es ist einfach zum Mäuse melken.

Sabina hättest du da noch irgendwie einen Rat was man eventuell noch verändern oder kontrollieren könnte???

Wäre echt dankbar !!!

#6 schau mal, ob du mit diesem Proggie zurechtkommst :
http://www.speedguide.net/tcpoptimizer.php
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo

Danke für deinen Tipp, aber englisch ist nicht gerade meine Stärke :-) Also ich habe einen 3,4 Ghz und Intel Pentium 4 Prozessor und wüßte wirklich nicht wieso man für so einen schnellen Prozessor noch ein tunning braucht ?
Der PC schafft noch nicht mal ein Dokument in der Größe 4,1 Kb in einer anständigen Zeit zu öffnen.
Ich habe mal den Taskmanager aufgerufen und der Leerlaufprozess liegt zwischen 100% und 95% und die CPU Auslastung dem entsprechend, als 0% bis 5%, nur ab und zu mal kommt er auf die Sprünge und geht hoch auf 45% bis 75%. Hmmm, Ich habe das Gefühl das der PC nicht mehr arbeiten will.

Hat dieser eine Trojan Downloader mir etwa den PC zerschossen?

Soll ich alle AOL Komponeten löschen, oder wird dieser Dienst benötigt?
Denn ins Internet gehe ich über Versatel.

Und außerdem wollte ich noch fragen, ob 2 Browser auf dem PC schlimm ist?
Ich habe den Internet Explorer und Opera.

Danke und mit freundlichen Grüßen !!!

#8 Sarp

1.
deinstalliere AOL-Software, wenn du es nicht mehr brauchst.

2.
du kannst soviele Browser haben, wie du willst, das ist nicht die Ursache vom Problem.

3.
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

4.
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

5.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo

Sabina,ich habe deine Punkte echt abgearbeitet, also langsam denke ich das es ein Hardware Problem ist, denn jetzt macht der PC beim hochfahren oder runterfahren solch komische Knistergeräusche. Ich habe jetzt die 4 Textdateien noch kopiert und wenn du hier nichts mehr finden solltest, dann werde ich alles formatieren müssen und dann nochmal testen, denn so kann man auf Dauer am PC nicht arbeiten, und wenn die Internetverbindung dann weiterhin noch langsam ist, dann vermute ich wirklich ein Hardware Problem, irgend so eine Sicherung ist dann kurz vor dem durchschmorren, und der Funke springt nicht mehr rüber.

Sabina, ich habe außerdem einen externen Speicher, könnten Hacker von dort aus auf mein Computer zugreifen, oder würde das Antivirusprogramm das erkennen?

Die Quelle mit dem TuneUp 2006 hat mir echt gefallen, Danke!!!

Wie gesagt, ich werde mein versprechen halten und werde auf jeden Fall diese Woche mich für eure Hilfe revangieren.

Ich bitte nochmals um eure Hilfe.


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\system32

26.04.2006 03:20 7.275 nvapps.xml
25.04.2006 21:45 380.832 FNTCACHE.DAT
13.04.2006 02:04 2.206 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 03:50 51.814 perfc009.dat
26.03.2006 03:50 376.016 perfh009.dat
26.03.2006 03:50 386.338 perfh007.dat
26.03.2006 03:50 62.578 perfc007.dat
26.03.2006 03:50 886.928 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
15.02.2006 17:26 161.472 SymRedir.dll
15.02.2006 17:26 534.208 SymNeti.dll
14.02.2006 12:05 87.808 S32EVNT1.DLL
22.01.2006 12:36 4.212 zllictbl.dat


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\DOKUME~1\Berlin\LOKALE~1\Temp

25.04.2006 19:03 19.030 ~K20071.jpg
25.04.2006 19:03 19.030 ~K20070.jpg
25.04.2006 19:02 19.030 ~K2006f.jpg
25.04.2006 19:01 19.030 ~K2006e.jpg
25.04.2006 19:00 19.030 ~K2006d.jpg
25.04.2006 19:00 19.030 ~K2006c.jpg
25.04.2006 19:00 19.030 ~K2006b.jpg
25.04.2006 18:55 19.030 ~K2006a.jpg
25.04.2006 18:55 19.030 ~K20069.jpg
25.04.2006 18:55 19.030 ~K20068.jpg
25.04.2006 18:52 19.030 ~K20067.jpg
25.04.2006 18:51 19.030 ~K20066.jpg
25.04.2006 18:51 19.030 ~K20065.jpg
25.04.2006 18:51 19.030 ~K20064.jpg
25.04.2006 18:50 0 EPSLog.txt
25.04.2006 04:42 797.676 IMTF3.xml
25.04.2006 04:42 426 IMTF2.xml
25.04.2006 04:42 2.036 IMTF1.xml
24.04.2006 17:01 32.768 ~DF2447.tmp
23.04.2006 17:41 32.768 ~DFFC00.tmp
06.02.2004 13:13 114.688 uninst.dll
21.01.1999 14:40 9.728 GLFC5.tmp



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS

26.04.2006 03:20 6.104 ModemLog_Bluetooth DUN Modem.txt
26.04.2006 03:20 6.098 ModemLog_Bluetooth Fax Modem.txt
26.04.2006 03:20 0 0.log
26.04.2006 03:20 3.846 ModemLog_Creatix V.92 Data Fax Modem.txt
26.04.2006 03:20 1.201.881 WindowsUpdate.log
26.04.2006 03:20 159 wiadebug.log
26.04.2006 03:20 50 wiaservc.log
26.04.2006 03:18 2.048 bootstat.dat
26.04.2006 03:18 32.562 SchedLgU.Txt
25.04.2006 18:27 95.134 setupapi.log
25.04.2006 04:52 230.963 setupact.log
25.04.2006 03:46 713 win.ini
25.04.2006 03:46 2 msoffice.ini
22.04.2006 06:15 116.799 wmsetup.log
22.04.2006 05:59 54.156 QTFont.qfn
19.04.2006 22:44 116 NeroDigital.ini
17.04.2006 01:03 1.409 QTFont.for
14.04.2006 01:14 1.830 spupdsvc.log
13.04.2006 20:30 55.243 iis6.log
13.04.2006 20:30 18.997 ocmsn.log
13.04.2006 20:30 140.812 tsoc.log
13.04.2006 20:30 122.207 comsetup.log
13.04.2006 20:30 1.374 imsins.log
13.04.2006 20:30 73.591 ntdtcsetup.log
13.04.2006 20:30 14.959 KB908531.log
13.04.2006 20:30 177.589 ocgen.log
13.04.2006 20:30 17.368 msgsocm.log
13.04.2006 20:30 351.928 FaxSetup.log
13.04.2006 20:30 17.301 updspapi.log
13.04.2006 20:30 1.374 imsins.BAK
13.04.2006 20:30 14.203 KB911562.log
13.04.2006 20:30 17.580 KB912812.log
13.04.2006 20:29 16.789 KB911565.log
13.04.2006 20:29 13.434 KB911567.log
11.04.2006 21:45 121 Winamp.ini
11.04.2006 02:37 8.629 mozver.dat
11.04.2006 02:14 95 WISO.INI
10.04.2006 18:46 20.610 LUINSTALL.LOG
14.02.2006 22:56 10.884 KB911927.log
14.02.2006 22:56 8.363 KB911564.log
14.02.2006 22:56 1.030.360 setupapi.log.0.old
14.02.2006 22:55 10.627 KB913446.log
14.02.2006 22:55 10.165 KB901190.log
11.01.2006 04:00 10.127 KB908519.log
07.01.2006 07:26 11.064 KB912919.log
02.01.2006 22:23 14.930 Blitzkrieg 2 Demo Uninstall Log.txt
02.01.2006 21:59 25.859 KB900725.log
02.01.2006 21:57 38.627 KB901017.log
02.01.2006 21:56 7.359 KB896688.log
02.01.2006 21:55 13.540 KB910437.log
02.01.2006 21:53 41.468 KB902400.log
02.01.2006 21:52 32.378 KB896424.log
02.01.2006 21:46 25.915 KB905414.log


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\

26.04.2006 04:15 0 sys.txt
26.04.2006 04:13 10.273 system.txt
26.04.2006 04:12 1.304 systemtemp.txt
26.04.2006 04:11 108.771 system32.txt
26.04.2006 03:18 536.399.872 hiberfil.sys
26.04.2006 03:18 805.306.368 pagefile.sys
14.02.2006 22:42 1.568 EyeCandyLog.txt
19.11.2004 02:57 211 boot.ini
27.10.2004 19:48 150 AUTOEXEC.BAT
12.10.2004 14:32 102 Platform.ini
12.10.2004 10:05 776 IPH.PH
11.10.2004 20:57 0 CONFIG.SYS
11.10.2004 20:57 0 IO.SYS
11.10.2004 20:57 0 MSDOS.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM


Danke und mit freundlichen Grüßen !!!

#10 wie schon erwartet ..ich finde nichts...

ich schau noch mal nach bei den versteckten Dateien.

RootkitRevealer-> poste bitte das Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

also ich habe diesen Log mit dem RootkitRevealer gemacht und ich hoffe das ich alles richtig gemacht habe, weil die Ausbeute ist ziemlich mager.

Folgendes ist rausgekommen:

HKLM\SOFTWARE\Classes\webcal\URL Protocol 19.11.2004 02:45 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 27.04.2006 01:08 80 bytes Data mismatch between Windows API and raw hive data.
C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20060426.019\vscanmsx.dat 27.04.2006 01:16 2.02 KB Hidden from Windows API.
C:\Programme\Norton AntiVirus\Savrt\0850NAV~.TMP 27.04.2006 01:11 0 bytes Hidden from Windows API.

Sabina, ich hätte mal eine Frage an dich.

Beim durchstöbern der Seiten über ähnliche Fälle, bin ich auf etwas gestoßen, dort war jemand der auch diesen Logfile mit der Anfangsnummer -017 hatte, genau wie ich, und bei jeder Internetverbindung taucht er wieder auf.

Du hast auf seine Nachricht geantwortet das es sich bei ihm um eine Malware handelt, der Name Server weist auf eine Ukrainische Seite hin.

Und jetzt würde ich wirklich mal wissen wollen, auf was dieser File hinweist.

O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 212.7.148.65 212.7.148.97

Denn ich war auf einer chinesischen Seite, um mir Ware anzugucken, und seit dem Tag an habe ich auch die Probleme.

Das kuriose an der Geschichte ist, ich habe mal die Virenbibliothek von Norton mir angeschaut, und wollte gucken ob dieser Trojaner mit dem Hauptnamen "Zlob" enthalten ist. Dort hat man eine Aktualisierung des Trojaner durchgeführt. Und zufälligerweise war der Moderator auch ein Chinese. Wenn die Seite jetzt auch noch auf eine chinesische Seite hindeuten sollte, dann kommt der Trojaner anscheinend von dort her.

Naja, reine Spekulationen und Verzweiflung.

Danke und mit freundlichen Grüßen !!!

#12 das ist in Ordnung

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 212.7.148.65 212.7.148.97

Domain Name: KOMTEL.NET
Registrar: CORE INTERNET COUNCIL OF REGISTRARS
Whois Server: whois.corenic.net
Referral URL: http://www.corenic.net
Name Server: SIF.KOMTEL.NET
Name Server: THOR.KOMTEL.NET
Name Server: NS.FRANKFURT.KOMTEL.NET

der zlob ist eigentlich geloescht...er war nur noch in der Systemwiederherstellung....
er kommt aufs System, wenn man auf der "falschen Seite surft" ... oder bei laden von codecs, um ein Video betrachten zu koennen.

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

**
poste hier die textdatei smitrem.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo

Sorry, das ich mich so spät melden tue, aber ich hatte wirklich viel Arbeit zu erledigen, und vor allem wenn eine Arbeit die damals 4 Stunden gedauert hat, jetzt auf einmal 9 Stunden dauert.

Also das mit dem smitRem habe ich gemacht, aber um ehrlich zu sein, habe ich davon nichts mitbekommen. Als ich den Scan mit RunThis.bat im abgesichertem Modus (als Administrator eingewählt) durchlaufen lassen habe, hat er mir lauter Pfade angezeigt, wobei darunter auch etwas unanständige Pfade dabei waren, aber vor oder neben den Pfaden stand immer, Das System kann die angegebene Datei nicht finden oder Pfad nicht gefunden.

Als der Scan beendet war, stand dort : Disk cleanup has been known to take up to 3 hours to complete. Soll das auf Deutsch heißen, das der PC im abgesichertem Modus 3 Stunden laufen muß ???

Auf jeden Fall stand dann unten, das man eine beliebige Taste drücken soll. Das habe ich auch gemacht. Dann öffnete sich ein Fenster von Windows wo draufstand, klicken Sie auf JA um den abgesicherten Modus fortzusetzen oder NEIN, wenn Sie bevorzugen, den vorherigen Computerstatus durch die Systemwiederherstellung wiederherzustellen. Ich habe auf JA geklickt, der PC stand dann im abgesichertem Modus und nichts hat sich getan.

Hatte ich auf meinem PC überhaupt einen Uninstaller ??? Und wenn ich einen hatte, sind die entfernt ???

Ich konnte auch keine smitrem. txt Datei erstellen, denn da gab es nichts zum kopieren, oder legt der Computer diese Textdatei in einen speziellen Ordner ab ???

Sorry, aber ich habe davon nichts mitbekommen was passiert ist, das einzigste was geschehen ist, ist das der Hintergrund vom desktop verschwunden ist und jetzt standard blau ist.

Ich habe diesen Prozess einigemale ablaufen lassen, aber geändert hat sich nichts.


Danke und mit freundlichen Grüßen !!!

#14 lade
http://virus-protect.org/zip/DatOrd.zip
erstelle alle Logs.
(poste sie als Anhang)...siehe unten
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina

Ich habe das mit dem Virus-Protect jetzt gemacht und ich hoffe das ich das richtig gemacht habe. Ich habe für dich auch extra die Schriftart verändert, um es anschaulicher zu machen.

Es ist folgendes rausgekommen.

Vielen Dank und mit freundlichen Grüßen !!!