TR/Zlob.IT.3 wurde gefunden

#0
30.04.2006, 11:52
...neu hier

Beiträge: 6
#1 hab mir den trojaner zlob.it.3 eingefangen. bitte um hilfe.
mfg
Seitenanfang Seitenende
30.04.2006, 12:29
Moderator

Beiträge: 7805
#2 Poste bitte ein Hijackthis log
http://www.cidres-security.de/hijackthis.html

und einen Suchreport von
http://siri.geekstogo.com/SmitfraudFix_De.php
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.04.2006, 17:06
...neu hier

Themenstarter

Beiträge: 6
#3 SmitFraudFix v2.37

Scan done at 17:04:47,21, 30.04.2006
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\test\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\Besitzer\STARTM~1\MalwareWipe 4.1.lnk FOUND !
C:\DOKUME~1\Besitzer\STARTM~1\PROGRA~1\MalwareWipe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1

C:\DOKUME~1\Besitzer\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\Besitzer\Desktop\MalwareWipe.lnk FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\MalwareWipe\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!! Attention, follow keys are not inevitably infected !!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}"="Twain"

[HKEY_CLASSES_ROOT\CLSID\{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}\InProcServer32]
@="C:\WINDOWS\system32\twain32.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}\InProcServer32]
@="C:\WINDOWS\system32\twain32.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End




Logfile of HijackThis v1.99.1
Scan saved at 17:05:32, on 30.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MalwareWipe\MalwareWipe.exe
C:\Programme\Ad-Protect\ad-protect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MalwareWipe\MalwareWipe.exe
C:\Programme\Ad-Protect\ad-protect.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp9323.tmp (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de-at\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: T-Online Toolbar - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - C:\Programme\tonline\tonline.dll (file missing)
O3 - Toolbar: Ad-Protect Toolbar - {EA038DDD-0FE0-41f5-BA60-FC3660529E71} - C:\Programme\Ad-Protect\ToolBand.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MalwareWipe] C:\Programme\MalwareWipe\MalwareWipe.exe /h
O4 - HKLM\..\Run: [Ad-Protect] C:\Programme\Ad-Protect\ad-protect.exe /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DW4] "C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2566F425-7D35-4107-BBA9-AC718C085A67}: NameServer = 195.3.96.67 195.3.96.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
Seitenanfang Seitenende
30.04.2006, 17:53
Moderator

Beiträge: 7805
#4 Du kannst smitfraudfix nun reinigen lassen. Ad-protecxt wuerde ich deinstallieren (sofern du es nicht gekauft haben solltest). Ebenso SpySweeper, obwohl das schon eher ein kauf wert ist.

Sofern du das nicht brauchst The Weather Channel FW wuerde ich es auch deinstallieren(persoenliche Meinung)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.04.2006, 18:12
...neu hier

Themenstarter

Beiträge: 6
#5 hey dankeschön :-)
scheint funktioniert zu haben

vielen dank nochmal
tja, auf euch kann man sich verlassen :-)
Seitenanfang Seitenende
30.04.2006, 20:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 sorry, dass ich den Thread wieder oeffne, aber hier ist noch was zu tun:

Fixen mit dem HijackThis

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp9323.tmp (file missing)
O4 - HKLM\..\Run: [Ad-Protect] C:\Programme\Ad-Protect\ad-protect.exe /s
O4 - HKLM\..\Run: [MalwareWipe] C:\Programme\MalwareWipe\MalwareWipe.exe /h

PC neustarten

C:\Programme\MalwareWipe\MalwareWipe.exe
C:\Programme\Ad-Protect
muss deinstalliert werden
http://virus-protect.org/artikel/spyware/malwarewipe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 20:31
Moderator

Beiträge: 7805
#7 Kein Peoblem, sollte smitfraudfix erledigt haben.......
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.04.2006, 20:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nun, es wurde doch schon gescannt...dennoch ist der Wipe noch unter den Anwendungen aktiv (siehe oben)

und dieses C:\Programme\Ad-Protect wuerde ich mir auch gern naeher betrachten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 20:59
Moderator

Beiträge: 7805
#9 Gescant ja, aber nicht gereinigt.

"Scan done at 17:04:47,21, 30.04.2006"

ich wollte ja nur den Scanreport sehen, bevor ich reinigen lasse. ;)

Wie gesagt ad-protect soolte deinstalliert werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.05.2006, 12:44
...neu hier

Beiträge: 5
#10 Hallo zusammen

Ich möchte mich gerne hier im Thread einlinken, da ich das gleiche Problem habe. Die Logs hab ich wie beschrieben gemacht:




Logfile of HijackThis v1.99.1
Scan saved at 11:58:19, on 02.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Stick 108\Gcc.exe
C:\Programme\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Siemens\Gigaset USB Stick 108\OdHost.exe
C:\Programme\ZPrint Software 7.3\ZPrint.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\troja\HijackThis.exe

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp13E1.tmp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINCINEMAMGR] C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Stick 108\Gcc.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: PLANET WL-U356 Utility.lnk = C:\Programme\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file://H:\CDVIEWER\CdViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D92F85AC-B798-4134-AC3D-F2CE5AA62A08}: NameServer = 212.40.0.10,212.40.5.50
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

SmitFraudFix v2.37

Scan done at 12:08:47.03, 02.05.2006
Run from C:\troja\smitfraud
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lukas\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Lukas\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\MalwareWipe\ FOUND !
C:\Programme\SpyFalcon\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!! Attention, follow keys are not inevitably infected !!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}"="Twain"

[HKEY_CLASSES_ROOT\CLSID\{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}\InProcServer32]
@="C:\WINDOWS\system32\twain32.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}\InProcServer32]
@="C:\WINDOWS\system32\twain32.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Für Eure Hilfe bedanke ich mich.

Grüsse luk
Seitenanfang Seitenende
02.05.2006, 13:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 lukexc

**
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
PC neustarten

1.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

MalwareWipe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 14:31
...neu hier

Beiträge: 5
#12 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C28-64C4

Verzeichnis von C:\WINDOWS\system32

02.05.2006 14:22 21'787 nvapps.xml
02.05.2006 11:46 320'424 perfh007.dat
02.05.2006 11:46 314'644 perfh009.dat
02.05.2006 11:46 730'826 PerfStringBackup.INI
02.05.2006 11:46 40'972 perfc009.dat
02.05.2006 11:46 49'378 perfc007.dat
01.05.2006 12:33 15'217 regperf.exe
01.05.2006 11:43 2'422 wpa.dbl
27.04.2006 17:49 288'417 SrchSTS.exe
06.04.2006 21:48 5'143'456 MRT.exe
30.03.2006 11:26 1'492'480 shdocvw.dll
30.03.2006 03:16 18'944 xpsp3res.dll
23.03.2006 22:34 3'074'560 mshtml.dll
18.03.2006 13:09 615'424 urlmon.dll
17.03.2006 11:11 679'424 inetcomm.dll
17.03.2006 06:03 8'493'056 shell32.dll
17.03.2006 02:38 28'672 verclsid.exe
04.03.2006 05:34 664'064 wininet.dll
04.03.2006 05:34 474'624 shlwapi.dll
04.03.2006 05:34 532'480 mstime.dll
04.03.2006 05:34 39'424 pngfilt.dll
04.03.2006 05:34 448'512 mshtmled.dll
04.03.2006 05:34 146'432 msrating.dll
04.03.2006 05:34 251'392 iepeers.dll
04.03.2006 05:34 55'808 extmgr.dll
04.03.2006 05:34 205'312 dxtrans.dll
04.03.2006 05:34 1'056'256 danim.dll
04.03.2006 05:34 96'768 inseng.dll
04.03.2006 05:34 1'022'976 browseui.dll
04.03.2006 05:34 152'064 cdfview.dll
18.01.2006 13:05 57'344 avsda.dll
14.01.2006 23:36 153'976 FNTCACHE.DAT
09.01.2006 10:36 40'960 swsc.exe
09.01.2006 10:36 42'496 swreg.exe
04.01.2006 05:35 68'096 webclnt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C28-64C4

Verzeichnis von C:\DOKUME~1\Lukas\LOKALE~1\Temp

23.01.2006 15:36 429 datFind.bat
1 Datei(en) 429 Bytes
0 Verzeichnis(se), 235'849'183'232 Bytes frei



02.05.2006 14:22 0 0.log
02.05.2006 14:22 1'452'069 WindowsUpdate.log
02.05.2006 14:22 2'048 bootstat.dat
02.05.2006 14:20 31'906 SchedLgU.Txt
02.05.2006 13:26 70'622 setupact.log
02.05.2006 13:25 220'716 ntbtlog.txt
02.05.2006 11:46 498'033 iis6.log
02.05.2006 11:46 142'185 comsetup.log
02.05.2006 11:46 85'031 ntdtcsetup.log
02.05.2006 11:46 169'030 tsoc.log
02.05.2006 11:46 4'507 imsins.log
02.05.2006 11:46 17'516 tabletoc.log
02.05.2006 11:46 19'816 ocmsn.log
02.05.2006 11:46 25'402 MedCtrOC.log
02.05.2006 11:46 200'030 ocgen.log
02.05.2006 11:46 17'886 msgsocm.log
02.05.2006 11:46 330'152 FaxSetup.log
02.05.2006 11:46 783'329 setupapi.log
02.05.2006 11:46 60'229 netfxocm.log
02.05.2006 11:46 126'382 msmqinst.log
02.05.2006 11:46 8'510 wmsetup.log
01.05.2006 14:47 216 wiadebug.log
01.05.2006 14:47 4'507 imsins.BAK
01.05.2006 14:45 69 NeroDigital.ini
01.05.2006 14:44 50 wiaservc.log
27.04.2006 18:34 11'235 KB900485.log
20.04.2006 18:25 15'053 KB908531.log
20.04.2006 18:25 16'868 updspapi.log
20.04.2006 18:25 14'294 KB911562.log
20.04.2006 18:25 17'298 KB912812.log
20.04.2006 18:25 10'918 KB911567.log
17.02.2006 12:29 923 spupdsvc.log
16.02.2006 13:50 10'684 KB911927.log
16.02.2006 13:50 7'746 KB911564.log
16.02.2006 13:50 7'975 KB911565.log
16.02.2006 13:50 6'657 KB913446.log
16.02.2006 11:40 832 Active Setup Log.txt
06.02.2006 16:14 107'134 UninstallFirefox.exe
06.02.2006 16:14 5'355 mozver.dat
06.02.2006 16:11 0 nsreg.dat
06.02.2006 16:11 100'482 UninstallThunderbird.exe
06.02.2006 16:11 594 win.ini
31.01.2006 09:54 2'145'386'496 MEMORY.DMP
14.01.2006 12:30 30'673 KB899587.log
14.01.2006 12:30 29'786 KB896422.log
14.01.2006 12:30 29'653 KB885835.log
14.01.2006 12:30 28'528 KB885836.log
14.01.2006 12:30 29'412 KB885250.log
14.01.2006 12:30 29'483 KB901017.log
14.01.2006 12:30 29'801 KB899591.log
14.01.2006 12:30 29'993 KB896424.log
14.01.2006 12:29 29'987 KB893756.log
14.01.2006 12:29 27'087 KB896423.log
14.01.2006 12:29 27'577 KB873339.log
14.01.2006 12:29 27'645 KB888113.log
14.01.2006 12:29 28'189 KB887742.log
14.01.2006 12:29 27'589 KB887472.log
14.01.2006 12:29 28'920 KB896358.log
14.01.2006 12:29 22'983 KB910437.log
14.01.2006 12:29 31'875 KB905915.log
14.01.2006 12:29 24'576 KB891781.log
14.01.2006 12:29 30'807 KB902400.log
14.01.2006 12:29 21'658 KB890046.log
14.01.2006 12:29 20'571 KB893066.log
14.01.2006 12:28 20'599 KB899589.log
14.01.2006 12:28 20'986 KB905414.log
14.01.2006 12:28 19'980 KB901214.log
14.01.2006 12:28 19'239 KB888302.log
14.01.2006 12:28 21'053 KB900725.log
14.01.2006 12:28 18'178 KB912919.log
14.01.2006 12:28 12'465 KB886185.log
14.01.2006 12:28 17'369 KB904706.log
14.01.2006 12:28 17'990 KB905749.log
14.01.2006 12:28 16'778 KB896428.log
14.01.2006 12:27 17'460 KB894391.log
14.01.2006 12:26 15'172 KB908519.log
14.01.2006 12:26 17'594 KB890859.log
13.01.2006 11:43 60'416 ALCFDRTM.VER
13.01.2006 00:18 11'310 KB893803v2.log
13.01.2006 00:18 8'852 KB898461.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C28-64C4

Verzeichnis von C:\

02.05.2006 14:30 0 sys.txt
02.05.2006 14:29 7'936 system.txt
02.05.2006 14:28 293 systemtemp.txt
02.05.2006 14:25 98'692 system32.txt
02.05.2006 14:22 2'145'386'496 pagefile.sys
02.05.2006 13:26 739 rapport.txt
01.05.2006 15:34 3'522 smitfiles.txt
14.02.2006 09:55 105'737 Haus A scal.zpr
15.12.2005 14:32 20 rect.txt
15.12.2005 14:32 10 point.txt
14.12.2005 16:54 211 boot.ini
14.12.2005 11:49 10 debug.dat
15.11.2005 22:02 99 mastercam.ini
31.10.2005 14:28 0 MSDOS.SYS
31.10.2005 14:28 0 AUTOEXEC.BAT
31.10.2005 14:28 0 CONFIG.SYS
31.10.2005 14:28 0 IO.SYS
04.08.2004 14:00 47'564 NTDETECT.COM
04.08.2004 14:00 4'952 bootfont.bin
04.08.2004 14:00 251'184 ntldr
09.11.2001 19:00 1'732'608 hinstall.exe
21 Datei(en) 2'147'640'073 Bytes
0 Verzeichnis(se), 235'849'170'944 Bytes frei

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 02.05.2006 14:34:56 for strings:
; 'malwarewipe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Dieser Beitrag wurde am 02.05.2006 um 14:36 Uhr von lukexc editiert.
Seitenanfang Seitenende
02.05.2006, 14:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 lukexc

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\SrchSTS.exe

Ergebnis hier posten, dann die zwei exe loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 15:03
...neu hier

Beiträge: 5
#14 Complete scanning result of "regperf.exe", received in VirusTotal at 05.02.2006, 14:56:42 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 05.02.2006 no virus found
AVG 386 05.01.2006 no virus found
Avira 6.34.1.58 05.02.2006 no virus found
BitDefender 7.2 05.02.2006 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 04.29.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 05.02.2006 no virus found
DrWeb 4.33 05.02.2006 Trojan.Popuper
eTrust-InoculateIT 23.71.144 05.02.2006 no virus found
eTrust-Vet 12.4.2191 05.02.2006 Win32/Beovens!generic
Ewido 3.5 05.02.2006 no virus found
Fortinet 2.71.0.0 05.02.2006 suspicious
F-Prot 3.16c 05.01.2006 no virus found
Ikarus 0.2.65.0 05.02.2006 no virus found
Kaspersky 4.0.2.24 05.02.2006 Trojan-Downloader.Win32.Zlob.mx
McAfee 4752 05.01.2006 no virus found
Microsoft 1.1372 05.02.2006 no virus found
NOD32v2 1.1516 05.01.2006 no virus found
Norman 5.90.17 05.02.2006 W32/Malware
Panda 9.0.0.4 05.02.2006 Suspicious file
Sophos 4.05.0 05.02.2006 no virus found
Symantec 8.0 05.02.2006 no virus found
TheHacker 5.9.7.137 05.01.2006 no virus found
UNA 1.83 04.28.2006 no virus found
VBA32 3.11.0 05.02.2006 no virus found

Aditional Information
File size: 15217 bytes
MD5: 7e7ffce78d95b60d30c2b4a5204f40fb
SHA1: 286993ed2a0bbdea63da3623cf0e04e7289d34a5
Norman SandBox:
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Accesses executable file from resource section.
* File length: 15217 bytes.

[ Changes to filesystem ]
* Creates file C:WINDOWSSYSTEM32ld1189.tmp.

[ Process/window information ]
* Creates an event called ldrInsuranceEventEx.
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.


Complete scanning result of "SrchSTS.exe", received in VirusTotal at 05.02.2006, 15:01:25 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 05.02.2006 no virus found
AVG 386 05.01.2006 no virus found
Avira 6.34.1.58 05.02.2006 no virus found
BitDefender 7.2 05.02.2006 no virus found
CAT-QuickHeal 8.00 04.29.2006 no virus found
ClamAV devel-20060426 05.02.2006 no virus found
DrWeb 4.33 05.02.2006 no virus found
eTrust-InoculateIT 23.71.144 05.02.2006 no virus found
eTrust-Vet 12.4.2191 05.02.2006 no virus found
Ewido 3.5 05.02.2006 no virus found
Fortinet 2.71.0.0 05.02.2006 no virus found
F-Prot 3.16c 05.01.2006 no virus found
Ikarus 0.2.65.0 05.02.2006 no virus found
Kaspersky 4.0.2.24 05.02.2006 no virus found
McAfee 4752 05.01.2006 no virus found
Microsoft 1.1372 05.02.2006 no virus found
NOD32v2 1.1516 05.01.2006 no virus found
Norman 5.90.17 05.02.2006 no virus found
Panda 9.0.0.4 05.02.2006 Suspicious file
Sophos 4.05.0 05.02.2006 no virus found
Symantec 8.0 05.02.2006 no virus found
TheHacker 5.9.7.137 05.01.2006 no virus found
UNA 1.83 04.28.2006 no virus found
VBA32 3.11.0 05.02.2006 no virus found

Aditional Information
File size: 288417 bytes
MD5: fc041f7d1341eee456f1fa1a256cd24f
SHA1: 79bf4b742b8decaa516c2a29145facb83796f1d6
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity
Seitenanfang Seitenende
02.05.2006, 15:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 lukexc

Zitat

27.04.2006 17:49 288'417 SrchSTS.exe
was hast du an diesem Tag geladen ?
wozu gehoert das?

---------------------------------------------------

C:WINDOWS\SYSTEM32\regperf.exe
C:WINDOWS\SYSTEM32\ld1189.tmp

...loeschen..klar ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: