Backdoor.CIADoor.13

#46 OK hab alles gemacht. Der taskmanager war schon auf 0, das andere habe ich gelöscht.

Aber gerade als ich es löschen wollte kamen mehrmals die Meldung wegen
JAVA/ClassLoad.AH.3
und
TR/Nocheat.2

Edit: So habs kopiert, ich hoffe so ist das ok.



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A894-4C93

Verzeichnis von C:\WINDOWS\system32

23.09.2006 11:58 2.206 wpa.dbl
21.09.2006 16:11 40.972 perfc009.dat
21.09.2006 16:11 314.644 perfh009.dat
21.09.2006 16:11 49.372 perfc007.dat
21.09.2006 16:11 320.424 perfh007.dat
21.09.2006 16:11 732.342 PerfStringBackup.INI
21.09.2006 16:08 259.840 FNTCACHE.DAT
21.09.2006 16:07 288 $winnt$.inf
21.09.2006 16:03 23.392 nscompat.tlb
21.09.2006 16:03 16.832 amcompat.tlb
21.09.2006 16:02 488 WindowsLogon.manifest
21.09.2006 16:02 488 logonui.exe.manifest
21.09.2006 16:02 749 cdplayer.exe.manifest
21.09.2006 16:02 749 sapi.cpl.manifest
21.09.2006 16:02 749 wuaucpl.cpl.manifest
21.09.2006 16:02 749 ncpa.cpl.manifest
21.09.2006 16:02 749 nwc.cpl.manifest
21.09.2006 16:01 22.880 emptyregdb.dat
14.09.2006 18:43 819.509 ckl009.dat
11.09.2006 19:37 8.960.936 MRT.exe
07.09.2006 12:54 57.384 avsda.dll
28.08.2006 18:49 142 del32.bat
27.08.2006 11:45 124.688 MSWINSCK.OCX
08.08.2006 11:26 6.948 jupdate-1.5.0_06-b05.log
09.07.2006 19:13 0 h323log.txt
09.07.2006 18:17 2.951 CONFIG.NT


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A894-4C93

Verzeichnis von C:\DOKUME~1\MARION~1\LOKALE~1\Temp

23.09.2006 12:28 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}30498.html
23.09.2006 12:28 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}24644.html
23.09.2006 12:20 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}27318.html
23.09.2006 12:20 16.384 ~DFB875.tmp
23.09.2006 12:20 16.384 ~DFAF55.tmp
23.09.2006 12:20 512 ~DFAF64.tmp
23.09.2006 12:20 0 6psp72qu.lnk
23.09.2006 12:08 4.160 java_install_reg.log
23.09.2006 12:08 11.305 jusched.log
22.09.2006 16:28 54.272 ginstall.dll
22.09.2006 14:56 16.384 ~DFBFF5.tmp
22.09.2006 14:28 16.384 ~DF8413.tmp
22.09.2006 14:28 512 ~DF71B8.tmp
22.09.2006 14:28 16.384 ~DF71A9.tmp
20.09.2006 23:15 978 TempICQMagicNumber_9315920031175.html
20.09.2006 23:15 16.384 ~DF3CA9.tmp
20.09.2006 23:15 16.384 ~DFD42.tmp
20.09.2006 23:15 16.384 ~DFD12.tmp
20.09.2006 23:15 16.384 ~DFCB8.tmp
20.09.2006 23:15 16.384 ~DFAB3.tmp
20.09.2006 23:15 970 TempICQCLImage9316998006638.html
20.09.2006 23:14 16.384 ~DF6D0D.tmp
20.09.2006 23:11 299 temp.bat
20.09.2006 22:21 16.384 ~DFE396.tmp
20.09.2006 22:21 16.384 ~DFE376.tmp
20.09.2006 22:21 16.384 ~DFE366.tmp
20.09.2006 22:21 16.384 ~DFE386.tmp
20.09.2006 22:21 16.384 ~DFBEC0.tmp
20.09.2006 22:21 16.384 ~DFB821.tmp
20.09.2006 22:20 16.384 ~DF4350.tmp
20.09.2006 22:20 16.384 ~DF4320.tmp
20.09.2006 22:20 16.384 ~DF4340.tmp
20.09.2006 22:20 16.384 ~DF4330.tmp
20.09.2006 22:19 16.384 ~DFD4F8.tmp
20.09.2006 22:18 16.384 ~DF93DA.tmp
20.09.2006 17:11 16.384 ~DF6B69.tmp
20.09.2006 17:11 16.384 ~DF6B79.tmp
20.09.2006 17:11 16.384 ~DF6B89.tmp
20.09.2006 17:11 16.384 ~DF6B99.tmp
20.09.2006 17:11 16.384 ~DF3563.tmp
20.09.2006 17:11 16.384 ~DF2F20.tmp
20.09.2006 17:09 16.384 ~DF8E0A.tmp
20.09.2006 17:09 16.384 ~DF8E1A.tmp
20.09.2006 17:09 16.384 ~DF8E2A.tmp
20.09.2006 17:09 16.384 ~DF8DFA.tmp
20.09.2006 17:09 16.384 ~DF6205.tmp
20.09.2006 17:09 16.384 ~DF5508.tmp
20.09.2006 16:31 16.384 ~DF8A73.tmp
20.09.2006 16:31 16.384 ~DF8A63.tmp
20.09.2006 16:31 16.384 ~DF8A53.tmp
20.09.2006 16:31 16.384 ~DF8A43.tmp
20.09.2006 16:31 16.384 ~DF7E0A.tmp
20.09.2006 16:31 16.384 ~DF7E1A.tmp
20.09.2006 16:31 16.384 ~DF7DFA.tmp
20.09.2006 16:31 16.384 ~DF7E2A.tmp
20.09.2006 16:31 16.384 ~DF5F10.tmp
20.09.2006 16:31 16.384 ~DF58A3.tmp
20.09.2006 15:50 16.384 ~DFEE9B.tmp
20.09.2006 15:50 16.384 ~DFEEBD.tmp
20.09.2006 15:50 16.384 ~DFEECD.tmp
20.09.2006 15:50 16.384 ~DFEEAC.tmp
20.09.2006 15:48 16.384 ~DF4CF7.tmp
20.09.2006 15:48 16.384 ~DF4684.tmp
20.09.2006 15:48 16.384 ~DF908.tmp
20.09.2006 15:48 16.384 ~DF918.tmp
20.09.2006 15:48 16.384 ~DF8F8.tmp
20.09.2006 15:48 16.384 ~DF8E8.tmp
20.09.2006 15:44 32.768 ~DF8384.tmp
20.09.2006 15:44 16.384 ~DF7DD6.tmp
20.09.2006 14:25 16.384 ~DF4A9D.tmp
20.09.2006 14:25 16.384 ~DF4A8D.tmp
20.09.2006 14:25 16.384 ~DF4AAD.tmp
20.09.2006 14:25 16.384 ~DF4ABD.tmp
20.09.2006 14:25 16.384 ~DF227E.tmp
20.09.2006 14:25 16.384 ~DF1A80.tmp
20.09.2006 14:21 16.384 ~DFD335.tmp
20.09.2006 14:21 16.384 ~DFD315.tmp
20.09.2006 14:21 16.384 ~DFD325.tmp
20.09.2006 14:21 16.384 ~DFD305.tmp
20.09.2006 14:21 16.384 ~DFAC52.tmp
20.09.2006 14:21 16.384 ~DFA34F.tmp
20.09.2006 14:21 16.384 ~DFFB11.tmp
20.09.2006 14:21 16.384 ~DFFB23.tmp
20.09.2006 14:21 16.384 ~DFFB33.tmp
20.09.2006 14:21 16.384 ~DFFB43.tmp
20.09.2006 14:16 16.384 ~DF4A90.tmp
20.09.2006 14:16 16.384 ~DF14C8.tmp
18.09.2006 23:29 0 zi611E.tmp
18.09.2006 23:29 0 v3x117.tmp
18.09.2006 23:28 0 eb8112.tmp
18.09.2006 23:28 0 kxi10E.tmp
18.09.2006 23:27 0 oq9106.tmp
18.09.2006 23:27 0 idl100.tmp
18.09.2006 22:39 0 qhr78.tmp
18.09.2006 22:39 0 87k75.tmp
18.09.2006 15:42 16.384 ~DF72C9.tmp
18.09.2006 15:42 512 ~DF72C1.tmp
18.09.2006 15:42 16.384 ~DF72E9.tmp
18.09.2006 15:42 512 ~DF72F1.tmp
18.09.2006 15:42 16.384 ~DF72B9.tmp
18.09.2006 15:42 512 ~DF72E1.tmp
18.09.2006 15:42 16.384 ~DF72D9.tmp
18.09.2006 15:42 512 ~DF72D1.tmp
18.09.2006 15:42 16.384 ~DF969A.tmp
18.09.2006 15:42 49.152 ~DF96AA.tmp
18.09.2006 15:40 16.384 ~DF96A2.tmp
18.09.2006 15:40 16.384 ~DF9682.tmp
18.09.2006 15:40 512 ~DF968A.tmp
18.09.2006 15:40 16.384 ~DF9692.tmp
18.09.2006 15:40 16.384 ~DF9672.tmp
18.09.2006 15:40 512 ~DF967A.tmp
18.09.2006 15:14 16.384 ~DF8B38.tmp
18.09.2006 15:14 512 ~DF8519.tmp
18.09.2006 15:14 16.384 ~DF8511.tmp
17.09.2006 19:58 10.538 control.xml
17.09.2006 17:14 16.384 ~DF9625.tmp
17.09.2006 17:14 16.384 ~DF95DD.tmp
17.09.2006 17:14 16.384 ~DF95BD.tmp
17.09.2006 17:14 16.384 ~DF95CD.tmp
17.09.2006 17:01 16.384 ~DFD290.tmp
17.09.2006 17:01 16.384 ~DFD270.tmp
17.09.2006 17:01 16.384 ~DFD280.tmp
17.09.2006 17:01 16.384 ~DFD260.tmp
17.09.2006 15:09 16.384 ~DFFEFB.tmp
17.09.2006 15:09 16.384 ~DFFEEB.tmp
17.09.2006 15:09 16.384 ~DFFEDB.tmp
17.09.2006 15:09 16.384 ~DFFECB.tmp
17.09.2006 15:06 16.384 ~DF7B25.tmp
17.09.2006 15:06 16.384 ~DF75D2.tmp
17.09.2006 00:06 695 TWAIN.LOG
17.09.2006 00:06 156 Twunk001.MTX
17.09.2006 00:06 3 Twain001.Mtx
16.09.2006 18:06 251.076 imageio36577.tmp
16.09.2006 18:06 192.033 imageio36578.tmp
16.09.2006 18:06 192.033 imageio36579.tmp
16.09.2006 18:06 529.399 imageio36580.tmp
16.09.2006 18:06 103.218 imageio36587.tmp
16.09.2006 18:06 262.322 imageio36576.tmp
16.09.2006 18:06 254.277 imageio36590.tmp
16.09.2006 18:06 65.061 imageio36573.tmp
16.09.2006 18:06 383.896 imageio36552.tmp
16.09.2006 18:06 383.896 imageio36554.tmp
16.09.2006 18:06 212.749 imageio36555.tmp
16.09.2006 18:06 251.076 imageio36575.tmp
16.09.2006 18:06 103.218 imageio36589.tmp
16.09.2006 18:06 85.348 imageio36574.tmp
16.09.2006 18:06 408.899 imageio36556.tmp
16.09.2006 18:06 253.968 imageio36557.tmp
16.09.2006 18:06 285.499 imageio36592.tmp
16.09.2006 18:06 285.499 imageio36593.tmp
16.09.2006 18:06 234.297 imageio36594.tmp
16.09.2006 18:06 231.601 imageio36571.tmp
16.09.2006 18:06 254.277 imageio36591.tmp
16.09.2006 18:06 529.399 imageio36581.tmp
16.09.2006 18:06 212.749 imageio36558.tmp
16.09.2006 18:06 61.441 imageio36559.tmp
16.09.2006 18:06 93.227 imageio36560.tmp
16.09.2006 18:06 408.899 imageio36561.tmp
16.09.2006 18:06 432.577 imageio36562.tmp
16.09.2006 18:06 61.441 imageio36563.tmp
16.09.2006 18:06 93.227 imageio36564.tmp
16.09.2006 18:06 432.577 imageio36565.tmp
16.09.2006 18:06 608.095 imageio36566.tmp
16.09.2006 18:06 65.061 imageio36569.tmp
16.09.2006 18:06 231.601 imageio36568.tmp
16.09.2006 18:06 608.095 imageio36567.tmp
16.09.2006 18:06 262.322 imageio36572.tmp
16.09.2006 17:48 16.384 ~DF1205.tmp
16.09.2006 17:48 16.384 ~DF11F5.tmp
16.09.2006 17:48 16.384 ~DF11E5.tmp
16.09.2006 17:48 16.384 ~DF1215.tmp
16.09.2006 15:03 16.384 ~DF9791.tmp
16.09.2006 15:03 16.384 ~DF88F8.tmp
16.09.2006 12:33 5.891 ICQ36.tmp
16.09.2006 12:33 16.356 ICQ37.tmp
16.09.2006 12:33 9.720 ICQ35.tmp
16.09.2006 12:33 4.234 ICQ34.tmp
16.09.2006 12:31 4.696 ICQ32.tmp
16.09.2006 12:31 11.264 ICQ33.tmp
16.09.2006 09:15 16.384 ~DF735E.tmp
16.09.2006 09:15 16.384 ~DF733E.tmp
16.09.2006 09:15 16.384 ~DF734E.tmp
16.09.2006 09:15 16.384 ~DF736E.tmp
16.09.2006 09:14 16.384 ~DF19AF.tmp
16.09.2006 09:14 16.384 ~DF19BF.tmp
16.09.2006 09:14 16.384 ~DF199F.tmp
16.09.2006 09:14 16.384 ~DF198F.tmp
16.09.2006 09:09 16.384 ~DF70B9.tmp
16.09.2006 09:09 16.384 ~DF6B4C.tmp
15.09.2006 23:44 13.241 ICQ78C.tmp
15.09.2006 23:44 4.970 ICQ78B.tmp
15.09.2006 21:26 0 8ny5F3.tmp
15.09.2006 21:22 0 12y5DD.tmp
15.09.2006 14:18 0 mla39.tmp
15.09.2006 14:15 0 gny2B.tmp
15.09.2006 13:57 0 vwuD.tmp
14.09.2006 23:01 43 spacer.gif
14.09.2006 18:48 0 r431DC.tmp
14.09.2006 18:47 0 uwz1CC.tmp
14.09.2006 18:46 0 1e01C8.tmp
14.09.2006 18:45 0 zj41C4.tmp
14.09.2006 18:41 0 pkn1B2.tmp
13.09.2006 17:50 16.384 ~DF5EC2.tmp
13.09.2006 17:50 16.384 ~DF576F.tmp
11.09.2006 23:30 0 3we3EF.tmp
11.09.2006 23:14 0 kvt39E.tmp
11.09.2006 23:13 0 pli398.tmp
11.09.2006 23:12 0 j8o394.tmp
11.09.2006 23:09 0 k3h389.tmp
11.09.2006 17:41 103 ibo158.tmp
11.09.2006 17:37 0 k0h13E.tmp
11.09.2006 17:36 0 t3e13B.tmp
11.09.2006 17:35 0 w5y136.tmp
11.09.2006 17:35 0 tvr134.tmp
11.09.2006 17:22 0 7qb10A.tmp
11.09.2006 17:21 0 89v108.tmp
11.09.2006 17:20 0 ahp103.tmp
11.09.2006 17:16 0 x77FA.tmp
11.09.2006 16:19 0 lqs3B.tmp
11.09.2006 16:17 0 pi52E.tmp
10.09.2006 16:32 939 jupdate1.5.0.xml
27.08.2006 18:35 0 Twunk002.MTX
07.05.2006 19:12 32.855 ICQRT.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A894-4C93

Verzeichnis von C:\WINDOWS

23.09.2006 12:04 438.224 WindowsUpdate.log
23.09.2006 11:58 0 0.log
23.09.2006 11:58 2.048 bootstat.dat
23.09.2006 01:34 32.568 SchedLgU.Txt
21.09.2006 17:14 1.454 COM+.log
21.09.2006 16:10 164.597 comsetup.log
21.09.2006 16:10 643.237 setuplog.txt
21.09.2006 16:09 260.196 setupapi.log
21.09.2006 16:07 515.103 iis6.log
21.09.2006 16:07 96.387 ntdtcsetup.log
21.09.2006 16:07 193.246 tsoc.log
21.09.2006 16:07 4.382 imsins.log
21.09.2006 16:07 21.475 tabletoc.log
21.09.2006 16:07 22.632 ocmsn.log
21.09.2006 16:07 247.968 setupact.log
21.09.2006 16:04 24.066 wmsetup.log
21.09.2006 16:03 316.640 WMSysPr9.prx
21.09.2006 16:03 1.272 OEWABLog.txt
21.09.2006 16:03 4.161 ODBCINST.INI
21.09.2006 16:02 749 WindowsShell.Manifest
21.09.2006 16:02 329 setuperr.log
21.09.2006 16:02 573 win.ini
21.09.2006 16:02 29.047 MedCtrOC.log
21.09.2006 16:02 207.340 ocgen.log
21.09.2006 16:02 20.647 msgsocm.log
21.09.2006 16:02 400.229 FaxSetup.log
21.09.2006 16:02 2.065 sessmgr.setup.log
21.09.2006 16:02 71.643 netfxocm.log
21.09.2006 16:01 253 DtcInstall.log
21.09.2006 16:01 135.826 msmqinst.log
21.09.2006 16:00 373 cmsetacl.log
21.09.2006 15:59 604 wiadebug.log
21.09.2006 15:59 50 wiaservc.log
21.09.2006 15:55 3.624 regopt.log
21.09.2006 15:55 231 system.ini
20.09.2006 22:31 16 Wininit.ini
20.09.2006 17:56 69 NeroDigital.ini
16.09.2006 09:11 1.374 imsins.BAK
16.09.2006 09:11 17.158 KB920872.log
16.09.2006 09:10 308.733 setupapi.old
15.09.2006 00:12 11.007 KB922582.log
15.09.2006 00:12 20.169 updspapi.log
14.09.2006 08:55 10.328 KB920685.log
14.09.2006 08:55 10.711 KB919007.log
28.08.2006 18:46 7.680 Thumbs.db
18.08.2006 19:09 0 MEMORY.DMP
13.08.2006 10:14 16.558 KB920214.log
13.08.2006 10:14 16.552 KB922616.log
13.08.2006 10:14 16.953 KB921398.log
13.08.2006 10:14 19.963 KB918899.log
13.08.2006 10:14 11.895 KB920670.log
13.08.2006 10:14 12.063 KB917422.log
13.08.2006 10:14 12.368 KB920683.log
12.08.2006 15:10 335 nsreg.dat
12.08.2006 15:10 99.024 MozillaUninstall.exe
12.08.2006 15:10 7.534 mozver.dat
12.08.2006 15:10 98.512 GREUninstall.exe
10.08.2006 20:02 11.135 KB921883.log
03.08.2006 12:36 5.588 WgaNotify.log
18.07.2006 18:27 922 spupdsvc.log
15.07.2006 23:32 33.939 KB899587.log
15.07.2006 23:32 32.672 KB885835.log
15.07.2006 23:32 31.792 KB885836.log
15.07.2006 23:32 24.060 KB917734.log
15.07.2006 23:31 32.734 KB911927.log
15.07.2006 23:31 32.230 KB901017.log
15.07.2006 23:31 32.546 KB899591.log
15.07.2006 23:31 32.739 KB896424.log
15.07.2006 23:31 32.733 KB893756.log
15.07.2006 23:31 31.698 KB911280.log
15.07.2006 23:31 31.157 KB911562.log
15.07.2006 23:31 27.620 KB896423.log
15.07.2006 23:31 30.911 KB900485.log
15.07.2006 23:31 30.069 KB917159.log
15.07.2006 23:31 29.102 KB873339.log
15.07.2006 23:31 29.169 KB888113.log
15.07.2006 23:31 29.110 KB887472.log
15.07.2006 23:31 30.446 KB896358.log
15.07.2006 23:31 23.613 KB910437.log
15.07.2006 23:31 20.444 KB911564.log
15.07.2006 23:30 28.700 KB891781.log
15.07.2006 23:30 29.430 KB918439.log
15.07.2006 23:30 34.420 KB902400.log
15.07.2006 23:30 26.234 KB890046.log
15.07.2006 23:30 25.230 KB899589.log
15.07.2006 23:30 25.483 KB914388.log
15.07.2006 23:30 24.081 KB917344.log
15.07.2006 23:30 24.150 KB905414.log
15.07.2006 23:30 23.345 KB917953.log
15.07.2006 23:30 23.139 KB901214.log
15.07.2006 23:30 22.464 KB888302.log
15.07.2006 23:30 24.537 KB900725.log
15.07.2006 23:30 22.956 KB912919.log
15.07.2006 23:30 16.544 KB886185.log
15.07.2006 23:30 22.425 KB916595.log
15.07.2006 23:30 22.143 KB904706.log
15.07.2006 23:30 22.140 KB901190.log
15.07.2006 23:29 22.680 KB908531.log
15.07.2006 23:29 22.241 KB905749.log
15.07.2006 23:29 25.286 KB916281.log
15.07.2006 23:29 19.796 KB913580.log
15.07.2006 23:29 17.896 KB896428.log
15.07.2006 23:29 18.586 KB911567.log
15.07.2006 23:29 18.575 KB894391.log
15.07.2006 23:29 16.277 KB908519.log
15.07.2006 23:29 17.088 KB914389.log
15.07.2006 23:29 18.699 KB890859.log
15.07.2006 09:33 7.166 KB893803v2.log
15.07.2006 09:33 7.002 KB898461.log
10.07.2006 15:55 360 nsw.log
10.07.2006 15:51 92 CMISETUP.INI
10.07.2006 15:51 26 CMCDPLAY.INI
10.07.2006 15:51 0 AS_Debug.txt
10.07.2006 15:50 5.703 Ascd_tmp.ini
09.07.2006 19:10 0 Sti_Trace.log
09.07.2006 18:31 400 ODBC.INI
09.07.2006 18:31 63 vbaddin.ini
09.07.2006 18:21 8.192 REGLOCS.OLD
09.07.2006 18:17 0 control.ini
09.07.2006 18:14 36 vb.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A894-4C93

Verzeichnis von C:\

23.09.2006 12:34 0 sys.txt
23.09.2006 12:33 8.779 system.txt
23.09.2006 12:31 11.738 systemtemp.txt
23.09.2006 12:31 98.949 system32.txt
23.09.2006 11:57 536.268.800 hiberfil.sys
23.09.2006 11:57 805.306.368 pagefile.sys
21.09.2006 16:00 211 boot.ini
09.07.2006 18:17 0 AUTOEXEC.BAT
09.07.2006 18:17 0 MSDOS.SYS
09.07.2006 18:17 0 IO.SYS
09.07.2006 18:17 0 CONFIG.SYS

#47 Caillean

««
Java ist anfaellig fuer Trojaner
Es ist also wichtig regelmaessig den Cache zu leeren!
Am einfachsten geht das mit CCleaner
http://virus-protect.org/artikel/tools/javasun.html

««
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit

#48 OK, danke hab CCleaner benutz und alles gelöscht. Ist der Trojaner damit weg?


Hier das noch fehlende von Fixwareout, oben stehen die anderen 4 Textdateien (ich wollte einen Doppelpost vermeiden)


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A49DF9DCE583-16F9-F6D4-2A84-975C2CAC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\rmymd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap
...

Random Runs removed from HKLM
"dmymr.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.


»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSROV.EXE 51.755 2006-09-11
C:\WINDOWS\SYSTEM32\DMYMR.EXE 62.028 2004-08-04

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

#49 Caillean

1.
Cleanup anwenden
http://virus-protect.org/cleanup.html

2.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Marion Hientz\Lokale Einstellungen\Temp\temp.bat
C:\Dokumente und Einstellungen\Marion Hientz\Lokale Einstellungen\Temp\6psp72qu.lnk
C:\Dokumente und Einstellungen\Marion Hientz\Lokale Einstellungen\Temp\ginstall.dll
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\SYSTEM32\CSROV.EXE
C:\WINDOWS\SYSTEM32\DMYMR.EXE

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FDC339B-6AFF-437D-A074-84FF436CA6FE}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1D4AA98-DD23-433F-8A6C-0B4EF0541BE7}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FDC339B-6AFF-437D-A074-84FF436CA6FE}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{3FDC339B-6AFF-437D-A074-84FF436CA6FE}: NameServer = 85.255.115.67,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108

PC neustarten

Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

85.255.115.67 85.255.112.108 - muss raus !!!

1. Click Start > Control Panel
2. Double-click Network Connections.

---------------------------------------------------------
5.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Ok, soweit alles geklappt. Aber bei dem Internetprotokoll war bereits das Häckchen gesetzt und auch keine IP stand dort.

Beim F-Secure Online Scanner Next Generation Beta kam keine "Show Report" wahlmöglichkeit

Bloß das hier
Viren:
1

Verborgene Elemente:
0

Spyware:
3



und eine auswahlmöglichkeit, ob automatische breinigung oder benutzer entscheidet abhängig vom jeweiligen...

hab dann die zweite möglichkeit gewählt und diese liste tauchte auf
Folgende Elemente wurden gefunden

Trojan-Clicker.Win32.Delf.gi (C:\PROGRAM FILES\PVIEVER\PVIEVER.EXE)
KeineDesinfizierenUmbenennenLöschen
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
Windows
KeineDesinfizieren

Nun weiß ich nicht ob ich einfach alles desinfizieren soll ... oder lieber das automatische nehmen soll...? Bin mir da gar nicht sicher, nicht, dass ich was falsches mache und ich hab alles vorherige unnütz gemacht oder so...

#51 1.
Fixe mit dem HijackThis

O4 - HKLM\..\Run: [PViever] "C:\Program Files\PViever\pviever.exe" hide

2.
Kopiere in den avenger

Zitat

Folders to delete:
C:\Program Files\PViever

3.
dann sanne noch mal und lasse alles automatisch loeschen
+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Hier der neue Log von HijackThis


Logfile of HijackThis v1.99.1
Scan saved at 03:30:30, on 24.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Dokumente und Einstellungen\Marion Hientz\Desktop\hijackthis\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

#53 Caillean

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
vergiss nicht, den CleanUp anzuwenden, Verzeichnis von C:\DOKUME~1\MARION~1\LOKALE~1\Temp (2.log von datfindbat)- muss leer sein !

**
dann sollte wieder alles o.k. sein

du kannst noch mal mit panda und mit ewido (online) scannen zur ueberpruefung und hier die scanreporte posten)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#54 Das mit dem Arbeitsplatz hat nicht ganz geklappt. es gab dort keine Systemwiederherstellungauswahlmöglichkeit. Habs übers Start-> Programme-> zubehör-> Systemprogramme-> Systemwiederherstellung probiert, aber leider kam da eine Meldung, dass dies deaktiviert sei...

Ok das andere hab ich so gemacht, und werd jetzt schnell das nnochmal alles scannen.

#55 poste dann die reporte von den scans die du machst
__________
MfG Sabina

rund um die PC-Sicherheit

#56 OK, panda hat irgendwie nicht gewollt(auch mit IE nicht )

Error on downloading ActiveScan
An error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try againPossible causes of this error are:

Not allowing the application's ActiveX control to be downloaded.

Problems with the Internet connection.

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,... Try again


Zudem kam bevor ich scannen konnte eine neue Viruswarnung von Antivir....
W95/Blumblebee.1738



Hier noch der repot des ewido

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Marion Hientz\Cookies\marion hientz@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Marion Hientz\Cookies\marion hientz@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Marion Hientz\Cookies\marion hientz@msnportal.112.2o7[1].txt
Risk: Medium

Name: Trojan.Ciadoor.m
Path: HKU\S-1-5-21-1202660629-2139871995-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
Risk: High

Name: Downloader.Agent.uj
Path: C:\avenger\backup-24.09.2006- 2.32.49,56.zip/avenger/CSROV.EXE
Risk: High

Name: Trojan.Small.fb
Path: C:\avenger\backup-24.09.2006- 2.32.49,56.zip/avenger/DMYMR.EXE
Risk: High

Name: Backdoor.Delf.co
Path: C:\avenger\backup.zip/avenger/PViever/pviever.exe
Risk: High

Name: Adware.Generic
Path: C:\Programme\HQ Codec
Risk: Medium



Soll ich des vom ewido bereinigen lassen?

#57 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Programme\HQ Codec" >>files.txt
notepad files.txt

««
Avenger

Zitat

Folders to delete:
C:\Programme\HQ Codec

««
gehe in die registry
Start - Ausfuehren - regedit

bearbeiten - suchen - {E14DCE67-8FB7-4721-8149-179BAA4D792C}

HKU\S-1-5-21-1202660629-2139871995-725345543-1003\
Software\Microsoft\Windows\CurrentVersion\Ext\Stats\

{E14DCE67-8FB7-4721-8149-179BAA4D792C}-> loeschen

PC neustarten

««
loesche alle backups vom avenger
C:\avenger\backup-24.09.2006- 2.32.49,56.zip
C:\avenger\backup.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#58 Ich hoffe ich habe jetzt alles richtig gemacht.

edit

Verzeichnis von C:\Programme\HQ Codec

11.09.2006 17:41 <DIR> .
11.09.2006 17:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 156.620.103.680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A894-4C93

#59 o.k. arbeite den Rest ab. dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#60 Ok, backups gelöscht

Damit ists erledigt? Das wäre ja super!

Ganz großes Danke!!!!