Home » Viren, Trojaner & Malware Forum » Problem mit Trojaner Pfad: C:\WINDOWS\system32\1024 » Themenansicht
Problem mit Trojaner Pfad: C:\WINDOWS\system32\1024 |
||
|---|---|---|
| #0
| ||
|
15.05.2006, 14:36
Member
Beiträge: 11 |
||
 
|
|
|
|
15.05.2006, 14:43
Ehrenmitglied
 Beiträge: 29434 |
#2
the_hanging_
info Spyfalcon http://virus-protect.org/artikel/spyware/spyfalcon.html ----------------------------------------------------------------------- Laden und alles auf dem Desktop entpacken: *) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg *) Killbox http://www.bleepingcomputer.com/files/killbox.php -> [Anleitung: http://virus-protect.org/killbox.html *) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok ---------------------------------------------------------------------- killbox Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\system32\stdole3.tlb C:\WINDOWS\system32\simpole.tlb C:\DOKUME~1\Philipp\LOKALE~1\Temp\A~NSISu_.exe C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\regperf.exe PC neustarten ---------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm ** Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen ** öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) boote wieder in den Normalmodus ** deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. ** scanne mit superantispyware (free) http://virus-protect.org/artikel/tools/superantispyware.html ** berichte  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2006, 17:16
Member
Themenstarter Beiträge: 11 |
#3
Danke vielmals
Es sieht so aus als hätte es geklappt. sowohl avast als auch antispyware findet nichts mehr. Habe jedoch auf einem zweiten Computer seit kurzem das selbe Problem. Habe genau das selbe getan doch Hijackthis zeigt in der Liste nicht die Malware-Einträge an die ich ankreuzen sollte. Soll ich von diesem Computer ebenfalls die Logfiles schicken? oh ja ausserdem kommt bei der aktion mit der Killbox am Ende wenn ich Reboot yes klicke die Fehlermeldung: PendingFileRenameOperations Registry Data has been Removed by external Process ich drücke ok aber der Computer started NICHT neu Dieser Beitrag wurde am 15.05.2006 um 17:29 Uhr von the_hanging_ editiert.
|
|
|
|
|
|
|
15.05.2006, 18:11
Ehrenmitglied
Beiträge: 29434 |
#4
poste die logs vom anderen pc
p.s. wenn der rechner (siehe killbox )nicht von allein bootet, dann starte du ihn neu) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2006, 18:25
Member
Themenstarter Beiträge: 11 |
#5
1.Hijackthis Log:
Logfile of HijackThis v1.99.1 Scan saved at 18:19:54, on 15.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RUNDLL32.EXE D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe D:\Programme\Alwil Software\Avast4\aswUpdSv.exe D:\Programme\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\PGPserv.exe D:\WINDOWS\system32\svchost.exe D:\Programme\Alwil Software\Avast4\ashMaiSv.exe D:\Programme\Alwil Software\Avast4\ashWebSv.exe D:\Programme\FileZilla\FileZilla.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Dokumente und Einstellungen\Koster\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\eMule.de\eMule.exe -AutoStart O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: PGPserv - PGP Corporation - D:\WINDOWS\system32\PGPserv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe 3. 4 Logfiles: 1. Logfile D/windows/system32: Volume in Laufwerk D: hat keine Bezeichnung. Volumeseriennummer: 74C8-6841 Verzeichnis von D:\WINDOWS\system32 15.05.2006 17:54 4'868 stdole3.tlb 15.05.2006 16:57 17'145 nvapps.xml 15.05.2006 16:56 27'661 ld9B36.tmp 15.05.2006 16:55 25'296 BMXBkpCtrlState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 15.05.2006 16:55 25'296 BMXCtrlState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 15.05.2006 16:55 16'516 BMXStateBkp-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 15.05.2006 16:55 16'516 BMXState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 15.05.2006 16:55 1'080 settingsbkup.sfm 15.05.2006 16:55 1'080 settings.sfm 15.05.2006 16:55 24 DVCState-{00000002-00000000-00000001-00001102-00000002-80651102}.dat 15.05.2006 16:55 24 DVCStateBkp-{00000002-00000000-00000001-00001102-00000002-80651102}.dat 15.05.2006 13:53 2'206 wpa.dbl 14.05.2006 23:42 4'286 ts.ico 14.05.2006 23:42 4'286 ot.ico 14.05.2006 23:35 35'853 regperf.exe 12.05.2006 11:54 90'296 FNTCACHE.DAT 04.05.2006 06:26 5'818'784 MRT.exe 26.04.2006 10:41 3'002 CONFIG.NT 23.04.2006 15:59 43'520 CmdLineExt03.dll 19.04.2006 09:58 597'504 aswBoot.exe 19.04.2006 09:51 90'112 AVASTSS.scr 14.04.2006 12:05 1'205 lvcoinst.log 30.03.2006 11:26 1'492'480 shdocvw.dll edit Sabina |
|
|
|
|
|
|
16.05.2006, 00:30
Ehrenmitglied
Beiträge: 29434 |
#6
the_hanging_
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten poste das Log vom Avenger ---------- *) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitre.txt und poste das Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2006, 18:16
Member
Themenstarter Beiträge: 11 |
#7
Error: selected file does not appear to be a valid script
Error code: 1813 das zeigt es mir an nachdem ich die Ampel gedrückt habe Error Log: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 1813 Error logged to errorlog.txt. Aborting now! Ausserdem hab ich runthisbat durchlaufenlassen, aber wo finde ich die smitre.txt Dieser Beitrag wurde am 16.05.2006 um 18:30 Uhr von the_hanging_ editiert.
|
|
|
|
|
|
|
17.05.2006, 00:51
Ehrenmitglied
Beiträge: 29434 |
#8
windows-Suche -> smitrem.txt
+ loesche mit der Killbox...falls es noch vorhanden ist.... D:\WINDOWS\system32\stdole3.tlb D:\WINDOWS\system32\ts.ico D:\WINDOWS\system32\ot.ico D:\WINDOWS\system32\regperf.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.05.2006, 13:17
Member
Themenstarter Beiträge: 11 |
#9
Schei... avast!
genau beim letzten reboot war die Lizenz vorbei und der Virus konnte sich wunderbar ausbreiten. habs jetzt soweit wieder unter Kontrolle aber bin wieder glei weit wie vorhin. was soll ich tun? Logs schicken? die Dateien von vorhin nochmal löschen? |
|
|
|
|
|
|
17.05.2006, 15:16
Ehrenmitglied
Beiträge: 29434 |
#10
es reicht, dass du die Dateien mit killbox loeschst, wie angegeben und
*) SmitRem2.8 anwendest. dann poste smitrem.txt + das 1. log von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.05.2006, 19:32
Member
Themenstarter Beiträge: 11 |
#11
Datfindbatlog:
Volume in Laufwerk D: hat keine Bezeichnung. Volumeseriennummer: 74C8-6841 Verzeichnis von D:\WINDOWS\system32 17.05.2006 19:27 17'145 nvapps.xml 17.05.2006 19:27 27'661 ld8CDE.tmp 17.05.2006 19:26 25'296 BMXCtrlState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 17.05.2006 19:26 25'296 BMXBkpCtrlState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 17.05.2006 19:26 16'516 BMXStateBkp-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 17.05.2006 19:26 16'516 BMXState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 17.05.2006 19:26 1'080 settings.sfm 17.05.2006 19:26 24 DVCStateBkp-{00000002-00000000-00000001-00001102-00000002-80651102}.dat 17.05.2006 19:26 1'080 settingsbkup.sfm 17.05.2006 19:26 24 DVCState-{00000002-00000000-00000001-00001102-00000002-80651102}.dat 17.05.2006 19:12 4'908 stdole3.tlb 17.05.2006 15:14 3'002 CONFIG.NT 17.05.2006 12:26 5'632 simpole.tlb 17.05.2006 12:26 44'032 dcomcfg.exe 16.05.2006 18:08 2'206 wpa.dbl 14.05.2006 23:35 35'853 regperf.exe 12.05.2006 11:54 90'296 FNTCACHE.DAT 04.05.2006 06:26 5'818'784 MRT.exe 27.04.2006 19:50 597'504 aswBoot.exe 27.04.2006 19:42 90'112 AVASTSS.scr 23.04.2006 15:59 43'520 CmdLineExt03.dll 14.04.2006 12:05 1'205 lvcoinst.log 30.03.2006 11:26 1'492'480 shdocvw.dll 30.03.2006 03:16 18'944 xpsp3res.dll 29.03.2006 12:12 7'006 jupdate-1.5.0_06-b05.log Aber Smitrem.txt find ich nicht |
|
|
|
|
|
|
18.05.2006, 10:47
Ehrenmitglied
Beiträge: 29434 |
#12
**
lade smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html ** loesche mit der Killbox: D:\WINDOWS\system32\stdole3.tlb D:\WINDOWS\system32\simpole.tlb D:\WINDOWS\system32\dcomcfg.exe D:\WINDOWS\system32\regperf.exe ** neustarten -> in den abgesicherten modus -> noch mal smitrem und auch smitfraud.fix nach Anleitung anwenden -> und poste noch mal das erste log von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
18.05.2006, 13:20
Member
Themenstarter Beiträge: 11 |
#13
Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 74C8-6841 Verzeichnis von D:\WINDOWS\system32 18.05.2006 13:17 17'145 nvapps.xml 18.05.2006 13:11 25'296 BMXBkpCtrlState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 18.05.2006 13:11 25'296 BMXCtrlState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 18.05.2006 13:11 16'516 BMXState-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 18.05.2006 13:11 16'516 BMXStateBkp-{00000002-00000000-00000001-00001102-00000002-80651102}.rfx 18.05.2006 13:11 24 DVCStateBkp-{00000002-00000000-00000001-00001102-00000002-80651102}.dat 18.05.2006 13:11 1'080 settingsbkup.sfm 18.05.2006 13:11 1'080 settings.sfm 18.05.2006 13:11 24 DVCState-{00000002-00000000-00000001-00001102-00000002-80651102}.dat 17.05.2006 15:14 3'002 CONFIG.NT 16.05.2006 18:08 2'206 wpa.dbl 12.05.2006 11:54 90'296 FNTCACHE.DAT 04.05.2006 06:26 5'818'784 MRT.exe 27.04.2006 19:50 597'504 aswBoot.exe 27.04.2006 19:42 90'112 AVASTSS.scr |
|
|
|
|
|
|
18.05.2006, 13:22
Ehrenmitglied
Beiträge: 29434 |
#14
na endlich ...
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. nun scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
19.05.2006, 07:47
Member
Themenstarter Beiträge: 11 |
#15
ok habs
Protection ---------- Total scanned: 377572 Detected: 5 Untreated: 0 Attacks blocked: 0 Start time: 19.05.2006 12:14:15 Duration: 1 day 00:10:05 Detected -------- Status Object ------ ------ deleted: Trojan program Trojan-Downloader.Win32.Zlob.ov File: D:\!KillBox\dcomcfg.exe deleted: Trojan program Trojan-Downloader.Win32.Zlob.ov File: D:\!KillBox\simpole.tlb deleted: Trojan program Trojan-Downloader.Win32.Zlob.ov File: D:\!KillBox\simpole.tlb( 2) deleted: Trojan program Trojan-Downloader.Win32.Zlob.ov File: D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009154.exe deleted: Trojan program Trojan-Downloader.Win32.Zlob.ov File: D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009155.tlb Events ------ Time Event ---- ----- 19.05.2006 12:12:31 A full computer scan has never been performed. You are advised to perform a full scan as soon as possible. 19.05.2006 12:14:15 A full computer scan has never been performed. You are advised to perform a full scan as soon as possible. 19.05.2006 12:18:52 Update completed successfully. 19.05.2006 12:21:03 File D:\!KillBox\dcomcfg.exe: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 12:21:03 Security threats have been detected. You are advised to neutralize them immediately. 19.05.2006 12:21:03 File D:\!KillBox\dcomcfg.exe: is not disinfected, postponed 19.05.2006 12:21:04 File D:\!KillBox\dcomcfg.exe: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 12:21:06 File D:\!KillBox\simpole.tlb: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 12:21:07 File D:\!KillBox\simpole.tlb: is not disinfected, postponed 19.05.2006 12:21:07 File D:\!KillBox\simpole.tlb( 2): detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 12:21:07 File D:\!KillBox\simpole.tlb( 2): is not disinfected, postponed 19.05.2006 12:38:53 File D:\!KillBox\dcomcfg.exe: deleted 19.05.2006 12:38:55 File D:\!KillBox\simpole.tlb: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 12:38:59 File D:\!KillBox\simpole.tlb: deleted 19.05.2006 12:38:59 File D:\!KillBox\simpole.tlb( 2): detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 12:39:01 File D:\!KillBox\simpole.tlb( 2): deleted 19.05.2006 14:20:30 Update completed successfully. 19.05.2006 16:21:15 Update completed successfully. 19.05.2006 18:26:00 Update completed successfully. 19.05.2006 19:11:46 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009154.exe: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 19:11:46 Security threats have been detected. You are advised to neutralize them immediately. 19.05.2006 19:11:46 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009154.exe: is not disinfected, postponed 19.05.2006 19:11:47 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009155.tlb: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 19:11:47 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009155.tlb: is not disinfected, postponed 19.05.2006 19:11:48 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009154.exe: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 20:05:49 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009154.exe: deleted 19.05.2006 20:05:51 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009155.tlb: detected Trojan program Trojan-Downloader.Win32.Zlob.ov 19.05.2006 20:05:56 File D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009155.tlb: deleted 19.05.2006 20:27:49 Update completed successfully. 19.05.2006 22:33:16 Update completed successfully. 20.05.2006 00:43:46 Update completed successfully. 20.05.2006 02:48:58 Update completed successfully. 20.05.2006 04:52:52 Update completed successfully. 20.05.2006 06:58:15 Update completed successfully. 20.05.2006 09:03:14 Update completed successfully. 20.05.2006 11:08:41 Update completed successfully. Reports ------- Task Status Start Finish Size ---- ------ ----- ------ ---- Anti-Hacker failure 19.05.2006 12:14:15 19.05.2006 12:14:19 0 bytes Anti-Spy running 19.05.2006 12:14:16 0 bytes Anti-Spam running 19.05.2006 12:14:15 0 bytes Update completed 19.05.2006 12:14:20 19.05.2006 12:18:44 85.3 KB Proactive Defense running 19.05.2006 12:14:16 9.9 KB Scan My Computer completed 19.05.2006 12:14:25 19.05.2006 15:21:02 0 bytes Web Anti-Virus running 19.05.2006 12:14:16 4.2 KB Mail Anti-Virus running 19.05.2006 12:14:16 0 bytes File Anti-Virus running 19.05.2006 12:14:16 22.7 MB Update completed 19.05.2006 14:20:01 19.05.2006 14:20:28 12.4 KB Update completed 19.05.2006 16:20:31 19.05.2006 16:21:13 12.5 KB Update completed 19.05.2006 18:25:32 19.05.2006 18:25:59 11.9 KB Scan My Computer completed 19.05.2006 19:09:39 20.05.2006 05:59:27 21.4 MB Anti-Hacker failure 19.05.2006 19:10:13 19.05.2006 19:10:19 0 bytes Update completed 19.05.2006 20:26:32 19.05.2006 20:27:40 10.8 KB Quarantine Scan completed 19.05.2006 20:27:40 19.05.2006 20:27:40 0 bytes Update completed 19.05.2006 22:31:45 19.05.2006 22:33:12 12.4 KB Quarantine Scan completed 19.05.2006 22:33:12 19.05.2006 22:33:13 0 bytes Update completed 20.05.2006 00:36:46 20.05.2006 00:43:30 16.3 KB Quarantine Scan completed 20.05.2006 00:42:54 20.05.2006 00:44:00 0 bytes Update completed 20.05.2006 02:47:17 20.05.2006 02:48:53 13.0 KB Quarantine Scan completed 20.05.2006 02:48:40 20.05.2006 02:49:05 0 bytes Update completed 20.05.2006 04:52:32 20.05.2006 04:52:50 13.0 KB Quarantine Scan completed 20.05.2006 04:52:50 20.05.2006 04:52:50 0 bytes Update completed 20.05.2006 06:57:46 20.05.2006 06:58:14 11.4 KB Quarantine Scan completed 20.05.2006 06:58:07 20.05.2006 06:58:20 0 bytes Update completed 20.05.2006 09:02:46 20.05.2006 09:03:12 11.4 KB Quarantine Scan completed 20.05.2006 09:03:05 20.05.2006 09:03:19 0 bytes Update completed 20.05.2006 11:08:02 20.05.2006 11:08:38 12.4 KB Quarantine Scan completed 20.05.2006 11:08:31 20.05.2006 11:08:45 4.2 KB Quarantine ---------- Status Object Size Added ------ ------ ---- ----- Added by user D:\Dokumente und Einstellungen\Koster\Desktop\Kaspersky report.txt 3.3 KB 19.05.2006 19:06:55 Backup ------ Status Object Size ------ ------ ---- Infected: Trojan program Trojan-Downloader.Win32.Zlob.ov D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009155.tlb 5.5 KB Infected: Trojan program Trojan-Downloader.Win32.Zlob.ov D:\!KillBox\simpole.tlb( 2) 5.5 KB Infected: Trojan program Trojan-Downloader.Win32.Zlob.ov D:\System Volume Information\_restore{E3F28458-BEEA-47CA-825C-17B7D4A23001}\RP89\A0009154.exe 43 KB Infected: Trojan program Trojan-Downloader.Win32.Zlob.ov D:\!KillBox\dcomcfg.exe 43 KB Infected: Trojan program Trojan-Downloader.Win32.Zlob.ov D:\!KillBox\simpole.tlb 5.5 KB Dieser Beitrag wurde am 20.05.2006 um 12:27 Uhr von the_hanging_ editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe einen Virus drauf der sich nicht löschen lässt.
also der Reihe nach.
1.Hijackthis Log:
Logfile of HijackThis v1.99.1
Scan saved at 13:29:26, on 15.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Valve\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\Philipp\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp6E4A.tmp
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146241824008
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
---------------------------------------------------------------------------------------------------------------------------------------
2. Clean up hab ich gemacht. muss ich ja nichts kopieren wenn ichs richtig verstanden hab
-----------------------------------------------------------------------------------------------------------------------------------------
3. 4 Logfiles:
1. Logfile C/windows/system32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C32-9CBB
Verzeichnis von C:\WINDOWS\system32
15.05.2006 12:58 5'016 stdole3.tlb
15.05.2006 12:24 6'144 simpole.tlb
15.05.2006 12:24 29'709 ld6FFF.tmp
15.05.2006 12:24 30'208 hp6E4A.tmp
13.05.2006 17:28 2'278 wpa.dbl
10.05.2006 20:59 48'640 dcomcfg.exe
10.05.2006 20:52 38'413 regperf.exe
06.05.2006 14:13 75'200 perfc007.dat
06.05.2006 14:13 62'480 perfc009.dat
06.05.2006 14:13 401'200 perfh009.dat
06.05.2006 14:13 415'800 perfh007.dat
06.05.2006 14:13 966'250 PerfStringBackup.INI
06.05.2006 13:12 664 d3d9caps.dat
06.05.2006 12:43 96'664 FNTCACHE.DAT
29.04.2006 12:12 98'304 CmdLineExt.dll
28.04.2006 19:05 940'794 LoopyMusic.wav
28.04.2006 19:05 146'650 BuzzingBee.wav
28.04.2006 18:55 0 h323log.txt
28.04.2006 18:49 3'002 CONFIG.NT
28.04.2006 18:33 3'223 jupdate-1.4.2_04-b05.log
28.04.2006 18:02 249 $winnt$.inf
28.04.2006 18:00 16'832 amcompat.tlb
28.04.2006 18:00 23'392 nscompat.tlb
28.04.2006 17:59 488 WindowsLogon.manifest
28.04.2006 17:59 488 logonui.exe.manifest
28.04.2006 17:59 749 wuaucpl.cpl.manifest
28.04.2006 17:59 749 nwc.cpl.manifest
28.04.2006 17:59 749 cdplayer.exe.manifest
28.04.2006 17:59 749 sapi.cpl.manifest
28.04.2006 17:59 749 ncpa.cpl.manifest
28.04.2006 17:57 21'740 emptyregdb.dat
27.04.2006 19:50 597'504 aswBoot.exe
27.04.2006 19:42 90'112 AVASTSS.scr
28.03.2006 15:27 18'788'352 ALSNDMGR.CPL
22.03.2006 16:23 10'524'672 RTLCPL.EXE
22.03.2006 05:56 257'536 ati2dvag.dll
22.03.2006 05:50 114'688 atipdlxx.dll
22.03.2006 05:50 77'824 Oemdspif.dll
22.03.2006 05:50 26'112 Ati2mdxx.exe
22.03.2006 05:50 41'984 ati2edxx.dll
22.03.2006 05:50 61'440 ati2evxx.dll
22.03.2006 05:48 405'504 ati2evxx.exe
22.03.2006 05:48 53'248 ATIDDC.DLL
22.03.2006 05:42 307'200 atiiiexx.dll
22.03.2006 05:40 2'662'688 ati3duag.dll
22.03.2006 05:33 1'130'752 ativvaxx.dll
22.03.2006 05:33 6'684'672 atioglx1.dll
22.03.2006 05:24 5'025'792 atioglxx.dll
22.03.2006 05:18 151'552 atikvmag.dll
22.03.2006 05:17 17'408 atitvo32.dll
22.03.2006 05:12 258'048 ati2cqag.dll
22.03.2006 04:38 286'720 ATIDEMGR.dll
17.03.2006 15:37 520'192 ati2sgag.exe
14.02.2006 09:20 550'120 LegitCheckControl.dll
13.02.2006 22:29 121'995 atiicdxx.dat
----------------
2. Logfile C:\DOKUME~1\Username\LOKALE~1\Temp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C32-9CBB
Verzeichnis von C:\DOKUME~1\Philipp\LOKALE~1\Temp
15.05.2006 13:01 16'384 ~DF4C33.tmp
15.05.2006 12:41 78'469 A~NSISu_.exe
15.05.2006 12:32 49'152 ~DF71AB.tmp
15.05.2006 12:26 16'384 Perflib_Perfdata_704.dat
15.05.2006 12:25 16'384 Perflib_Perfdata_2b4.dat
14.05.2006 21:53 46'596 drm_dialogs.dll
14.05.2006 21:33 49'152 ~DF6EEB.tmp
14.05.2006 21:24 16'384 Perflib_Perfdata_1d0.dat
14.05.2006 21:24 16'384 Perflib_Perfdata_294.dat
14.05.2006 11:46 49'152 ~DF733A.tmp
10 Datei(en) 354'441 Bytes
0 Verzeichnis(se), 123'563'925'504 Bytes frei
----------------------------------------
3. Logfile C:/windows
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C32-9CBB
Verzeichnis von C:\WINDOWS
15.05.2006 12:25 0 0.log
15.05.2006 12:24 2'048 bootstat.dat
14.05.2006 21:57 206'593 WindowsUpdate.log
14.05.2006 13:06 172'334 setupact.log
12.05.2006 13:13 69 NeroDigital.ini
12.05.2006 10:17 23 BlendSettings.ini
09.05.2006 21:43 216 wiadebug.log
09.05.2006 18:31 858'266 setupapi.log
09.05.2006 18:29 50 wiaservc.log
08.05.2006 16:24 0 zSpy.INI
06.05.2006 13:57 6'344 Ascd_tmp.ini
06.05.2006 13:07 32'919 Radeon Omega Drivers v3.8.231 Uninstall Log.txt
06.05.2006 13:02 10 WININIT.INI
05.05.2006 12:05 74'959 Omega Drivers v3.8.231.log
05.05.2006 12:04 451'072 Radeon Omega Drivers v3.8.231 Uninstall.exe
04.05.2006 18:52 4'096 d3dx.dat
04.05.2006 12:01 308 nsw.log
30.04.2006 10:38 28'710 DirectX.log
29.04.2006 14:50 227 system.ini
29.04.2006 14:50 477 win.ini
28.04.2006 23:38 68'592 iis6.log
28.04.2006 23:38 22'099 comsetup.log
28.04.2006 23:38 11'694 ntdtcsetup.log
28.04.2006 23:38 1'374 imsins.log
28.04.2006 23:38 5'072 KB888111.log
28.04.2006 23:38 18'650 tsoc.log
28.04.2006 23:38 2'227 tabletoc.log
28.04.2006 23:38 1'911 ocmsn.log
28.04.2006 23:38 23'480 ocgen.log
28.04.2006 23:38 6'039 netfxocm.log
28.04.2006 23:38 2'773 MedCtrOC.log
28.04.2006 23:38 1'798 msgsocm.log
28.04.2006 23:38 30'085 FaxSetup.log
28.04.2006 23:38 15'898 msmqinst.log
28.04.2006 23:38 294'912 HideWin.exe
28.04.2006 19:35 3'418 mozver.dat
28.04.2006 19:19 60'416 ALCFDRTM.VER
28.04.2006 19:16 169 RtlRack.ini
28.04.2006 18:59 0 nsreg.dat
28.04.2006 18:54 2'586 regopt.log
28.04.2006 18:54 1'454 COM+.log
28.04.2006 18:53 0 Sti_Trace.log
28.04.2006 18:33 6'652 WGA.log
28.04.2006 18:33 8'329 KB898461.log
28.04.2006 18:33 8'073 KB893803v2.log
28.04.2006 18:29 23'902 ydi.log
28.04.2006 18:25 1'229 wmsetup.log
28.04.2006 18:04 829 OEWABLog.txt
28.04.2006 18:02 885 setuperr.log
28.04.2006 18:00 0 control.ini
28.04.2006 18:00 316'640 WMSysPr9.prx
28.04.2006 17:59 4'161 ODBCINST.INI
28.04.2006 17:59 749 WindowsShell.Manifest
28.04.2006 17:57 1'023 sessmgr.setup.log
28.04.2006 17:57 36 vb.ini
28.04.2006 17:57 37 vbaddin.ini
28.04.2006 17:57 133 DtcInstall.log
28.04.2006 17:55 200 cmsetacl.log
01.03.2006 16:22 577'536 SOUNDMAN.EXE
18.11.2005 11:20 217'088 Alcrmv.exe
----------------------------------
4. Logfile C:/
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C32-9CBB
Verzeichnis von C:\
15.05.2006 13:34 0 sys.txt
15.05.2006 13:33 5'738 system.txt
15.05.2006 13:33 744 systemtemp.txt
15.05.2006 13:33 92'590 system32.txt
15.05.2006 12:24 1'610'612'736 pagefile.sys
14.05.2006 13:06 3'181 smitfiles.txt
07.05.2006 11:53 14'656 [PC.RPT
04.05.2006 19:25 20'385 Dokumente.RPT
02.05.2006 19:18 80 FilterLog.log
02.05.2006 16:33 3'507'385'139 [PC.GAME]GOTHIC.COLLECTORS.EDITION.(German).-.by.Olmecs.rar
29.04.2006 14:50 211 boot.ini
28.04.2006 18:00 0 CONFIG.SYS
28.04.2006 18:00 0 AUTOEXEC.BAT
28.04.2006 18:00 0 MSDOS.SYS
28.04.2006 18:00 0 IO.SYS
06.10.2005 13:59 370 s„ubern.bat
04.08.2004 14:00 4'952 bootfont.bin
04.08.2004 14:00 251'184 ntldr
04.08.2004 14:00 47'564 NTDETECT.COM
19 Datei(en) 5'118'439'530 Bytes
0 Verzeichnis(se), 123'564'601'344 Bytes frei
------------------------------------------------------------------------------------------------------------------
4. zu meinem Problem.
Mein Virenscanner (Avast! v.4.7 home edition) zeigt jeweils 2 Dateien als Trojanisches Pferd an. Nach dem ich es Lösche oder in den Container verschiebe dauert es ca. eine halbe stunde bis es wieder kommt.
Pfad: C:\WINDOWS\system32\1024\ld5131.tmp\[Upack]
C:\WINDOWS\system32\1024\ldC46D.tmp\[UPX]
C:\WINDOWS\system32\1024\ldC7AA.tmp\[Upack]
C:\WINDOWS\system32\1024\ld3BEA.tmp\[UPX]
das sind die aus der letzten halben stunde
Mein Bruder hat anscheinend bereits herausgefunden das es sich um Spyware handelt, diese Angabe ist ohne Gewähr.
Danke im Voraus