Trojaner? Downloader.Agent.amt

#1 Hallo!
Das ist für mich eine ganz verzwickte Angelegenheit. Zur Historie bitte weiter unten lesen, ich denke aber, dass es jetzt mehr um den Restverseuchungsstand geht. PC-Reaktion derzeit: Beim Starten wird der Aufruf von Avira-Antivir-Guard verhindert. Eine Nachinstallation/Reparatur gelingt und der "Regenschirm" ist wieder aktiv (bis zum Ausschalten). Ursache vielleicht: Irgendein Bösewicht setzt HKLM\SW\MS\Security Center-AntivirusOverride auf 1 statt auf 0.
Beim Ausschalten wird das Schließen von Zonealarm eingefroren, jedoch nur, wenn zwischenzeitlich ein Programm gestartet wurde. Wird der Nutzer nur eingeloggt und direkt wieder abgemeldet, ist "Herunterfahren" möglich. Sonst hilft nur Ausschalten weiter.
Zum Surfen wurde von mir Firefox vorgeschrieben. IE habe ich in diesem Zustand verboten. Mag es nicht mal mehr selbst testen. Beim letzten Test meldete S&D den Trojaner Downloader.Agent.amt, zum dem ich noch nirgendwo was finden konnte.
Weder Antivir noch Spybot noch Ewido noch Vcleaner meldet irgendeine Infektion.
Kann mir bitte jemand helfen?
Hier noch das HijackThis.log

Logfile of HijackThis v1.99.1
Scan saved at 20:27:26, on 12.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\AntiVirenKampf\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Verknüpfung mit antivir_workstation_win7u_de_h.lnk = C:\OKayWare\AntiVir\antivir_workstation_win7u_de_h.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D954A3-98DB-461D-AEB3-DC99DD8492D2}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Der O17 Eintrag kommt mir komisch vor und wgalogon.dll kann ich zumindest auf einem anderen unverseuchten WinXPprof-PC nicht finden (von diesem sende ich diesen Report). Am obigen PC ist ein HP-Drucker dran.

Historie: Zuvor war folgender Zustand: Der PC startete normal bis zum WindowsHome Startbild. Während der grüne Laufbalken lief gab es einen Auto-Warmstart. Dies ließ sich mit einem Fixboot aushebeln und Windows startete wieder richtig. Die Untersuchung mit Schutzprogrammen brachte eine Unmasse an Schädlingen zutage. Alles war sauber bis ein erneuter Zugang zum Internet den Urzustand wiederherstellte. Ein erneutes Fixboot half nicht mehr. So habe ich C:\windows in C:\Windowsold umbenannt und eine neue Windowsinstallation in C:\Windows installiert. Nachdem alle 4 User wieder eingerichtet waren und die Basissoftwarepakete wieder installiert waren lief wieder alles. Ein Format C: wollte ich wegen der immensen Fülle persönlicher Daten vermeiden. Beim nächsten Surfen per IE dann der Alarm von S&D mit Downloader.Agent.amt. Dann oben weiter.

Wer kann helfen?

Beste Grüße aus München, Kaktuspower.

#2 Kaktuspower

kannst du hier den Pfad vom Trojaner angeben, den Spybot findet?

------------
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke Sabina,

an den PC komme ich erst wieder in der kommenden Woche. Deshalb nur einige Angaben aus dem Gedächtnis. Der Spybot findet jetzt nichts mehr, bzw. ich rufe ja den IE nicht mehr auf. Die letzte Angabe eines Pfades habe ich mir leider nicht notiert. Muss ich dann aus dem Protokoll fischen.
1. Cleanup ist schon so eingestellt.
2. Datfindbat werde ich laufen lassen.
3. ebenso echo.bat
4. listen.bat ist erstellt

Die Ergebnisse poste ich dann kommende Woche.

Beste Grüße aus München, Kaktuspower

#4 gut, ich lasse den Thread geoeffnet
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,
jetzt nun die gewünschten Daten.
Zuerst Protokolle und Berichte (nur wichtige Zeilen) von zurückliegenden Reinigungsaktionen mit AntiVir, Adaware, Spybot und ewido. Jeweils der letzte Scan zeigt keine Infektionen mehr. Am Ende dann noch Hijackthis. Alles farblich abgesetzt.
Trotzdem spinnt die Kiste. Vielleicht siehst Du etwas.

Adaware-Bericht:

ArchiveData(auto-quarantine- 2006-06-02 14-49-06.bckp)
Referencefile : SE1R110 31.05.2006
======================================================

MRU LIST (ausgeblendet)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
...
ISEARCH TOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[24]=Process : C:\WINDOWS\U3RlZmFu\asappsrv.dll
obj[25]=Process : C:\WINDOWS\U3RlZmFu\asappsrv.dll
obj[26]=File : C:\WINDOWS\U3RlZmFu\asappsrv.dll

Avira-AntiVir-Protokolle:

Erstellungsdatum der Reportdatei: Donnerstag, 1. Juni 2006 18:40

Versionsinformationen:
AVSCAN.EXE : 7.0.0.19 524328 23.01.2006 14:35:42
AVSCAN.DLL : 7.0.0.19 46632 23.01.2006 14:35:42
LUKE.DLL : 7.0.0.19 114728 23.01.2006 14:35:42
LUKERES.DLL : 7.0.0.19 28200 23.01.2006 14:35:42
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 09:47:34
ANTIVIR1.VDF : 6.33.0.97 675328 18.01.2006 13:31:52
ANTIVIR2.VDF : 6.33.0.131 122880 18.01.2006 13:31:52
ANTIVIR3.VDF : 6.33.0.139 28160 18.01.2006 13:31:52
AVEWIN32.DLL : 6.33.0.30 1016320 20.01.2006 10:42:50
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 11:05:54
AVREP.DLL : 6.33.0.106 2301992 10.01.2006 09:10:46
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 08:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 06:56:48

Beginn des Suchlaufs: Donnerstag, 1. Juni 2006 18:40

c:\stub_113_4_0_4_0.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.TSUpdate.O
c:\stub_113_4_0_4_0.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.TSUpdate.O
C:\MTE3NDI6ODoxNg.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.buy.1
C:\warebundle.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Smartl.A.2
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DV6L525\stub_113_4_0_4_0[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.TSUpdat.o.1
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\Installer[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Smartl.A.2
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\MTE3NDI6ODoxNg[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.buy.1
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\2.tmp.exe
[FUND] Enthält Signatur des Wurmes WORM/Lemoor.A
C:\Programme\Network Monitor\netmon.exe
[FUND] Enthält Signatur des SPR/NetMon.A-Programmes
C:\WINDOWS\MTE3NDI6ODoxNg.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.buy.1
C:\WINDOWS\system32\oidptq.exe
[FUND] Enthält Signatur des Wurmes WORM/PoeBot.95233
C:\WINDOWS\system32\TFTP2960
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei
C:\WINDOWS\system32\znabuuhf.exe
[FUND] Enthält Signatur des Wurmes WORM/PoeBot.95233
6274 Verzeichnisse wurden überprüft
249047 Dateien wurden geprüft
24 Viren bzw. unerwünschte Programme wurden gefunden
12 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
12 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6937 Archive wurden durchsucht
210 Warnungen
0 Hinweise

Beginn des Suchlaufs: Freitag, 2. Juni 2006 11:20
C:\Programme\webHancer\Programs\whsurvey.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Web.381.5.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44f30342.qua' verschoben!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\WHCC2[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Web.381.5.C
[INFO] Die Datei wurde gelöscht.
Der Suchlauf wurde abgebrochen!
980 Verzeichnisse wurden überprüft
5024 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
113 Archive wurden durchsucht
14 Warnungen
0 Hinweise

Beginn des Suchlaufs: Freitag, 2. Juni 2006 11:25
C:\WINDOWS\WHCC2.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Web.381.5.C
[INFO] Eine Sicherungskopie wurde unter dem Namen 44c30afd.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d39796.qua' verschoben!
C:\WINDOWS\system32\wmimgr32.dll
[FUND] Enthält Signatur des Wurmes WORM/Bagle.gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 44e90da8.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46f8af71.qua' verschoben!
Der Suchlauf wurde vollständig durchgeführt.
6048 Verzeichnisse wurden überprüft
244986 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6768 Archive wurden durchsucht
26 Warnungen
0 Hinweise

Beginn des Suchlaufs: Montag, 19. Juni 2006 11:37
Der Suchlauf wurde vollständig durchgeführt.
7199 Verzeichnisse wurden überprüft
320051 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
7256 Archive wurden durchsucht
33 Warnungen
0 Hinweise

Spybot-Berichte (zuvor mit Update aktualisiert):

09.06.2006 09:20:16 - ##### check started #####
09.06.2006 09:20:16 - ### Version: 1.4
09.06.2006 09:20:16 - ### Date: 09.06.2006 09:20:16
09.06.2006 09:20:26 - ##### checking bots #####
09.06.2006 09:23:24 - found: Smitfraud-C. Programm-Verzeichnis
09.06.2006 09:23:50 - found: Network Monitor Programm-Verzeichnis
09.06.2006 09:23:59 - found: Alexa Related Verknüpfung
09.06.2006 09:25:56 - ##### check finished #####

--- Report generated: 2006-06-09 09:25 ---
Smitfraud-C.: Programm-Verzeichnis (Verzeichnis, nothing done)
C:\Programme\Gemeinsame Dateien\InetGet\
Network Monitor: Programm-Verzeichnis (Verzeichnis, nothing done)
C:\Programme\Network Monitor\
Alexa Related: Verknüpfung (Datei austauschen, nothing done)
C:\WINDOWS\Web\related.htm

09.06.2006 15:08:19 - ##### check started #####
09.06.2006 15:08:19 - ### Version: 1.4
09.06.2006 15:08:19 - ### Date: 09.06.2006 15:08:19
09.06.2006 15:08:25 - ##### checking bots #####
09.06.2006 15:11:49 - found: Windows Security Center.AntiVirusOverride Einstellungen
09.06.2006 15:13:32 - found: DoubleClick Verfolgender Cookie (Firefox: default)
09.06.2006 15:13:33 - ##### check finished #####

--- Report generated: 2006-06-09 15:13 ---
Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0
DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)

12.06.2006 19:28:11 - ##### check started #####
12.06.2006 19:28:11 - ### Version: 1.4
12.06.2006 19:28:11 - ### Date: 12.06.2006 19:28:11
12.06.2006 19:28:24 - ##### checking bots #####
12.06.2006 19:34:55 - found: Windows Security Center.AntiVirusOverride Einstellungen
12.06.2006 19:37:54 - ##### check finished #####

--- Report generated: 2006-06-12 19:37 ---
Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

--- Report generated: 2006-06-09 09:26 ---
Smitfraud-C.: Programm-Verzeichnis (Verzeichnis, fixed)
C:\Programme\Gemeinsame Dateien\InetGet\
Network Monitor: Programm-Verzeichnis (Verzeichnis, fixed)
C:\Programme\Network Monitor\
Alexa Related: Verknüpfung (Datei austauschen, fixed)
C:\WINDOWS\Web\related.htm


--- Report generated: 2006-06-09 15:17 ---
Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0
DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, fixed)


--- Report generated: 2006-06-12 19:38 ---
Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

19.06.2006 12:44:54 - ##### check started #####
19.06.2006 12:44:54 - ### Version: 1.4
19.06.2006 12:44:54 - ### Date: 19.06.2006 12:44:54
19.06.2006 12:45:01 - ##### checking bots #####
19.06.2006 12:49:55 - ##### check finished #####

--- Report generated: 2006-06-19 12:49 ---
Gratulation!: Es wurden keine Spione gefunden. ()


EWIDO
als erstes mal ein Link zu einer Zip-Datei in der sich 2 Printscreens vom Quarantäneordner befinden (vor dem Scan von 13Uhr).

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 13:44:54, 19.06.2006
+ Report-Checksumme: B93914D6
+ Scanergebnis:
:mozilla.10:C:\Dokumente und Einstellungen\Janine\Anwendungsdaten\Mozilla\Firefox\Profiles\7qx4r64e.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\Janine\Anwendungsdaten\Mozilla\Firefox\Profiles\7qx4r64e.default\cookies.txt -> TrackingCookie.Weborama : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Janine\Anwendungsdaten\Mozilla\Firefox\Profiles\7qx4r64e.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Janine\Anwendungsdaten\Mozilla\Firefox\Profiles\7qx4r64e.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janine\Cookies\janine@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janine\Cookies\janine@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janine\Cookies\janine@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janine\Cookies\janine@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
:mozilla.6:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\tqakxmvh.default\cookies.txt.old -> TrackingCookie.Ivwbox : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\tqakxmvh.default\cookies.txt.old -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Müll\XXXjavaws.exe -> Backdoor.Rbot.aym : Gesäubert mit Backup
C:\Programme\Sуmantec\alg.exe -> Downloader.PurityScan.cl : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-740712121-307422556-2250009542-1009\Dc10.exe -> Downloader.Adload.bo : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-740712121-307422556-2250009542-1009\Dc11.exe -> Downloader.Adload.bo : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-740712121-307422556-2250009542-1009\Dc9.exe -> Downloader.Adload.bo : Gesäubert mit Backup
C:\WINDOWSOLD\mdrive\my.exe -> Adware.Zango : Gesäubert mit Backup
C:\WINDOWSOLD\system32\regsvr32.dll -> Adware.PurityScan : Gesäubert mit Backup
C:\WINDOWSOLD\system32\spoolsvc_vir.exe -> Dropper.Paradrop.a : Gesäubert mit Backup
::Report Ende
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 16:01:12, 19.06.2006
+ Report-Checksumme: 31A38B32
+ Scanergebnis:
Keine infizierten Objekte gefunden.
::Report Ende

DATFIND 1
Verzeichnis von C:\
19.06.2006 14:05 0 sys.txt
19.06.2006 14:05 7.691 system.txt
19.06.2006 14:04 129 systemtemp.txt
19.06.2006 14:04 92.512 system32.txt
19.06.2006 14:04 486 DirDPF.txt
19.06.2006 14:04 2 DirDPFCns.txt
19.06.2006 14:03 559 files.txt
19.06.2006 13:58 805.306.368 pagefile.sys
12.06.2006 20:17 488 hpfr3420.xml
12.06.2006 20:17 203.904 hpfr3420.log
09.06.2006 16:56 404 TO_InstallLog.txt
09.06.2006 15:34 553 pnpID.dat
09.06.2006 15:34 39 CTJINI.INI
09.06.2006 15:24 193 boot.ini
09.06.2006 09:56 47.564 NTDETECT.COM
09.06.2006 09:56 251.184 ntldr
09.06.2006 08:58 185 temp.log
08.06.2006 17:48 536.403.968 hiberfil.sys
25.10.2004 12:15 16 ftplog.txt
20.04.2004 14:53 96 ispInst.dat
20.04.2004 14:53 87 ispInfo.dat
03.11.2003 21:35 1.694 hpothb07.dat
03.11.2003 21:35 3.227 hpothb07.tif
15.10.2003 15:59 26 fastboot.txt
15.10.2003 15:55 516 DRVlog.dat
15.10.2003 15:45 0 CONFIG.SYS
15.10.2003 15:45 0 AUTOEXEC.BAT
15.10.2003 15:45 0 IO.SYS
15.10.2003 15:45 0 MSDOS.SYS
02.07.2003 08:49 540.672 FirstSteps.exe
29.08.2002 14:00 4.952 bootfont.bin
18.08.2001 14:00 2 oem.tag
32 Datei(en) 1.342.867.517 Bytes

DATFIND 2
Verzeichnis von C:\WINDOWS
19.06.2006 14:00 1.258.035 WindowsUpdate.log
19.06.2006 13:59 0 0.log
19.06.2006 13:58 50 wiaservc.log
19.06.2006 13:58 157 wiadebug.log
19.06.2006 13:58 2.048 bootstat.dat
19.06.2006 10:58 550.015 setupapi.log
18.06.2006 21:59 12.364 SchedLgU.Txt
18.06.2006 13:27 31.512 spupdsvc.log
18.06.2006 13:25 123.558 comsetup.log
18.06.2006 13:25 74.039 ntdtcsetup.log
18.06.2006 13:25 51.046 iis6.log
18.06.2006 13:25 18.660 ocmsn.log
18.06.2006 13:25 1.374 imsins.log
18.06.2006 13:25 132.588 tsoc.log
18.06.2006 13:25 9.400 KB917734.log
18.06.2006 13:25 1.860 wmsetup.log
18.06.2006 13:25 176.056 ocgen.log
18.06.2006 13:25 17.250 msgsocm.log
18.06.2006 13:25 331.707 FaxSetup.log
18.06.2006 13:25 616 avmcoins.log
18.06.2006 13:24 1.374 imsins.BAK
18.06.2006 13:24 14.384 KB918439.log
18.06.2006 13:24 14.666 KB917344.log
18.06.2006 13:24 14.517 KB917953.log
18.06.2006 13:24 6.960 KB885884.log
18.06.2006 13:24 18.082 KB916281.log
18.06.2006 13:24 17.791 updspapi.log
18.06.2006 13:23 11.711 KB914389.log
17.06.2006 14:21 285 system.ini
12.06.2006 21:38 237 RomeTW.ini
12.06.2006 21:05 6.734 DirectX.log
12.06.2006 19:03 196.304 ntbtlog.txt
10.06.2006 14:00 400 ODBC.INI
10.06.2006 13:39 551 win.ini
10.06.2006 13:22 20.454 hpoins01.dat
10.06.2006 13:13 151.957 setupact.log
10.06.2006 11:41 18.890 avmw2k.log
10.06.2006 11:37 760 avmadd32.log
09.06.2006 12:39 1.864 OEWABLog.txt
09.06.2006 11:41 7.071 mozver.dat
09.06.2006 10:53 0 nsreg.dat
09.06.2006 10:53 99.970 UninstallFirefox.exe
09.06.2006 10:43 16.121 KB905414.log
09.06.2006 10:43 16.390 KB901017.log
09.06.2006 10:33 17.297 KB899587.log
09.06.2006 10:33 16.296 KB899591.log
09.06.2006 10:33 16.314 KB893756.log
09.06.2006 10:33 15.494 KB896358.log
09.06.2006 10:33 15.037 KB890859.log
09.06.2006 10:33 13.079 KB901214.log
09.06.2006 10:32 12.249 KB896428.log
09.06.2006 10:32 14.964 KB896422.log
09.06.2006 10:32 14.192 KB890046.log
09.06.2006 10:32 15.210 KB885250.log
09.06.2006 10:32 14.900 KB885835.log
09.06.2006 10:32 14.636 KB887742.log
09.06.2006 10:32 12.840 KB888113.log
09.06.2006 10:32 12.716 KB891781.log
09.06.2006 10:32 12.351 KB888302.log
09.06.2006 10:32 13.283 KB885836.log
09.06.2006 10:32 7.234 KB886185.log
09.06.2006 10:32 12.751 KB873339.log
09.06.2006 10:31 2.080 vminst.log
09.06.2006 10:26 20.103 WgaNotify.log
09.06.2006 10:25 34.080 KB913580.log
09.06.2006 10:24 33.947 KB908531.log
09.06.2006 10:24 36.845 KB900485.log
09.06.2006 10:24 34.862 KB911562.log
09.06.2006 10:24 38.110 KB912812.log
09.06.2006 10:24 31.096 KB911567.log
09.06.2006 10:24 18.398 KB913446.log
09.06.2006 10:24 13.987 KB911564.log
09.06.2006 10:24 14.348 KB911565.log
09.06.2006 10:23 30.471 KB911927.log
09.06.2006 10:23 29.153 KB912919.log
09.06.2006 10:23 27.973 KB908519.log
09.06.2006 10:23 28.889 KB904706.log
09.06.2006 10:23 18.250 KB910437.log
09.06.2006 10:23 29.937 KB896424.log
09.06.2006 10:23 28.235 KB900725.log
09.06.2006 10:23 25.643 KB905749.log
09.06.2006 10:23 33.100 KB902400.log
09.06.2006 10:22 20.552 KB896423.log
09.06.2006 10:20 6.180 KB894391.log
09.06.2006 10:17 360 DtcInstall.log
09.06.2006 10:17 316.640 WMSysPr9.prx
09.06.2006 10:14 660.208 setuplog.txt
09.06.2006 10:12 407.335 svcpack.log
09.06.2006 10:03 200 cmsetacl.log
09.06.2006 10:02 1.330 sessmgr.setup.log
09.06.2006 09:53 565 medctroc.Log
09.06.2006 09:50 4.882 KB905495.log
09.06.2006 09:46 3.692 KB835409.log
09.06.2006 09:44 4.038 WGA.log
09.06.2006 09:27 7.253 KB842773.log
09.06.2006 09:27 7.338 KB893803v2.log
09.06.2006 09:27 8.417 KB898461.log
08.06.2006 19:16 0 Sti_Trace.log
08.06.2006 19:12 1.348 regopt.log
08.06.2006 19:11 0 setuperr.log
08.06.2006 18:26 8.192 REGLOCS.OLD
08.06.2006 18:22 0 control.ini
08.06.2006 18:22 299.552 WMSysPrx.prx
08.06.2006 18:21 4.161 ODBCINST.INI
08.06.2006 18:21 280 Windows Update.log
08.06.2006 18:20 749 WindowsShell.Manifest
08.06.2006 18:19 37 vbaddin.ini
08.06.2006 18:19 36 vb.ini
27.05.2005 01:22 10.752 hh.exe
04.08.2004 00:58 288.768 winhlp32.exe

DATFIND 3
Verzeichnis von C:\WINDOWS\system32
19.06.2006 14:00 2.206 wpa.dbl
19.06.2006 14:00 41.108 vsconfig.xml
19.06.2006 13:59 24.064 wdmfmc32.dll
10.06.2006 12:25 143.624 FNTCACHE.DAT
09.06.2006 16:56 118.952 NULL
09.06.2006 10:48 39.992 perfc009.dat
09.06.2006 10:48 311.604 perfh009.dat
09.06.2006 10:48 48.156 perfc007.dat
09.06.2006 10:48 723.744 PerfStringBackup.INI
09.06.2006 10:48 316.594 perfh007.dat
09.06.2006 10:15 269 spupdwxp.log
09.06.2006 09:09 4.212 zllictbl.dat
09.06.2006 03:19 5.967.776 MRT.exe
08.06.2006 19:17 0 h323log.txt
08.06.2006 18:30 25.065 wmpscheme.xml
08.06.2006 18:24 237 $winnt$.inf
08.06.2006 18:22 2.951 CONFIG.NT
08.06.2006 18:22 16.832 amcompat.tlb
08.06.2006 18:22 23.392 nscompat.tlb
08.06.2006 18:20 488 logonui.exe.manifest
08.06.2006 18:20 488 WindowsLogon.manifest
08.06.2006 18:20 749 cdplayer.exe.manifest
08.06.2006 18:20 749 nwc.cpl.manifest
08.06.2006 18:20 749 sapi.cpl.manifest
08.06.2006 18:20 749 wuaucpl.cpl.manifest
08.06.2006 18:20 749 ncpa.cpl.manifest
08.06.2006 18:19 21.740 emptyregdb.dat
02.06.2006 13:39 579.888 LegitCheckControl.dll
02.06.2006 13:39 402.736 WgaLogon.dll
02.06.2006 13:39 286.000 WgaTray.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
24.04.2006 15:40 4.730.880 wmp.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
24.01.2006 19:34 118.784 sirenacm.dll

DATFIND 4
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: A4CD-BFB1
Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp
es gibt hier noch 4 weitere Nutzer auf diesem System, jedoch hatte ich mit
cleanup den temporären Müll schon gelöscht.

ECHO
10)DPF????
Verzeichnis von C:\WINDOWS\Downloaded Program Files
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
2 Datei(en) 1.859 Bytes


LISTEN
Verzeichnis von C:\WINDOWS\Temp
19.06.2006 14:00 <DIR> .
19.06.2006 14:00 <DIR> ..
19.06.2006 13:58 87 WGAErrLog.txt
19.06.2006 14:00 373 WGANotify.settings
19.06.2006 13:58 256 ZLT0658f.TMP
3 Datei(en) 716 Bytes



Logfile of HijackThis v1.99.1
Scan saved at 16:21:28, on 19.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Symantec\Norton Commander\NC.EXE
F:\AntiVirenKampf\HIJACKTHIS.EXE

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: AVWsetup.lnk = C:\OKayWare\AntiVir\AVWsetup.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D954A3-98DB-461D-AEB3-DC99DD8492D2}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webHancer Agent
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DV6L525\stub_113_4_0_4_0[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\Installer[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\MTE3NDI6ODoxNg[1].exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\2.tmp.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\WHCC2.exe
C:\WINDOWS\MTE3NDI6ODoxNg.exe
C:\WINDOWS\system32\oidptq.exe
C:\WINDOWS\system32\TFTP2960
C:\WINDOWS\system32\znabuuhf.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das Log vom Avenger

**
loesche (falls es noch da ist: )

C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Network Monitor
C:\Programme\webHancer

**

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als li.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die li.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Network Monitor" >>files.txt
dir "C:\WINDOWS\U3RlZmFu" >>files.txt
dir "C:\WINDOWSOLD\mdrive" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\WINDOWSOLD" >>files.txt
dir "C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

habe alles so gemacht. Ergebnisse sind unten zu sehen und meist negativ. Die Arbeit von Avanger habe ich nochmal von Hand kontrolliert. Ist nix da. Bei meinen Bemühungen am heutigen Tag mit frisch installiertem AntiVir und mit Update von gestern hatte ich noch eine Masseninvasion von W32.Sality.o und einen Eintrag mit WORM/PoeBot.81408.A gefunden. Die Virendefinitionen von vor 14 Tagen waren vermutlich zu alt. Alle diese Infektionen sind erfolgreich beseitigt. AntiVir-Protokoll ist im Anhang.
1 Beispiel von 527 Funden:
C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
[FUND] Enthält Signatur des Windows-Virus W32/Sality.o
[INFO] Die Datei wurde gelöscht.

C:\WINDOWS\system32\wdmfmc32.dll
[FUND] Enthält Signatur des Wurmes WORM/PoeBot.81408.A
[INFO] Die Datei wurde gelöscht.
T-Online ist komplett deinstalliert worden und Reste per Hand beseitigt worden.
Stand derzeit ist, dass der PC unter Nutzer Stefan einigermaßen läuft (Offline). Ab und an kommen jedoch misteriöse Meldungen vom S&D-Wächter, dass die Registry verändert werden will. Mit dem nächsten Online-Gang vermute ich wieder Aktivitäten der Schädlinge. Wie bekomme ich es eigentlich hin, dass auch die Registries der anderen Nutzer automatisch mit gescannt werden? Oder muss ich jeden Nutzer einzeln behandeln.
Die vielen Spiele im Programmverzeichnis sind zum großen teil inaktiv, da sie nach der Neuinstallation von Windows erst noch nachinstalliert werden müssten.
Diese konnte ich nicht finden:
C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Network Monitor
C:\Programme\webHancer
Wo könnte ich noch suchen?

Beste Grüße Kaktuspower

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\txbcxhal

*******************
Script file located at: \??\C:\WINDOWS\system32\nsaucedw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at c:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Status: 0xc0000034

Could not open file C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DV6L525\stub_113_4_0_4_0[1].exe for deletion
Deletion of file C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DV6L525\stub_113_4_0_4_0[1].exe failed!

Could not process line:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DV6L525\stub_113_4_0_4_0[1].exe
Status: 0xc000003a

Could not open file C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\Installer[1].exe for deletion
Deletion of file C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\Installer[1].exe failed!

Could not process line:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\Installer[1].exe
Status: 0xc000003a

Could not open file C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\MTE3NDI6ODoxNg[1].exe for deletion
Deletion of file C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\MTE3NDI6ODoxNg[1].exe failed!

Could not process line:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZ6JIV6N\MTE3NDI6ODoxNg[1].exe
Status: 0xc000003a

File C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\2.tmp.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\2.tmp.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\2.tmp.exe
Status: 0xc0000034

Could not open file C:\Programme\Network Monitor\netmon.exe for deletion
Deletion of file C:\Programme\Network Monitor\netmon.exe failed!

Could not process line:
C:\Programme\Network Monitor\netmon.exe
Status: 0xc000003a

File C:\WINDOWS\WHCC2.exe not found!
Deletion of file C:\WINDOWS\WHCC2.exe failed!

Could not process line:
C:\WINDOWS\WHCC2.exe
Status: 0xc0000034

File C:\WINDOWS\MTE3NDI6ODoxNg.exe not found!
Deletion of file C:\WINDOWS\MTE3NDI6ODoxNg.exe failed!

Could not process line:
C:\WINDOWS\MTE3NDI6ODoxNg.exe
Status: 0xc0000034

File C:\WINDOWS\system32\oidptq.exe not found!
Deletion of file C:\WINDOWS\system32\oidptq.exe failed!

Could not process line:
C:\WINDOWS\system32\oidptq.exe
Status: 0xc0000034

File C:\WINDOWS\system32\TFTP2960 not found!
Deletion of file C:\WINDOWS\system32\TFTP2960 failed!

Could not process line:
C:\WINDOWS\system32\TFTP2960
Status: 0xc0000034

File C:\WINDOWS\system32\znabuuhf.exe not found!
Deletion of file C:\WINDOWS\system32\znabuuhf.exe failed!

Could not process line:
C:\WINDOWS\system32\znabuuhf.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webHancer Agent not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webHancer Agent failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} failed!
Status: 0xc0000034

Completed script processing.
*******************
Finished! Terminate.

C:
cd\
dir "C:\Programme\Network Monitor" >>files.txt
dir "C:\WINDOWS\U3RlZmFu" >>files.txt
dir "C:\WINDOWSOLD\mdrive" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\WINDOWSOLD" >>files.txt
dir "C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp" >>files.txt
notepad files.txt

Die Vereichnisse "Network Monitor", "U3RlZmFu" und "mdrive" existieren nicht (mehr).
Nach dem Lauf von Cleanup sind die temporären Vereichnisse leer.

Li.bat-Log:

Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: A4CD-BFB1

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: A4CD-BFB1

Verzeichnis von C:\WINDOWS

Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: A4CD-BFB1

Verzeichnis von C:\Programme

20.06.2006 15:46 <DIR> .
20.06.2006 15:46 <DIR> ..
20.06.2006 10:19 <DIR> 3DO
20.06.2006 10:20 <DIR> AceSpeeder
30.10.2004 21:15 <DIR> Activision
23.03.2005 14:54 <DIR> Adobe
09.06.2006 15:43 <DIR> Ahead
19.06.2006 18:12 <DIR> AntiVir PersonalEdition Classic
15.10.2003 16:12 <DIR> ATI Technologies
17.04.2004 21:07 <DIR> BuzzingCars Demo
23.08.2005 11:56 <DIR> Canon
19.06.2006 13:49 <DIR> CleanUp!
15.10.2003 15:59 <DIR> Common Files
15.10.2003 15:43 <DIR> ComPlus Applications
18.04.2004 12:24 <DIR> Daydream Software
17.04.2004 21:28 <DIR> DelphineSoft
31.12.2003 10:44 <DIR> directx
25.12.2005 00:09 <DIR> EA Games
17.04.2004 20:41 <DIR> EA Sports
17.06.2006 17:02 <DIR> ewido anti-malware
19.07.2005 14:37 <DIR> Firefly Studios
20.06.2006 10:34 <DIR> FRITZ!
20.10.2005 14:10 <DIR> GameSpy Arcade
10.06.2006 11:40 <DIR> Gemeinsame Dateien
30.10.2005 19:20 <DIR> Giant
20.06.2006 10:37 <DIR> Hard Way
31.10.2003 20:03 <DIR> Hewlett-Packard
19.05.2006 20:25 <DIR> Illusion Softworks
19.09.2004 19:17 <DIR> Infogrames
18.06.2006 13:24 <DIR> Internet Explorer
03.11.2003 19:04 <DIR> InterVideo
01.06.2006 15:09 <DIR> Lavasoft
01.11.2003 17:40 <DIR> Lionhead Studios Ltd
24.04.2005 11:21 <DIR> LucasArts
18.03.2004 14:12 <DIR> Maris Technologies
24.10.2004 10:22 <DIR> Maxis
14.12.2003 13:39 <DIR> mediacs AG
20.06.2006 10:46 <DIR> Messenger
20.06.2006 10:46 <DIR> Microsoft AutoRoute
15.10.2003 15:51 <DIR> Microsoft Encarta
15.10.2003 15:45 <DIR> microsoft frontpage
18.04.2004 12:20 <DIR> Microsoft Games
15.10.2003 15:50 <DIR> Microsoft Office
20.06.2006 10:47 <DIR> Microsoft Picture It! 7
20.06.2006 14:04 <DIR> Microsoft Works
15.10.2003 15:49 <DIR> Microsoft Works Suite 2003
09.06.2006 09:59 <DIR> Movie Maker
20.06.2006 15:04 <DIR> Mozilla Firefox
20.06.2006 15:06 <DIR> Mozilla Thunderbird
15.10.2003 15:43 <DIR> MSN
15.10.2003 15:43 <DIR> MSN Gaming Zone
20.06.2006 10:49 <DIR> MSN Messenger
09.06.2006 09:59 <DIR> NetMeeting
11.12.2005 15:58 <DIR> NovaLogic
25.10.2004 13:11 <DIR> OfficeUpdate11
15.10.2003 15:43 <DIR> Online Services
15.10.2003 15:44 <DIR> Online-Dienste
09.06.2006 10:24 <DIR> Outlook Express
20.06.2006 10:49 <DIR> QuickTime
28.02.2005 19:00 <DIR> Red Storm Entertainment
09.06.2006 09:18 <DIR> Spybot - Search & Destroy
17.04.2004 22:47 <DIR> Sunspire Studios
21.08.2005 12:05 <DIR> Surreal
20.06.2006 14:40 <DIR> Symantec
25.03.2004 16:00 <DIR> Systhema
25.10.2004 17:03 <DIR> Wanadoo Edition
19.05.2006 20:21 <DIR> Warcraft III
09.06.2006 10:24 <DIR> Windows Media Player
09.06.2006 09:58 <DIR> Windows NT
23.04.2006 18:12 <DIR> Wings of Honour
15.10.2003 15:45 <DIR> xerox
19.06.2006 17:55 <DIR> Zone Labs
0 Datei(en) 0 Bytes
72 Verzeichnis(se), 131.904.704.512 Bytes frei
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: A4CD-BFB1

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: A4CD-BFB1

Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp

20.06.2006 15:50 <DIR> .
20.06.2006 15:50 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 131.904.700.416 Bytes frei

#8 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Spyware Doctor

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

--------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als biz.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die biz.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir ""C:\Programme\Spyware Doctor" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

der O4-Eintrag ist nur noch ein Rest in der Registry gewesen. Den SpywareDoctor hatte ich Anfang des Monats mal kurzzeitig drauf zur Virensuche, da ich damit an einem anderen PC im Februar recht gute Erfahrungen gemacht hatte. Er entfernte einen residenten Hijacker, den ich mit nichts anderem wegbekam. Allerdings kannte ich bis dahin dieses Forum noch nicht.

SpywareDoctor war nicht mehr installiert (Programmordner) und jetzt habe ich auch den Reg-Eintrag gefixt.

Nun habe ich die RegSearch laufen lassen. Log:
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0
; Results at 21.06.2006 11:15:01 for strings:
; 'spyware doctor'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8051E3F7-B752-42C8-AEA7-4CC1D125D49B}\1.0\0\win32]
@="C:\\Programme\\Spyware Doctor\\swdoctor.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8051E3F7-B752-42C8-AEA7-4CC1D125D49B}\1.0\HELPDIR]
@="C:\\Programme\\Spyware Doctor\\"
[HKEY_USERS\S-1-5-21-682003330-1767777339-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Spyware Doctor]
[HKEY_USERS\S-1-5-21-682003330-1767777339-725345543-1004\Software\PCTools\Spyware Doctor]
[HKEY_USERS\S-1-5-21-682003330-1767777339-725345543-1004\Software\PCTools\Spyware Doctor\Settings]
; End Of The Log...

Die angegebenen Schlüssel habe ich mit regedit entfernt.

Den Programmordner C:\Programme\Spyware Doctor gibt es, wie oben beschrieben, schon länger nicht mehr.

Jetzt werde ich mal online gehen und mich vom Ergebnis überraschen lassen. Bericht folgt.

Beste Grüße Kaktuspower

#10 ich habe den "SpywareDoctor" mit einem "SystemDoctor"
http://virus-protect.org/artikel/spyware/system_doctor.html
verwechselt (Asche auf mein Haupt) aber man wird ganz irre mit alle den Faketools mit ach so serioesen Namen.
sorry................

Onlinescans:
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 und was heisst das jetzt?
sabina

was muss ich denn jetzt machen

#12 Onlinescans: (Kaspersky und panda ...und poste dann hier die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,

auch der Test mit Aufbau einer Onlineverbindung für alle Nutzer verlief jetzt ohne weitere Neuinfektion. Ich bin jetzt der Meinung, dass die Kiste sauber ist. Es gibt nur noch 2 Punkte, die ich unnormal finde.

1. Wenn die Internet-Wählverbindung aufgebaut werden soll, nachdem ich offline den Browser öffnete und eine Adresse eingab, kenne ich es so, dass sich nach höchstens 3 Sekunden das Fenster der Verbindung zur Passworteingabe öffnet. Hier dauert es jedoch etwa 30 Sekunden. ??? Dann läuft alles ganz normal und auch schnell genug.

2. Beim Versuch ein Windowsupdate zu machen, werden alle Patches installiert außer KB905474 und KB911280. Es erfolgt eine Meldung "Nicht installiert". Eingestellt ist der PC auf Auto-Update. Wenn ich die Protokolle des Auto-Update ansehe erscheint KB905474 als korrekt ausgeführt, KB911280 findet überhaupt keine Erwähnung, weder gut noch schlecht.

Hier nochmal Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 15:50:44, on 22.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
F:\AntiVirenKampf\HIJACKTHIS.EXE

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B470C8C-4B43-4A15-B84F-626E6029C2DC}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D954A3-98DB-461D-AEB3-DC99DD8492D2}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich werde den PC jetzt meinem Freund und seiner Familie zum Praxistest übergeben. Hoffen wir, dass sich die Mühe gelohnt hat. Dir liebe Sabina möchte ich für die Hilfe herzlichst danken.

Beste Grüße Kaktuspower