Home » Viren, Trojaner & Malware Forum » steam.exe setzt sich in c:\ fest » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3

Antworten

steam.exe setzt sich in c:\ fest

17.06.2006, 00:38

Sabina

Ehrenmitglied

Beiträge: 29434

#16 Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\Оracle*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\fast*.*" > c:\find.txt & start notepad c:\find.txt
__________
MfG Sabina

rund um die PC-Sicherheit

17.06.2006, 00:41

Sabina

Ehrenmitglied

Beiträge: 29434

#17 loesche mit dem avenger:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68c58dc2-45904368.zip
C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip
C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[1].exe
C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[2].exe
C:\Programme\DLH98\0204.dlm/idx-bfviep3101/idx-bfviep3.1.01.exe
C:\Programme\DLH98\0204.dlm

deinstalliere/loesche:
C:\Programme\DLH98

*
loesche alle BackUps vom Avenger
C:\avenger\backup

*
loesche:
C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB

**
arbeite noch das Proggie ab, was ich dir vorhin gepostet hatte [Multi_AV]
__________
MfG Sabina

rund um die PC-Sicherheit

17.06.2006, 01:39

Thymon

Member

Themenstarter

Beiträge: 15

#18

Zitat

Sabina postete
Multi_AV
http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier

Ok, hier sind die entsprechenden Berichte von von c:\WinNT(c:\Windows existiert bei mir nicht)\system32, c:\WinNT und c:\.

Virus Scan Results

06/17/2006 00:34:23

Options:
"C:\WINNT\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINNT\SYSTEM32\*.*

Summary report on C:\WINNT\SYSTEM32\*.*
File(s)
Total files: ........... 7015
Clean: ................. 7005
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1

Time: 00:05.02

-----------------------------------------------------------------------------

Virus Scan Results

06/17/2006 00:42:18

Options:
"C:\WINNT" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINNT\*.*
C:\WINNT\VGVzdA\p3pWxE.vbs ... Found potentially unwanted program Adware-Isearch.
The file or process has been deleted.
C:\WINNT\RACLE~1\fast.exe\fast.exe ... Found the Downloader-EV trojan !!!
The file or process has been deleted.

Summary report on C:\WINNT\*.*
File(s)
Total files: ........... 19206
Clean: ................. 19194
Possibly Infected: ..... 1
Cleaned: ............... 0
Deleted: ............... 2
Non-critical Error(s): 1

Time: 00:12.44

-----------------------------------------------------------------------------

Virus Scan Results

06/17/2006 02:15:50

Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
C:\zia00988\ARCHIVE.JAR-68C58DC2-45904368.ZIP\BINNY.CLASS ... Found the JV/Shinwow trojan !!!
C:\zia00988\JAVA.JAR-5D45DD39-18136343.ZIP\GETACCESS.CLASS ... Found the Exploit-ByteVerify trojan !!!
Scanning C:\*.*
C:\Spiele\Amiga Classix 4\Games\TrexWarrior.adf ... Found the Amiga/Generic virus !!!
The file or process has been deleted.
C:\Spiele\DTM Race Driver 2\GameSpy.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\zia00988\ARCHIVE.JAR-68C58DC2-45904368.ZIP\BINNY.CLASS ... Found the JV/Shinwow trojan !!!
C:\zia00988\JAVA.JAR-5D45DD39-18136343.ZIP\GETACCESS.CLASS ... Found the Exploit-ByteVerify trojan !!!

Summary report on C:\*.*
File(s)
Total files: ........... 235640
Clean: ................. 230170
Possibly Infected: ..... 5
Cleaned: ............... 0
Deleted: ............... 2
Non-critical Error(s): 2

Time: 01:26.07

MfG Thymon

____________________________________________________________________________________________________
Edit:

Zitat

Sabina postete
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\Оracle*.*" > c:\find.txt & start notepad c:\find.txt

Ergebnis hiervon:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\WINNT

17.06.2006 00:55 <DIR> ?racle
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINNT\?racle

02.06.2006 19:23 <DIR> ?racle
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 80.788.598.784 Bytes frei

Zitat

Sabina postete
dir /s /a "c:\fast*.*" > c:\find.txt & start notepad c:\find.txt

Ergebnis hiervon:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\Spiele\Anstoss 2005\Data.A4\Gfx

25.05.2005 17:12 589 Fastweb168025.aim
12.10.2003 01:10 589 Fastweb27116.aim
2 Datei(en) 1.178 Bytes

Verzeichnis von c:\WINNT\$NtUninstallKB904368$

02.12.2004 06:03 142.288 fastfat.sys
1 Datei(en) 142.288 Bytes

Verzeichnis von c:\WINNT\$NtUpdateRollupPackUninstall$

20.06.2003 14:00 140.496 fastfat.sys
1 Datei(en) 140.496 Bytes

Verzeichnis von c:\WINNT\ServicePackFiles\i386

19.06.2003 12:05 140.496 fastfat.sys
19.06.2003 12:05 155.749 fastprox.dll
2 Datei(en) 296.245 Bytes

Verzeichnis von c:\WINNT\system32

20.06.2003 14:00 882 fastopen.exe
1 Datei(en) 882 Bytes

Verzeichnis von c:\WINNT\system32\dllcache

19.07.2005 04:44 142.288 fastfat.sys
20.06.2003 14:00 882 fastopen.exe
20.06.2003 14:00 155.749 fastprox.dll
3 Datei(en) 298.919 Bytes

Verzeichnis von c:\WINNT\system32\drivers

19.07.2005 04:44 142.288 fastfat.sys
1 Datei(en) 142.288 Bytes

Verzeichnis von c:\WINNT\system32\wbem

20.06.2003 14:00 155.749 fastprox.dll
1 Datei(en) 155.749 Bytes

Anzahl der angezeigten Dateien:
12 Datei(en) 1.178.045 Bytes
0 Verzeichnis(se), 80.788.312.064 Bytes frei

MfG Thymon

____________________________________________________________________________________________________
Nächstes Edit:

Zitat

Sabina postete
loesche mit dem avenger:

Zitat
Files to delete:
C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68c58dc2-45904368.zip
C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip
C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[1].exe
C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[2].exe
C:\Programme\DLH98\0204.dlm/idx-bfviep3101/idx-bfviep3.1.01.exe
C:\Programme\DLH98\0204.dlm

deinstalliere/loesche:
C:\Programme\DLH98

*
loesche alle BackUps vom Avenger
C:\avenger\backup

Alles erledigt.

Zitat

Sabina postete
loesche:
C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB

Das Verzeichnis habe ich gar nicht.

MfG Thymon

____________________________________________________________________________________________________

Wieder ein Edit:

Man beachte, dass ich jetzt im ersten Teil dieses Posts noch den McAfee-Scanbericht von c:\ eingefügt habe.

MfG Thymon

Dieser Beitrag wurde am 17.06.2006 um 06:34 Uhr von Thymon editiert.

17.06.2006, 08:28

Sabina

Ehrenmitglied

Beiträge: 29434

#19 1.
noch mal, um zu sehen, ob der Purityscan geloescht wurde...
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\Оracle*.*" > c:\find.txt & start notepad c:\find.txt

Zitat

dir /s /a "c:\msnchecker*.*" > c:\find.txt & start notepad c:\find.txt

--------------------------

c:\& # 1 0 5 4 ; r a c l e --> c:\Оracle

--------------------------
2.
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}

Files to delete:
C:\WINNT\VGVzdA\asappsrv.dll

poste den scanreport, ich will sehen, was davon noch in der registry war.

3.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

17.06.2006, 09:10

Thymon

Member

Themenstarter

Beiträge: 15

#20

Zitat

Sabina postete
1.
noch mal, um zu sehen, ob der Purityscan geloescht wurde...
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat
dir /s /a "c:\Оracle*.*" > c:\find.txt & start notepad c:\find.txt

Zitat
dir /s /a "c:\msnchecker*.*" > c:\find.txt & start notepad c:\find.txt
--------------------------

c:\& # 1 0 5 4 ; r a c l e --> c:\Оracle

Guten Morgen!
c:\& # 1 0 5 4 ; r a c l e findet er nicht (auch wenn ich es zusammenschreibe), für ?racle (wie er deine Vorlage standardmäßig einfügt) gibt er das aus:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\WINNT

17.06.2006 00:55 <DIR> ?racle
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINNT\?racle

02.06.2006 19:23 <DIR> ?racle
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 81.403.891.712 Bytes frei

Ach ja, msnchecker findet er auch nicht.
Avenger folgt gleich.

MfG Thymon

_________________________________________________________________________________________________________
Edit:
Scanlog vom Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rluesysq

*******************

Script file located at: \??\C:\WINNT\ghrmnjqd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Status: 0xc0000034

File C:\WINNT\VGVzdA\asappsrv.dll not found!
Deletion of file C:\WINNT\VGVzdA\asappsrv.dll failed!

Could not process line:
C:\WINNT\VGVzdA\asappsrv.dll
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.
_________________________________________________________________________________________________________

Edit:

Der Pandascan lässt sich nicht durchführen. Das Update übersteht er problemlos, ich komme bis zur Auswahl, was ich scannen will. Aber ob ich nun "Mein Computer" oder "Lokale Disks" auswähle, danach kommt die Statistik über Viren, Trojaner, Hackerlogs usw. und es könnte losgehen - aber es geht nicht los. Der Scan bleibt bei "0 Files scanned" hängen.
Es wäre toll, wenn ihr mir dabei auch noch helfen könntet, nachdem ich schon so viele Hinweise bekommen habe (dafür noch einmal ein herzliches Dankeschön, Sabina und raman). Anwenden werde ich sie aber vor Sonntag abend nicht mehr, da ich jetzt bald aufbrechen und meinen Computer erst einmal allein lassen werde.

MfG Thymon

Dieser Beitrag wurde am 17.06.2006 um 10:12 Uhr von Thymon editiert.

17.06.2006, 10:40

Sabina

Ehrenmitglied

Beiträge: 29434

#21 Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

suche das nach Datum und Uhrzeit: (UND LOESCHEN)

c:\WINNT\...racle

17.06.2006 00:55 <DIR> ...racle -> [c:\& # 1 0 5 4 ; r a c l e ]
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINNT\..racle -> [c:\Î r a c l e ]
02.06.2006 19:23 <DIR> ...racle
0 Datei(en) 0 Bytes

-----------

#
ueberpreufe dann, ob es geloescht ist.
dir /s /a "c:\oracle*.*" > c:\find.txt & start notepad c:\find.txt

#
dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

19.06.2006, 10:41

Thymon

Member

Themenstarter

Beiträge: 15

#22 Hallo!

Dateien oder Verzeichnisse mit racle im Namen sind nun keine mehr da.

Und hier das aktuelle Logfile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:38:05, on 19.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\StartupMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\WINNT\explorer.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =

Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe

Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard -

{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -

C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

- C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor -

{B56A7D7D-6927-48C8-A975-17DF180C71AC} -

C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio -

{8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone

Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: InterCheck Monitor.lnk = C:\Programme\Sophos

SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk =

C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor -

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -

C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger -

{4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -

{4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan

Object) -

http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter

Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan

Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINNT\system32\ati2sgag.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc -

C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer

Datenträger (dmadmin) - VERITAS Software Corp. -

C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -

Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools

Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc -

C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc -

C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs,

LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

MfG Thymon

19.06.2006, 10:54

Sabina

Ehrenmitglied

Beiträge: 29434

#23 Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit

19.06.2006, 16:50

Thymon

Member

Themenstarter

Beiträge: 15

#24 Folgendes sagt CounterSpy über die entdeckten Files:

Spyware Scan Details
Start Date: 19.06.2006 14:40:13
End Date: 19.06.2006 15:45:28
Total Time: 1 hrs 5 mins 15 secs

Detected spyware

FullContext.EQAdvice Adware (General) more information...
Details: FullContext.EQAdvice is an advertising program that displays ads and allows the installation of other adware.
Status: Deleted

Infected files detected
c:\programme\windows\winupdate.fld

Freeprod Toolbar Toolbar more information...
Details: Freeprod is an adware application that installs a Internet Explorer Toolbar and may hijack search results.
Status: Deleted

Infected files detected
c:\programme\windows\winupdate.fld

InternetOffers Adware (General) more information...
Details: InternetOffers is an adware application that spawns pop-ups on the desktop. displays popup advertisements with no attribution and installs without consent.
Status: Deleted

Infected files detected
C:\Programme\Gemeinsame Dateien\mwiu\mwiud\vocabulary

Command Service Adware (General) more information...
Details: Command Service is an adware application that opens pop-ups and displays various types of advertising on the user's desktop while browsing web pages.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Policies {645FF040-5081-101B-9F08-00AA002F954E} 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies {6BF52A52-394A-11D3-B153-00C04F79FAA6} 6

StartPage.TimesSquare Hijacker more information...
Details: StartPage.TimesSquare hijacks the IE start page and search pages and displays ads.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Policies {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

MfG Thymon

20.06.2006, 00:41

Sabina

Ehrenmitglied

Beiträge: 29434

#25 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "c:\programme" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "c:\programme\windows" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\mwiu" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2006, 00:51

Thymon

Member

Themenstarter

Beiträge: 15

#26 Ok, erledigt.
Die Verzeichnisse c:\temp, c:\windows\temp und c:\programme\windows existieren bei mir allerdings nicht. Soll ich stattdessen c:\winnt\temp und c:\programme\windows nt posten?
Edit: Ich habe es einfach mal so gemacht, wie ich es in meiner Frage angedeutet habe.

Hier erst mal die Verzeichnisse, die ich habe:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\programme

19.06.2006 16:38 <DIR> .
19.06.2006 16:38 <DIR> ..
13.06.2006 16:16 <DIR> 7-Zip
07.07.2005 23:26 <DIR> ACD Systems
13.12.2005 17:51 <DIR> Adobe
26.06.2005 21:09 <DIR> Adobe Acrobat 6.0
08.03.2006 14:14 <DIR> Adobe Acrobat 7.0
25.05.2006 16:19 <DIR> Antioch
15.09.2005 14:25 <DIR> AntiVir
19.06.2006 10:44 <DIR> ArcorOnline
02.02.2006 03:09 <DIR> ATI Technologies
19.04.2006 19:32 <DIR> audiograbber
28.04.2005 18:32 <DIR> AvRack
15.06.2006 14:18 <DIR> CleanUp!
28.04.2005 23:17 <DIR> Common
13.05.2005 18:18 <DIR> Common Files
25.04.2005 11:20 <DIR> ComPlus Applications
19.06.2006 16:40 <DIR> CounterSpy
15.06.2006 14:48 <DIR> DatFind
02.11.2005 22:37 <DIR> directx
29.06.2005 22:23 <DIR> DivX
06.02.2006 13:39 <DIR> EVEREST Home Edition
13.06.2006 15:55 <DIR> Gemeinsame Dateien
19.06.2006 21:42 <DIR> HijackThis
19.06.2006 10:44 <DIR> Internet Explorer
31.12.2005 00:41 <DIR> Java
05.09.2005 21:03 <DIR> Lavasoft
10.01.2006 00:26 <DIR> Messenger
25.04.2005 11:22 <DIR> microsoft frontpage
26.01.2006 19:54 <DIR> Microsoft.NET
20.06.2006 00:39 <DIR> Mozilla Firefox
09.02.2006 12:17 <DIR> MSI
28.04.2005 23:17 <DIR> MSIDVD
10.01.2006 00:26 <DIR> MSN Messenger
29.07.2005 23:49 <DIR> NetMeeting
27.04.2006 23:45 <DIR> Outlook Express
10.06.2006 09:45 <DIR> PC-TV
13.06.2006 16:54 <DIR> Pinnacle
02.06.2006 19:05 <DIR> PPLive
27.01.2006 02:10 123 ProgramFlow.txt
22.08.2005 21:58 <DIR> Real
28.04.2005 18:32 <DIR> Realtek Sound Manager
16.06.2006 14:08 <DIR> regsearch
26.01.2006 14:50 <DIR> RegSeeker
15.11.2005 20:47 <DIR> Security Task Manager
16.06.2006 02:02 <DIR> ServiceFilter
02.05.2005 19:05 <DIR> Snapshot Viewer
15.09.2005 15:30 <DIR> Sophos
19.06.2006 23:20 <DIR> Sophos SWEEP for NT
19.06.2006 14:30 <DIR> Spyware Doctor
13.06.2006 17:53 <DIR> Stinger
30.05.2006 20:22 <DIR> TVAnts
09.02.2006 12:29 <DIR> VIA
09.02.2006 12:28 <DIR> VIA Chipset Drivers v4.51
27.01.2006 02:10 49 Warnings.txt
26.01.2006 22:02 <DIR> WinAce
06.12.2005 23:08 <DIR> Winamp
19.02.2006 22:41 <DIR> Windows Media Player
25.04.2005 11:20 <DIR> Windows NT
06.09.2005 23:55 <DIR> WinUAE
13.06.2006 17:47 <DIR> Yahoo!
14.09.2005 22:39 <DIR> Zone Labs
25.04.2005 11:19 <DIR> Zubeh”r
2 Datei(en) 172 Bytes
61 Verzeichnis(se), 81.364.840.448 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\Dokumente und

Einstellungen\Alfred\Anwendungsdaten

07.07.2005 23:27 <DIR> ACD Systems
02.11.2005 23:22 <DIR> Adobe
08.03.2006 14:13 <DIR> AdobeUM
23.11.2005 02:10 <DIR> ATI
29.11.2005 21:16 <DIR> EverAd
28.04.2005 22:39 <DIR> Help
28.04.2005 18:51 <DIR> Identities
05.09.2005 21:03 <DIR> Lavasoft
02.05.2005 22:54 <DIR> Macromedia
02.05.2005 18:36 <DIR> Microsoft Web Folders
28.04.2005 22:22 <DIR> Mozilla
22.08.2005 22:02 <DIR> Real
15.06.2005 11:00 <DIR> Sun
28.04.2005 22:22 <DIR> Talkback
0 Datei(en) 0 Bytes
14 Verzeichnis(se), 81.364.774.912 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.06.2006 15:55 <DIR> .
13.06.2006 15:55 <DIR> ..
02.02.2006 04:41 <DIR> ACD Systems
07.07.2005 22:55 <DIR> Adaptec Shared
02.05.2005 22:24 <DIR> Adobe
02.05.2005 18:39 <DIR> Designer
15.09.2005 14:42 <DIR> Dienste
08.06.2006 22:29 <DIR> InetGet
08.06.2006 16:48 <DIR> InstallShield
15.06.2005 10:58 <DIR> Java
27.01.2006 01:55 <DIR> Microsoft Shared
13.06.2006 16:22 <DIR> mwiu
25.04.2005 12:14 <DIR> ODBC
22.08.2005 21:58 <DIR> Real
30.05.2006 20:17 <DIR> Synacast
27.04.2006 23:45 <DIR> System
24.02.2006 01:33 <DIR> SystemRequirementsLab
22.08.2005 21:58 <DIR> xing shared
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 81.364.836.352 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\programme

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\Programme\Gemeinsame Dateien\mwiu

13.06.2006 16:22 <DIR> .
13.06.2006 16:22 <DIR> ..
19.06.2006 16:38 <DIR> mwiud
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 81.364.836.352 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\programme

19.06.2006 16:38 <DIR> .
19.06.2006 16:38 <DIR> ..
13.06.2006 16:16 <DIR> 7-Zip
07.07.2005 23:26 <DIR> ACD Systems
13.12.2005 17:51 <DIR> Adobe
26.06.2005 21:09 <DIR> Adobe Acrobat 6.0
08.03.2006 14:14 <DIR> Adobe Acrobat 7.0
25.05.2006 16:19 <DIR> Antioch
15.09.2005 14:25 <DIR> AntiVir
19.06.2006 10:44 <DIR> ArcorOnline
02.02.2006 03:09 <DIR> ATI Technologies
19.04.2006 19:32 <DIR> audiograbber
28.04.2005 18:32 <DIR> AvRack
15.06.2006 14:18 <DIR> CleanUp!
28.04.2005 23:17 <DIR> Common
13.05.2005 18:18 <DIR> Common Files
25.04.2005 11:20 <DIR> ComPlus Applications
19.06.2006 16:40 <DIR> CounterSpy
15.06.2006 14:48 <DIR> DatFind
02.11.2005 22:37 <DIR> directx
29.06.2005 22:23 <DIR> DivX
06.02.2006 13:39 <DIR> EVEREST Home Edition
13.06.2006 15:55 <DIR> Gemeinsame Dateien
19.06.2006 21:42 <DIR> HijackThis
19.06.2006 10:44 <DIR> Internet Explorer
31.12.2005 00:41 <DIR> Java
05.09.2005 21:03 <DIR> Lavasoft
10.01.2006 00:26 <DIR> Messenger
25.04.2005 11:22 <DIR> microsoft frontpage
26.01.2006 19:54 <DIR> Microsoft.NET
20.06.2006 00:39 <DIR> Mozilla Firefox
09.02.2006 12:17 <DIR> MSI
28.04.2005 23:17 <DIR> MSIDVD
10.01.2006 00:26 <DIR> MSN Messenger
29.07.2005 23:49 <DIR> NetMeeting
27.04.2006 23:45 <DIR> Outlook Express
10.06.2006 09:45 <DIR> PC-TV
13.06.2006 16:54 <DIR> Pinnacle
02.06.2006 19:05 <DIR> PPLive
27.01.2006 02:10 123 ProgramFlow.txt
22.08.2005 21:58 <DIR> Real
28.04.2005 18:32 <DIR> Realtek Sound Manager
16.06.2006 14:08 <DIR> regsearch
26.01.2006 14:50 <DIR> RegSeeker
15.11.2005 20:47 <DIR> Security Task Manager
16.06.2006 02:02 <DIR> ServiceFilter
02.05.2005 19:05 <DIR> Snapshot Viewer
15.09.2005 15:30 <DIR> Sophos
19.06.2006 23:20 <DIR> Sophos SWEEP for NT
19.06.2006 14:30 <DIR> Spyware Doctor
13.06.2006 17:53 <DIR> Stinger
30.05.2006 20:22 <DIR> TVAnts
09.02.2006 12:29 <DIR> VIA
09.02.2006 12:28 <DIR> VIA Chipset Drivers v4.51
27.01.2006 02:10 49 Warnings.txt
26.01.2006 22:02 <DIR> WinAce
06.12.2005 23:08 <DIR> Winamp
19.02.2006 22:41 <DIR> Windows Media Player
25.04.2005 11:20 <DIR> Windows NT
06.09.2005 23:55 <DIR> WinUAE
13.06.2006 17:47 <DIR> Yahoo!
14.09.2005 22:39 <DIR> Zone Labs
25.04.2005 11:19 <DIR> Zubeh”r
2 Datei(en) 172 Bytes
61 Verzeichnis(se), 81.364.770.816 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\Dokumente und

Einstellungen\Alfred\Anwendungsdaten

07.07.2005 23:27 <DIR> ACD Systems
02.11.2005 23:22 <DIR> Adobe
08.03.2006 14:13 <DIR> AdobeUM
23.11.2005 02:10 <DIR> ATI
29.11.2005 21:16 <DIR> EverAd
28.04.2005 22:39 <DIR> Help
28.04.2005 18:51 <DIR> Identities
05.09.2005 21:03 <DIR> Lavasoft
02.05.2005 22:54 <DIR> Macromedia
02.05.2005 18:36 <DIR> Microsoft Web Folders
28.04.2005 22:22 <DIR> Mozilla
22.08.2005 22:02 <DIR> Real
15.06.2005 11:00 <DIR> Sun
28.04.2005 22:22 <DIR> Talkback
0 Datei(en) 0 Bytes
14 Verzeichnis(se), 81.364.832.256 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.06.2006 15:55 <DIR> .
13.06.2006 15:55 <DIR> ..
02.02.2006 04:41 <DIR> ACD Systems
07.07.2005 22:55 <DIR> Adaptec Shared
02.05.2005 22:24 <DIR> Adobe
02.05.2005 18:39 <DIR> Designer
15.09.2005 14:42 <DIR> Dienste
08.06.2006 22:29 <DIR> InetGet
08.06.2006 16:48 <DIR> InstallShield
15.06.2005 10:58 <DIR> Java
27.01.2006 01:55 <DIR> Microsoft Shared
13.06.2006 16:22 <DIR> mwiu
25.04.2005 12:14 <DIR> ODBC
22.08.2005 21:58 <DIR> Real
30.05.2006 20:17 <DIR> Synacast
27.04.2006 23:45 <DIR> System
24.02.2006 01:33 <DIR> SystemRequirementsLab
22.08.2005 21:58 <DIR> xing shared
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 81.364.832.256 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\programme

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\Programme\Gemeinsame Dateien\mwiu

13.06.2006 16:22 <DIR> .
13.06.2006 16:22 <DIR> ..
19.06.2006 16:38 <DIR> mwiud
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 81.364.832.256 Bytes frei

MfG Thymon

Edit:
Hier nun die oben erwähnten von mir improvisiert aufgeführten Verzeichnisse:

Verzeichnis von C:\WinNT\Temp

19.06.2006 23:20 <DIR> .
19.06.2006 23:20 <DIR> ..
19.06.2006 22:52 256 ZLT07e41.TMP
1 Datei(en) 256 Bytes
2 Verzeichnis(se), 81.364.561.920 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von c:\programme\Windows NT

25.04.2005 11:20 <DIR> .
25.04.2005 11:20 <DIR> ..
20.06.2003 14:00 518.416 dialer.exe
20.06.2003 14:00 11.536 htrn_jis.dll
20.06.2003 14:00 6.416 hypertrm.exe
25.04.2005 11:20 <DIR> Pinball
13.05.2005 18:15 <DIR> Zubeh”r
3 Datei(en) 536.368 Bytes
4 Verzeichnis(se), 81.364.561.920 Bytes frei

Dieser Beitrag wurde am 20.06.2006 um 00:54 Uhr von Thymon editiert.

20.06.2006, 01:05

Sabina

Ehrenmitglied

Beiträge: 29434

#27 1.
loeschen:
http://virus-protect.org/killbox.html (All Files einstellen)

C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Gemeinsame Dateien\mwiu\mwiud
c:\programme\windows -> ich glaube, das ist schon nicht mehr vorhanden)

---------------------------------------------------------------------------

2.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

c:\programme\Windows NT\dialer.exe
c:\programme\Windows NT\hypertrm.exe
c:\programme\Windows NT\htrn_jis.dll

berichte

-----------------
3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2006, 02:25

Thymon

Member

Themenstarter

Beiträge: 15

#28 1. Erledigt.
___________________________________________________________________

2.

Complete scanning result of "dialer.exe", received in VirusTotal at 06.20.2006, 01:45:56 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.19.2006 no virus found
Authentium 4.93.8 06.19.2006 no virus found
Avast 4.7.844.0 06.19.2006 no virus found
AVG 386 06.19.2006 no virus found
BitDefender 7.2 06.20.2006 no virus found
CAT-QuickHeal 8.00 06.19.2006 no virus found
ClamAV devel-20060426 06.19.2006 no virus found
DrWeb 4.33 06.19.2006 no virus found
eTrust-InoculateIT 23.72.43 06.20.2006 no virus found
eTrust-Vet 12.6.2263 06.19.2006 no virus found
Ewido 3.5 06.19.2006 no virus found
Fortinet 2.77.0.0 06.20.2006 no virus found
F-Prot 3.16f 06.19.2006 no virus found
Ikarus 0.2.65.0 06.19.2006 no virus found
Kaspersky 4.0.2.24 06.20.2006 no virus found
McAfee 4787 06.19.2006 no virus found
Microsoft 1.1441 06.20.2006 no virus found
NOD32v2 1.1608 06.19.2006 no virus found
Norman 5.90.21 06.19.2006 no virus found
Panda 9.0.0.4 06.19.2006 no virus found
Sophos 4.06.0 06.19.2006 no virus found
Symantec 8.0 06.19.2006 no virus found
TheHacker 5.9.8.162 06.19.2006 no virus found
UNA 1.83 06.19.2006 no virus found
VBA32 3.11.0 06.19.2006 no virus found
VirusBuster 4.3.7:9 06.19.2006 no virus found

Aditional Information
File size: 518416 bytes
MD5: 06f4f0192dc18216593c39c47275e015
SHA1: df4cb5f104f413a42b65d08c033d8e5924e03e61

Complete scanning result of "hypertrm.exe", received in VirusTotal at 06.20.2006, 01:47:36 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.19.2006 no virus found
Authentium 4.93.8 06.19.2006 no virus found
Avast 4.7.844.0 06.19.2006 no virus found
AVG 386 06.19.2006 no virus found
BitDefender 7.2 06.20.2006 no virus found
CAT-QuickHeal 8.00 06.19.2006 no virus found
ClamAV devel-20060426 06.19.2006 no virus found
DrWeb 4.33 06.19.2006 no virus found
eTrust-InoculateIT 23.72.43 06.20.2006 no virus found
eTrust-Vet 12.6.2263 06.19.2006 no virus found
Ewido 3.5 06.19.2006 no virus found
Fortinet 2.77.0.0 06.20.2006 no virus found
F-Prot 3.16f 06.19.2006 no virus found
Ikarus 0.2.65.0 06.19.2006 no virus found
Kaspersky 4.0.2.24 06.20.2006 no virus found
McAfee 4787 06.19.2006 no virus found
Microsoft 1.1441 06.20.2006 no virus found
NOD32v2 1.1608 06.19.2006 no virus found
Norman 5.90.21 06.19.2006 no virus found
Panda 9.0.0.4 06.19.2006 no virus found
Sophos 4.06.0 06.19.2006 no virus found
Symantec 8.0 06.19.2006 no virus found
TheHacker 5.9.8.162 06.19.2006 no virus found
UNA 1.83 06.19.2006 no virus found
VBA32 3.11.0 06.19.2006 no virus found
VirusBuster 4.3.7:9 06.19.2006 no virus found

Aditional Information
File size: 6416 bytes
MD5: 3d5d5f21b87cd18e64ecd9f7229fd79e
SHA1: 5fed2e4fe8302e57d33a558ca221525232b3277f

Grmpf. Jetzt hängt die Seite, dann werde ich den dritten Bericht wohl erst später posten können.

___________________________________________________________________

3. So, folgende Dateien sind in Web Folders:

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

26.01.2006 19:55 <DIR> .
26.01.2006 19:55 <DIR> ..
26.01.2006 19:55 <DIR> 1031
26.01.2006 19:55 <DIR> 1033
11.07.2003 03:15 1.292.872 MSONSEXT.DLL
14.07.2003 23:52 35.896 MSOSV.DLL
19.03.1999 18:46 127.032 MSOWS407.DLL
04.06.1999 11:09 122.937 MSOWS409.DLL
11.07.2003 03:25 80.448 PKMWS.DLL
18.03.1999 06:36 593.977 RAGENT.DLL
6 Datei(en) 2.253.162 Bytes
4 Verzeichnis(se), 81.365.065.728 Bytes frei

20.06.2006, 11:17

Sabina

Ehrenmitglied

Beiträge: 29434

#29 wenn das geloescht ist, muesste wieder alles o.k. sein

Zitat

C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Gemeinsame Dateien\mwiu\
c:\programme\windows

1.
ueberpruefe offene Ports
http://virus-protect.org/portauthority.html

2.
Bitte nutze Gmer.
http://virus-protect.org/artikel/tools/gmer.html
Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, waehle Copy und fuege den bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2006, 11:57

Thymon

Member

Themenstarter

Beiträge: 15

#30 Hallo!

Das Löschen ist erledigt.

Berichte von PortAuthority

All Service Ports:
GRC Port Authority Report created on UTC: 2006-06-20 at 09:53:21

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

FileSharing+NetBios:
Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

Common Ports:
GRC Port Authority Report created on UTC: 2006-06-20 at 10:04:49

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
119, 135, 139, 143, 389, 443, 445,
1002, 1024-1030, 1720, 5000

0 Ports Open
0 Ports Closed
26 Ports Stealth
---------------------
26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

_____________________________________________________________________

Gmer sagt:

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-06-20 12:22:04
Windows 5.0.2195 Service Pack 4

---- System - GMER 1.0.10 ----

SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSEIRP_MJ_READ [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSEIRP_MJ_READ [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [B790B230] vsdatant.sys
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_CREATE E13C1568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SHUTDOWN [EB508661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN [EB508661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-a IRP_MJ_SHUTDOWN [EB508661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN [EB508661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-1c IRP_MJ_SHUTDOWN [EB508661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-14 IRP_MJ_SHUTDOWN [EB508661] prosync1.sys
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_CREATE E140B208
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSEIRP_MJ_READ [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSEIRP_MJ_READ [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSEIRP_MJ_READ [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_SHUTDOWN [B790B230] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE_MAILSLOT [B790B230] vsdatant.sys

---- Registry - GMER 1.0.10 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0x2E 0xE8 0xE1 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINNT\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION DB69FB19EEA4D60EEBBDE3D5760FF77886A6477F5CF4AA282ED8497A2B9FDEFD3F53B56CB1DC7E3116DC9D8E96C32C
AE93892E0DB9874573615A64F06FD6408D92648FA47FD4509D118C1F7BF913616DD7D2C45960AC5E9800A9E3FEBC9E127BEC
C74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6678
EDD5E5BE2F6E667C038D530D6EB3452A6171C11EC38DE3D5DCA2F9785C2CA4E28F9F99FF14018675B5D711164B6E605F6F49011A9
8B2AEBD151EC8320FB18A9B4B74B55DFAC81878B1DBD136F8740491F615A5308E0AF3CEA677B6BF3FDB41A76FE93FC6D59DFB8440E8EC
B95C40C8BD123C26481512770A4BB7919498E70D5697479C53198D7A525F5B06CE36EEA8AEDBCE19BB1284B7D3EACE6266BE7BA2650F68
72E4C2F368D114CD9FAE77A1F9C196432A23727F66CBC4D29042D372A6A3096AB0C5D5B68432DC0A0D0B3CE1128B6841678B582AD5BE7650
AF5619F7A15D01739070D4B032F63337F9B5EC7CD2A75BBD1F15765127ACCEF3792E1B607ABBF72E41E82203CCB62BA575E043703B3C15D8D3
244EB6E10BA1EC2478A0653C750D34A206B726E289C20EAEDC0DE87E7D1EED3372FA5ADF446D1A054BC8C0499141CE7B2FB4D19E84760E17339
F751FE992C184EC999639647A22BCB5DBBE4E167E09FCEE630DEC25CAD47EE1

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\catalog.wci
File C:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----

MfG Thymon

Dieser Beitrag wurde am 20.06.2006 um 12:23 Uhr von Thymon editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

»
»
»
»
» IE Startseite setzt sich immer wieder auf easy-search

Seite(n): 1 2 3