Home » Viren, Trojaner & Malware Forum » Administrator deaktiviert » Themenansicht

Administrator deaktiviert
#0
30.06.2006, 15:19
FlatRate
Member

Beiträge: 27
#1 Hallo,
ich glaube, ich habe mir etwas eingefangen.
Kann mir jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 15:04:06, on 30.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\ashampoo_magicaldefrag111\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\gearsec.exe
e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
E:\nmap\bin\nmapserv.exe
e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\internet explorer\iexplore.exe
e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\ashampoo_magicaldefrag111\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
H:\BitTorrent\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SEARCH~2\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ExplorerSpy Class - {C7809CCE-71B1-4EAB-90FE-A0C09231B675} - C:\Programme\Win!Browser bar\ExplorerAgent.dll
O3 - Toolbar: eNotes - {F264E777-7AB7-4BEB-8A42-5C37C8F4B6B4} - C:\WINDOWS\System32\enotebar.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - E:\COPERN~1\COPERN~1.DLL
O3 - Toolbar: wersucht.de - {275EF756-D6AE-487A-B544-B67AB825AD4A} - C:\Programme\wersucht.de\toolbar.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - (no file)
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SVCHOST32] c:\svchost32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector[1].exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = D:\ashampoo_magicaldefrag111\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - E:\VisualRoute 70d\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - E:\VisualRoute 70d\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - E:\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Launch Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - E:\COPERN~1\COPERN~1.EXE
O9 - Extra button: concept/design's onlineTV - {3497BA3F-AE5F-43AE-AF23-635D516AF144} - H:\onlineTV\REGITonlineTV.exe
O9 - Extra button: WB bar - {35B604B4-301D-4aca-B244-106D7ECA4748} - C:\Programme\Win!Browser bar\MultiBrowser.dll
O9 - Extra 'Tools' menuitem: WB bar - {35B604B4-301D-4aca-B244-106D7ECA4748} - C:\Programme\Win!Browser bar\MultiBrowser.dll
O9 - Extra button: @i:\Messenger2\im2_ie_plugin.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - i:\Messenger2\im2_ie_plugin.dll
O9 - Extra 'Tools' menuitem: Run IM2 Messenger - {410C30C7-098A-4090-928E-F1D356D34C7F} - i:\Messenger2\im2_ie_plugin.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ\ICQ.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - E:\COPERN~1\COPERN~1.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\NEOTRA~1\NTXtoolbar.htm (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29479013441ea092ef19/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096042168140
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.245.155.211/activex/AxisCamControl.ocx
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_gr_4.1.0.18.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F264E777-7AB7-4BEB-8A42-5C37C8F4B6B4} (eNotes) - http://www.my-enotes.com/install/enotebar.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://3dgamers.tukati.com/tukati/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23B03F16-22CF-45CB-B8DC-DAB4226BAAF8}: NameServer = 217.237.149.225 217.237.151.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - D:\ashampoo_magicaldefrag111\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: NMap - Unknown owner - E:\nmap\bin\nmapserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\TDSLSM\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Vielen Dank im voraus
Seitenanfang Seitenende
01.07.2006, 12:40
raman
Moderator

Beiträge: 7805
#2 Stelle bitte Antivir so ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm


Danach fixe folgendes:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: ExplorerSpy Class - {C7809CCE-71B1-4EAB-90FE-A0C09231B675} - C:\Programme\Win!Browser bar\ExplorerAgent.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - (no file)
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing
O4 - HKLM\..\Run: [SVCHOST32] c:\svchost32.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
9 - Extra button: WB bar - {35B604B4-301D-4aca-B244-106D7ECA4748} - C:\Programme\Win!Browser bar\MultiBrowser.dll
O9 - Extra 'Tools' menuitem: WB bar - {35B604B4-301D-4aca-B244-106D7ECA4748} - C:\Programme\Win!Browser bar\MultiBrowser.dll

Sowie alle "O16" Eintraege und neu starten. Danach noch diesen Ordner loeschen C:\Programme\Win!Browser bar und ein neues Hijacthis log posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.07.2006, 13:30
FlatRate
Member

Themenstarter

Beiträge: 27
#3 Vielen Dank ich mach mich gleich an die Sache.

Ad-Aware meldete mir übrigens

"Win32.Backdoor.CiaDoor
Win 32.Trojan.Downloader
ABetterInternet.Nail"

Aber mal schauen wenn ich jetzt Antivir so einstelle, was dann noch kommt.
Ich melde mich nachher nochmal
Dieser Beitrag wurde am 01.07.2006 um 13:45 Uhr von FlatRate editiert.
Seitenanfang Seitenende
01.07.2006, 13:35
raman
Moderator

Beiträge: 7805
#4 Nutze Antivir bitte im abgesicherten Modus um die Dateien, die es meldet zu loeschen/in Quarantaene zu verschieben. Poste bitte auch den Antivir Report, nach dem du Antivir entsprechend Anleitung eingestellt, aktualisiert und reinigen hast lassen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.07.2006, 23:38
FlatRate
Member

Themenstarter

Beiträge: 27
#5 Hallo,

boah das dauerte alles ganz schön, die Scans vor allem mit Antivir, aber hier nun das Ergebnis.

Logfile of HijackThis v1.99.1
Scan saved at 23:34:11, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\gearsec.exe
e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\nmap\bin\nmapserv.exe
e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Razer\Copperhead\razerofa.exe
J:\mIRC\mirc.exe
I:\SpamPal\spampal.exe
E:\Incredimail\bin\IncMail.exe
C:\WINDOWS\system32\wuauclt.exe
E:\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\BitTorrent\hijackthis\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SEARCH~2\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - E:\COPERN~1\COPERN~1.DLL
O3 - Toolbar: wersucht.de - {275EF756-D6AE-487A-B544-B67AB825AD4A} - C:\Programme\wersucht.de\toolbar.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector[1].exe
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - E:\VisualRoute 70d\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - E:\VisualRoute 70d\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - E:\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Launch Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - E:\COPERN~1\COPERN~1.EXE
O9 - Extra button: concept/design's onlineTV - {3497BA3F-AE5F-43AE-AF23-635D516AF144} - H:\onlineTV\REGITonlineTV.exe
O9 - Extra button: @i:\Messenger2\im2_ie_plugin.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - i:\Messenger2\im2_ie_plugin.dll
O9 - Extra 'Tools' menuitem: Run IM2 Messenger - {410C30C7-098A-4090-928E-F1D356D34C7F} - i:\Messenger2\im2_ie_plugin.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ\ICQ.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - E:\COPERN~1\COPERN~1.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\NEOTRA~1\NTXtoolbar.htm (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{23B03F16-22CF-45CB-B8DC-DAB4226BAAF8}: NameServer = 217.237.149.225 217.237.151.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - e:\kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: NMap - Unknown owner - E:\nmap\bin\nmapserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\TDSLSM\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Von Antivir

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 1. Juli 2006 19:30

Es wird nach 429125 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Andreas
Computername: ANDY

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 16.02.2006 14:07:01
AVSCAN.DLL : 7.0.0.42 57384 16.02.2006 14:07:01
LUKE.DLL : 7.0.0.42 118824 16.02.2006 14:07:02
LUKERES.DLL : 7.0.0.42 32808 16.02.2006 14:07:02
ANTIVIR0.VDF : 6.35.0.1 7371264 16.02.2006 14:07:01
ANTIVIR1.VDF : 6.35.0.122 445440 16.02.2006 14:07:01
ANTIVIR2.VDF : 6.35.0.123 2048 16.02.2006 14:07:01
ANTIVIR3.VDF : 6.35.0.129 39936 16.02.2006 14:07:01
AVEWIN32.DLL : 7.1.0.19 1544704 16.02.2006 14:07:01
AVPREF.DLL : 7.0.0.1 53288 16.02.2006 14:07:01
AVREP.DLL : 6.35.0.85 696360 16.02.2006 14:07:01
AVRPBASE.DLL : 7.0.0.0 2162728 05.05.2006 03:26:15
AVPACK32.DLL : 7.1.0.1 335912 16.02.2006 14:07:01
AVREG.DLL : 6.31.0.90 27688 16.02.2006 14:07:01
NETNT.DLL : 6.32.0.0 6696 16.02.2006 14:07:02
NETNW.DLL : 6.32.0.0 9768 16.02.2006 14:07:02
RCIMAGE.DLL : 7.0.0.71 1642536 16.02.2006 14:07:03
RCTEXT.DLL : 7.0.0.75 77864 16.02.2006 14:07:03

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,E,H,I,J,F,G
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 4100
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Samstag, 1. Juli 2006 19:30


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 13 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 14 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Andreas\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Andreas\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Kazaa Lite 2.0.2\KaZaA Lite\Skins\Bettina.tif
[WARNUNG] Zu wenig Speicher! Virus bzw. unerwünschtes Programm wurde nicht entfernt!
E:\World Time\wt600937.exe
[0] Archivtyp: ACE SFX (self extracting)
--> setup\pac\wtLib.dll
[WARNUNG] Fehler beim Erzeugen der Datei
--> setup\pac\DSTman.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Samstag, 1. Juli 2006 23:19
Benötigte Zeit: 3:48:57 min

Der Suchlauf wurde vollständig durchgeführt.

32270 Verzeichnisse wurden überprüft
1033042 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
39293 Archive wurden durchsucht
22 Warnungen
11 Hinweise

Das Tool datfind kann ich aber immernoch nicht starten, da kommt dann in einem Dos-Fenster "Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...." worauf sich das Fenster wieder schliesst.
Seitenanfang Seitenende
02.07.2006, 00:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2006, 01:43
FlatRate
Member

Themenstarter

Beiträge: 27
#7 Hi

ich habe das Cleanup laufen lassen, aber es meldet mir, das einer oder mehr Browser geöffnet wären und für beste Ergebnisse geschlossen werden müssten. Allerdings ist kein Browser geöffnet.
Auch nach dem ignorieren und dann Neustart und nochmal starten von Cleanup kam die Meldung obwohl ich noch nicht mal mit dem Internet connected war geschweige denn einen Browser öffnete.

Die DatFind.bat konnte wieder nicht gestartet werden: "Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...."
Seitenanfang Seitenende
02.07.2006, 08:27
raman
Moderator

Beiträge: 7805
#8 Gebe folgendes unter Start/Ausfuehren an(ohne die "") und druecke Enter:
"REG add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0 /f"

Sann sollte Datfind funktionieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.07.2006, 09:34
FlatRate
Member

Themenstarter

Beiträge: 27
#9 Vielen Dank raman und Sabina,

jetzt ging das mit datfind, hier das Ergebnis:

Nr. 1 system 32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CD4-2614

Verzeichnis von C:\WINDOWS\system32

02.07.2006 09:28 60.192 SysPr.prx
02.07.2006 08:49 51.733 plugin1.dat
02.07.2006 01:45 384 DVCState-{00000002-00000000-0000000C-00001102-00000004-20021102}.dat
02.07.2006 01:45 384 DVCStateBkp-{00000002-00000000-0000000C-00001102-00000004-20021102}.dat
02.07.2006 01:45 2.064 settingsbkup.sfm
02.07.2006 01:45 2.064 settings.sfm
02.07.2006 01:45 30.528 BMXBkpCtrlState-{00000002-00000000-0000000C-00001102-00000004-20021102}.rfx
02.07.2006 01:45 30.528 BMXCtrlState-{00000002-00000000-0000000C-00001102-00000004-20021102}.rfx
02.07.2006 01:45 31.056 BMXStateBkp-{00000002-00000000-0000000C-00001102-00000004-20021102}.rfx
02.07.2006 01:45 31.056 BMXState-{00000002-00000000-0000000C-00001102-00000004-20021102}.rfx
01.07.2006 12:14 163.328 wsock32.sys
01.07.2006 12:09 174.852 ckl009.dat
30.06.2006 09:02 5.754 wpa.dbl
29.06.2006 05:54 172 del32.bat
27.06.2006 07:38 13 WinSys32.crc
22.06.2006 19:34 1.262.274 server.exe
14.06.2006 06:55 57.384 avsda.dll
09.06.2006 03:19 5.967.776 MRT.exe
06.06.2006 05:10 21.840 SIntfNT.dll
06.06.2006 05:10 17.212 SIntf32.dll
06.06.2006 05:10 12.067 SIntf16.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 09:28 404.124 perfh009.dat
01.06.2006 09:28 63.364 perfc009.dat
01.06.2006 09:28 415.470 perfh007.dat
01.06.2006 09:28 74.996 perfc007.dat
01.06.2006 09:28 965.392 PerfStringBackup.INI
01.05.2006 13:44 91 Blank.htm
29.04.2006 06:07 5.533.696 wmp.dll
13.04.2006 23:16 406.016 vbscript.dll
13.04.2006 23:14 9.216 msfeedssync.exe
13.04.2006 23:14 48.640 icardie.dll
13.04.2006 23:14 333.312 dxtmsft.dll
13.04.2006 23:14 214.528 dxtrans.dll
13.04.2006 23:14 44.032 pngfilt.dll
13.04.2006 23:14 34.816 imgutil.dll
13.04.2006 23:13 536.576 mstime.dll
13.04.2006 23:11 220.160 iertutil.dll
13.04.2006 23:10 41.472 mshta.exe
13.04.2006 23:10 64.512 tdc.ocx
13.04.2006 22:48 55.757 ieuinit.inf
13.04.2006 22:45 48.640 mshtmler.dll
13.04.2006 22:44 365.568 ieapfltr.dll
13.04.2006 22:39 172.032 ieakui.dll
13.04.2006 22:34 1.383.936 mshtml.tlb
05.04.2006 11:14 432 mfsv.bin
02.04.2006 14:47 630.784 vp7vfw.dll

Nr. 2 systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CD4-2614

Verzeichnis von C:\DOKUME~1\Andreas\LOKALE~1\Temp

02.07.2006 09:16 16.384 Perflib_Perfdata_374.dat
02.07.2006 08:59 200 jusched.log
02.07.2006 08:54 193 uis1E.bat
02.07.2006 08:54 0 uis1E.tmp
02.07.2006 08:54 917.504 MFPL7014.DLL
5 Datei(en) 934.281 Bytes
0 Verzeichnis(se), 5.641.834.496 Bytes frei

Nr 3 system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CD4-2614

Verzeichnis von C:\WINDOWS

02.07.2006 09:16 202 NeroDigital.ini
02.07.2006 08:57 1.998.774 WindowsUpdate.log
02.07.2006 08:48 157 wiadebug.log
02.07.2006 08:48 50 wiaservc.log
02.07.2006 08:48 0 0.log
02.07.2006 08:48 2.048 bootstat.dat
02.07.2006 01:45 32.464 SchedLgU.Txt
02.07.2006 01:44 4.932.286 {00000002-00000000-0000000C-00001102-00000004-20021102}.CDF
01.07.2006 19:58 700.112 ntbtlog.txt
30.06.2006 09:06 3.129 win.ini
30.06.2006 09:06 374 SYSTEM.INI
30.06.2006 07:54 993 ARCHPR.INI
29.06.2006 14:27 85.310 wmsetup.log
28.06.2006 06:55 54.156 QTFont.qfn
24.06.2006 12:10 494 wmsetup10.log
24.06.2006 12:09 780.362 setupapi.log
23.06.2006 20:09 1.080 winamp.ini
22.06.2006 10:10 1.409 QTFont.for
14.06.2006 18:56 39.543 spupdsvc.log
14.06.2006 18:54 305.564 comsetup.log
14.06.2006 18:54 187.352 ntdtcsetup.log
14.06.2006 18:54 139.309 iis6.log
14.06.2006 18:54 40.925 ocmsn.log
14.06.2006 18:54 10.607 KB917734.log
14.06.2006 18:54 1.374 imsins.log
14.06.2006 18:54 358.465 tsoc.log
14.06.2006 18:54 475.225 ocgen.log
14.06.2006 18:54 45.985 msgsocm.log
14.06.2006 18:54 890.643 FaxSetup.log
14.06.2006 18:53 10.977 KB918439.log
14.06.2006 18:53 1.374 imsins.BAK
14.06.2006 18:53 11.113 KB917953.log
14.06.2006 18:53 10.982 KB911280.log
14.06.2006 18:53 41.360 updspapi.log
14.06.2006 18:53 11.415 KB914389.log
14.06.2006 18:33 6.725 setupact.log
14.06.2006 18:20 804.847.616 MEMORY.DMP
14.06.2006 07:44 644 chipset.log
26.05.2006 12:17 469 ULEAD32.INI
26.05.2006 10:14 7.903 gcspro.ini
13.05.2006 07:12 15.635 ie7beta2_main.log
13.05.2006 07:12 16.276 ie7beta2.log
13.05.2006 07:11 4.578 KB915865.log
13.05.2006 07:10 12.503 KB904942.log
12.05.2006 10:41 503 GEARInstall.log
12.05.2006 03:00 13.230 KB913580.log
02.05.2006 13:02 26 popcinfo.dat
01.05.2006 13:44 35 iltwain.ini
27.04.2006 03:01 18.100 KB900485.log
20.04.2006 12:21 14.648 ie7b2pmxUninst.log
15.04.2006 16:25 4.983 ie7b2pmx_main.log
15.04.2006 16:25 15.296 ie7b2pmx.log
15.04.2006 15:10 0 lgfwup.ini
15.04.2006 14:30 36.078 KB911565.log
15.04.2006 14:14 23.331 KB908531.log
15.04.2006 14:14 22.514 KB911562.log
15.04.2006 14:13 24.120 KB912812.log
15.04.2006 14:13 17.510 KB911567.log
15.04.2006 11:15 7.437 Tw504a.src
10.04.2006 00:26 737.280 iun6002.exe

Nr. 4 sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CD4-2614

Verzeichnis von C:\

02.07.2006 09:29 0 sys.txt
02.07.2006 09:29 22.583 system.txt
02.07.2006 09:28 500 systemtemp.txt
02.07.2006 09:28 125.911 system32.txt
02.07.2006 08:48 805.306.368 pagefile.sys
30.06.2006 09:06 212 boot.ini
29.06.2006 14:29 184.320 PlayerHost.dll
Dieser Beitrag wurde am 02.07.2006 um 09:38 Uhr von FlatRate editiert.
Seitenanfang Seitenende
02.07.2006, 09:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
Einzelne Dateien scannen
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\WinSys32.crc
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\WinFXDocObj.exe
C:\WINDOWS\system32\msfeedssync.exe
C:\PlayerHost.dll
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.bat
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.tmp
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\MFPL7014.DLL

poste hier die reporte

------------------------------------------------------------------------------


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\server.exe
c:\svchost32.exe
C:\WINDOWS\system32\scvhost.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.bat
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.tmp
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\MFPL7014.DLL

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den scanreport vom Avenger, der erscheint

**
fixe mit dem HijackThis:

O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe

PC neustarten

**
mache einen Onlinescan mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2006, 10:04
FlatRate
Member

Themenstarter

Beiträge: 27
#11 Ups, das ist aber eine schnelle Antwort.

Leider muss ich jetzt los zur Arbeit und kann erst heute abend / Nacht wieder dran fortsetzen. Aber nocheinmal vielen Dank. Das Forum und vor allem die Moderatoren hier sind unglaublich, soetwas erlebt man nur noch höchst seltenst.

Many thx schonmal.

Was mich allerdings interessieren würde ist, was solche Deppen die Trojaner und Viren in Umlauf setzen davon haben? Das macht doch garkeinen Sinn?
Auf den meisten PC's sind doch eh nur Daten mit denen sie so gut wie garnichts anfangen können.
Gibts eigentlich eine Möglichkeit gezielt gegen solche Verbreiter von Viren und Trojanern vorzugehen?
Seitenanfang Seitenende
02.07.2006, 11:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 meisten sind es nur Kiddies, sie finden es toll, Zugang zu einem anderen Rechner zu bekommen.....Vorgehen kann man gegen die nicht, oder weisst du, wer es ist, der zur Zeit alle deine Daten hat ? (in ckl009.dat)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 11:37
FlatRate
Member

Themenstarter

Beiträge: 27
#13 So, das war ja ganz schön viel, vor allem das scannen.

Hier die Ergebnisse:

1. Virustotal:

C:\WINDOWS\system32\WinSys32.crc (überall no virus found)
C:\WINDOWS\system32\server.exe (überall no virus found) ausser!
Fortinet 2.77.0.0 07.01.2006 suspicious
Norman 5.90.21 06.30.2006 Bifrose.D
C:\WINDOWS\system32\WinFXDocObj.exe (überall no virus found)
C:\WINDOWS\system32\msfeedssync.exe (überall no virus found)
C:\PlayerHost.dll (überall no virus found)
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.bat (überall no virus found)
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.tmp (überall no virus found)
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\MFPL7014.DLL (überall no virus found)

2. Avenger (funktionierte irgendwie nicht)

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 1813

3. fixe mit dem HijackThis:

O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe

erledigt.

4. PC neugestartet

5. Kaspersky online Scan

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\cert8.db Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\flashgot.log Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\formhistory.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\history.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\key3.db Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\parent.lock Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Sun\Java\Deployment\log\plugin150_06.trace Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Eigene Musik\iTunes\iTunes Library.itl Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\Cache\_CACHE_001_ Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\Cache\_CACHE_002_ Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\Cache\_CACHE_003_ Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\default.30l\Cache\_CACHE_MAP_ Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\hsperfdata_Andreas\1016 Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\hsperfdata_Andreas\2956 Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\6729BBF9-D54C-48CB-A4D7-AD400339D808.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006070420060705\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\Andreas\NTUSER.DAT.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\SysPr.prx Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\WINDOWS\{00000002-00000000-0000000C-00001102-00000004-20021102}.CDF Object is locked skipped

Jetzt bin ich mal gespannt.
Seitenanfang Seitenende
04.07.2006, 15:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Information:
http://virus-protect.org/artikel/dienste/wsock32sys.html

ich rate dir zu formatieren, denn der Rechner ist kompromitiert.. du hast anscheinend cracks geladen und dabei die Backdoors/Trojaner gleich mit....
selbst wenn die Antiviren-Proggies und die Killbox die Malware entfernt.. der Rechner bleibt kompromitiert.

-----------------------------------------------------------------------

Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

Zitat

C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\server.exe
c:\svchost32.exe
C:\WINDOWS\system32\scvhost.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.bat
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\uis1E.tmp
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\MFPL7014.DLL
PC neustarten

F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 15:52
FlatRate
Member

Themenstarter

Beiträge: 27
#15 Ok, bin dabei - leider dauert das scannen immer, aber ich melde mich gleich danach.

Ich wundere mich ja ein wenig, woher du das alles weisst?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123