Was für ein Virus und wie krieg ich Ihn weg?

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.07.2006, 22:29
Member

Beiträge: 54
#1 Da ich kaum Ahnung hab und hier mir schon ein paarmal in Sachen Viren geholfen wurde, bitte ich Euch nochmalig um Eure Hilfe.

Ich hab mir was eingefangen, aber weiss nicht was, deswegen poste ich mal die Logfile von Hijackthis und vielleicht könnt Ihr mir sagen, was ich mir da eingefangen hab.

Logfile of HijackThis v1.99.1
Scan saved at 22:24:42, on 05.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Exedateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Class - {FF99367F-97CB-E438-B0AA-2818ECD2BB70} - C:\WINDOWS\bhrax1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [dmcwc.exe] C:\WINDOWS\system32\dmcwc.exe
O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Wäre schön, wenn Ihr mir wieder einmal helfen könntet.
Danke im voraus.
Seitenanfang Seitenende
06.07.2006, 17:59
Member

Themenstarter

Beiträge: 54
#2 Hhm, weiss keiner Rat, was ich tun soll?

Habe mal Ewido laufen lassen und der hat ohne Ende gefunden, allerdings auch 2, die er wohl nicht vermag zu löschen.
Ich poste mal hier die Berichte von Ewido und den neuen Log von Hijack.

Achso, vielleicht noch dazu, mein virtueller Speicher scheint sich ziemlich schnell zu füllen, denn Ewido kann keinen vollständigen Scan durchführen ohne abzustürzen, dasselbe gilt auch für Bitdefender.


---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 14:43:08 06.07.2006

+ Scan-Ergebnis:



[1464] VM_01DF0000 -> Trojan.Pakes : Fehler während der Säuberung.


::Berichtende

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 14:44:12 06.07.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\ShudderLTD -> Adware.PSGuard : Fehler während der Säuberung.
HKLM\SOFTWARE\ShudderLTD\PSGuard -> Adware.PSGuard : Fehler während der Säuberung.
HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard -> Adware.PSGuard : Fehler während der Säuberung.
HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License -> Adware.PSGuard : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende


Logfile of HijackThis v1.99.1
Scan saved at 17:58:45, on 06.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
E:\Exedateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - Default URLSearchHook is missing
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Class - {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD} - C:\WINDOWS\bhrax1.dll (file missing)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [dmgfu.exe] C:\WINDOWS\system32\dmgfu.exe
O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Wäre Euch wirklich dankbar füe eure Hilfe.
Habe auch mal versucht cmd auszuführen, aber der PC schmiert kontinuierlich ab.
Gruss J-L
Seitenanfang Seitenende
07.07.2006, 02:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 deine Internetverbindung...geht in die Ukraine (wird umgeleitet)

1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.07.2006, 10:09
Member

Themenstarter

Beiträge: 54
#4 Hallo, sabina.

Schön, das Du Dich wieder um mich kümmerst :-)

Was heisst meine Internetleitung geht in die Ukraine???
Meine Daten??

zu 1.:F-Secure Blacklight gibt folgendes von sich, wenn Du damit etwas anfangen kannst.

"F-Secure Blacklight could not acquire necessary privileges(SeDebugPrivilege)

-Your computer settings may prevent acquiring these privileges
-A malicious program might have disabled these privilege"

zu 2.: Hab ich gemacht, waren 7,8 GB.Und nach jedem Lauf kann er sofort wieder etwas löschen.

zu 3.:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\system32

06.07.2006 21:52 2.550 Uninstall.ico
06.07.2006 21:52 1.406 Help.ico
06.07.2006 21:52 30.590 pavas.ico
05.07.2006 20:50 424.718 {D20FB8C5-7AD9-4851-AB33-027C20A6C6A7}.exe
05.07.2006 20:50 5.214 {CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe
05.07.2006 20:50 45.568 {CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe
05.07.2006 20:50 4.608 {08103287-0D90-4C91-813C-71FC154B779D}.exe
05.07.2006 20:49 155.648 {1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll
05.07.2006 20:49 3.117 {0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe
05.07.2006 20:49 44.094 {97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe
04.07.2006 12:15 2.206 wpa.dbl
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log
26.03.2006 05:14 380.350 perfh009.dat
26.03.2006 05:14 52.764 perfc009.dat
26.03.2006 05:14 391.000 perfh007.dat
26.03.2006 05:14 63.580 perfc007.dat
26.03.2006 05:14 897.954 PerfStringBackup.INI

Gruss J-L
Seitenanfang Seitenende
07.07.2006, 14:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 1.
datfindbat hat 4 Logs, nicht nur eins.-> poste also unbedingt die fehlenden drei
1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\


2.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\pavas.ico
C:\WINDOWS\system32\{D20FB8C5-7AD9-4851-AB33-027C20A6C6A7}.exe
C:\WINDOWS\system32\{CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe
C:\WINDOWS\system32\{CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe
C:\WINDOWS\system32\{08103287-0D90-4C91-813C-71FC154B779D}.exe
C:\WINDOWS\system32\{1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll
C:\WINDOWS\system32\{0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe
C:\WINDOWS\system32\{97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe
C:\WINDOWS\system32\dmgfu.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked-->PC neustarten

Zitat

R3 - Default URLSearchHook is missing
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Class - {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD} - C:\WINDOWS\bhrax1.dll (file missing)

O4 - HKLM\..\Run: [dmgfu.exe] C:\WINDOWS\system32\dmgfu.exe

O17 -
HKLM\System\CCS\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121

O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)
PC neustarten
neue Internetverbindung erstellen - >manuell mit den Zugangsdaten des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.

4.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten

5.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

6.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

7.
scanne noch mal mit ewido (am besten im abgesicherten Modus)

8.
RootkitRevealer-> poste den scanreport
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.07.2006, 15:27
Member

Themenstarter

Beiträge: 54
#6 So, erst einmal die 4 Logs, sorry, war mein Fehler.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\system32

06.07.2006 21:52 2.550 Uninstall.ico
06.07.2006 21:52 1.406 Help.ico
06.07.2006 21:52 30.590 pavas.ico
05.07.2006 20:50 424.718 {D20FB8C5-7AD9-4851-AB33-027C20A6C6A7}.exe
05.07.2006 20:50 5.214 {CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe
05.07.2006 20:50 45.568 {CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe
05.07.2006 20:50 4.608 {08103287-0D90-4C91-813C-71FC154B779D}.exe
05.07.2006 20:49 155.648 {1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll
05.07.2006 20:49 3.117 {0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe
05.07.2006 20:49 44.094 {97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe

04.07.2006 12:15 2.206 wpa.dbl
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log
26.03.2006 05:14 380.350 perfh009.dat
26.03.2006 05:14 52.764 perfc009.dat
26.03.2006 05:14 391.000 perfh007.dat
26.03.2006 05:14 63.580 perfc007.dat
26.03.2006 05:14 897.954 PerfStringBackup.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp

07.07.2006 12:32 618 jusched.log
27.02.2006 19:06 24.576 IadHide3.dll
2 Datei(en) 25.194 Bytes
0 Verzeichnis(se), 3.937.816.576 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS

07.07.2006 15:17 358.671 WindowsUpdate.log
07.07.2006 15:12 0 0.log
07.07.2006 15:11 50 wiaservc.log
07.07.2006 15:11 159 wiadebug.log
07.07.2006 15:11 51 iTouch.ini
07.07.2006 15:10 2.048 bootstat.dat
07.07.2006 12:56 32.570 SchedLgU.Txt
06.07.2006 21:56 356.393 setupapi.log
05.07.2006 23:38 116 NeroDigital.ini
05.07.2006 23:17 247.145 setupact.log
05.07.2006 20:50 6.400 balloon.wav
04.07.2006 02:57 75.144 wmsetup.log
02.07.2006 23:47 54.156 QTFont.qfn
28.06.2006 00:54 4.096 d3dx.dat
28.06.2006 00:53 4.855 DirectX.log
23.06.2006 23:51 1.409 QTFont.for
10.05.2006 01:52 0 msmasster11121.inf
05.05.2006 13:47 536.428.544 MEMORY.DMP
05.04.2006 18:54 505 DOKOPROF.INI
22.03.2006 14:09 1.240 eReg.dat
17.03.2006 23:59 993 dokop301.ini
14.03.2006 16:14 499 GEARInstall.log
11.03.2006 23:58 107.134 UninstallFirefox.exe
11.03.2006 23:58 3.514 mozver.dat
11.03.2006 23:31 0 nsreg.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\

07.07.2006 15:19 0 sys.txt
07.07.2006 15:19 6.338 system.txt
07.07.2006 15:19 343 systemtemp.txt
07.07.2006 15:19 98.002 system32.txt
07.07.2006 15:18 404 avenger.txt
07.07.2006 15:10 536.399.872 hiberfil.sys
07.07.2006 15:10 805.306.368 pagefile.sys
06.07.2006 13:55 3.348 pfind.txt
06.07.2006 13:28 309 log.txt
27.04.2006 08:34 3.540.637 D-CD-05 - Smooth.mp3
27.04.2006 08:34 2.975.893 D-CD-Aaliyah - 01 - Try Again.mp3
15.04.2006 11:03 0 itouch_config_crash_info.txt
15.04.2006 10:59 0 itouch_crash_info.txt

Dann zum Avenger.Entweder hab ich da was falsch gemacht, aber da krieg ich folgende Fehlermeldungen.

Error:Selected files does not apear to be a valid script

Den Rest mach ich dann erstmal.Hoffentlich krieg ich das hin.
Seitenanfang Seitenende
07.07.2006, 17:32
Member

Themenstarter

Beiträge: 54
#7 4.Fixwareout:

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DAC572D4F556-458B-EDE4-A35D-E15317A3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D1CA83B578FE-78FB-7284-B619-66031520{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}340F97917731-2D7A-4324-6A97-2CBE5555{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C68F1F4C7506-640A-EFB4-3CD3-1F0D70A4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8E124FB58446-AA69-B5C4-A304-07A2629F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}049186C33BA1-ECC9-57F4-4763-682C9570{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84A479791AAC-8DEB-7274-A3B8-20D4201B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}81B75F8AD082-D1A8-4DE4-B000-805961F0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D977B451CF17-C318-19C4-09D0-78230180{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A2CC81DC22E4-238B-EE44-5669-640A7ADC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CE782B5601DC-1968-BDF4-D286-B481B4FC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7A6C6A02C720-33BA-1584-9DA7-5C8BF02D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\sldmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

5.Hoster: Ich hoffe, ich hab das richtig gemacht :-)

6.Arbeitsplatz: Systemwiederherstellung ist eh immer schon deaktiviert gewesen.

7.Mit Ewido hab ich gescannt, aber(allerdings nicht im abgesicherten Modus, wie muss ich das nochmal machen, ist schon so lange her?) er findet immer noch diesen Adware.PSGuard

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 16:01:43 07.07.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\ShudderLTD -> Adware.PSGuard : Fehler während der Säuberung.
HKLM\SOFTWARE\ShudderLTD\PSGuard -> Adware.PSGuard : Fehler während der Säuberung.
HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard -> Adware.PSGuard : Fehler während der Säuberung.
HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License -> Adware.PSGuard : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 7.7.2006 15:42 66 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License* 22.7.2005 22:21 0 bytes Key name contains embedded nulls (*)
C:\WINDOWS\bhrax1.dll 6.7.2006 21:07 63.16 KB Hidden from Windows API.
C:\WINDOWS\system32 7.7.2006 16:05 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32:bopomofm.uce 7.7.2006 16:05 128.69 KB Hidden from Windows API.
Seitenanfang Seitenende
07.07.2006, 21:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip

- This.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab ..hier)

- psguardrem.reg (klicken) und der Registry beifuegen

---------------------------------------------------------------------

Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .......

Zitat

C:\WINDOWS\bhrax1.dll
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\pavas.ico
C:\WINDOWS\system32\{D20FB8C5-7AD9-4851-AB33-027C20A6C6A7}.exe
C:\WINDOWS\system32\{CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe
C:\WINDOWS\system32\{CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe
C:\WINDOWS\system32\{08103287-0D90-4C91-813C-71FC154B779D}.exe
C:\WINDOWS\system32\{1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll
C:\WINDOWS\system32\{0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe
C:\WINDOWS\system32\{97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe
C:\WINDOWS\system32\dmgfu.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
**
PC neustarten

arbeite smitfraud.fix ab (und poste beide scanreporte)
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\PSGuard" >>files.txt
dir "C:\Dokumente und Einstellungen\Stromi\Anwendungsdaten\PSGuard.com" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\Stromi\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
+
das neue Log vom HijackThis, nach Fixen (siehe oben)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 01:10
Member

Themenstarter

Beiträge: 54
#9 PSGuardrefix:

Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard

Creating dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Hiving Dummy / Saving Dummyhive ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Deleting Dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Adding Dummyhive ...........

Der Vorgang wurde erfolgreich ausgeführt.

Deleting ShudderLTD/PSGuard.com ...........

Der Vorgang wurde erfolgreich ausgeführt.

Checking if ShudderLTD/PSGuard.com is still present ..........


Deleting leftovers in registry ..........

Leftovers deleted!

2.smitfraud:

SmitFraudFix v2.68b

Scan done at 0:46:39,93, 08.07.2006
Run from E:\Exedateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stromi\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Stromi\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Rapport Nummer 2:

SmitFraudFix v2.68b

Scan done at 0:50:35,81, 08.07.2006
Run from E:\Exedateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Scanreport von HiJackthis:

Logfile of HijackThis v1.99.1
Scan saved at 01:10:03, on 08.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
E:\Exedateien\hijackthis\HijackThis.exe

O2 - BHO: Class - {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD} - C:\WINDOWS\bhrax1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Seitenanfang Seitenende
08.07.2006, 01:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 es ist noch nicht sauber, die Internetverbindung ist immer noch verstellt.
poste bitte noch mal die 4 logs von datfindbat und das log von rootkitrevealer.
+
das log vom Silentrunner (komplettes log)
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 02:48
Member

Themenstarter

Beiträge: 54
#11 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\system32

05.07.2006 20:50 5.214 {CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe
05.07.2006 20:50 45.568 {CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe
05.07.2006 20:50 4.608 {08103287-0D90-4C91-813C-71FC154B779D}.exe
05.07.2006 20:49 155.648 {1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll
05.07.2006 20:49 3.117 {0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe
05.07.2006 20:49 44.094 {97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe
04.07.2006 12:15 2.206 wpa.dbl
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log
26.03.2006 05:14 380.350 perfh009.dat
26.03.2006 05:14 52.764 perfc009.dat
26.03.2006 05:14 391.000 perfh007.dat
26.03.2006 05:14 63.580 perfc007.dat
26.03.2006 05:14 897.954 PerfStringBackup.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp

08.07.2006 01:13 206 jusched.log
27.02.2006 19:06 24.576 IadHide3.dll
2 Datei(en) 24.782 Bytes
0 Verzeichnis(se), 3.931.521.024 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS

08.07.2006 01:10 381.536 WindowsUpdate.log
08.07.2006 01:10 51 iTouch.ini
08.07.2006 01:04 0 0.log
08.07.2006 01:04 159 wiadebug.log
08.07.2006 01:04 50 wiaservc.log
08.07.2006 01:03 2.048 bootstat.dat
08.07.2006 01:02 32.570 SchedLgU.Txt
08.07.2006 00:53 247.385 setupact.log
08.07.2006 00:49 101.800 ntbtlog.txt
07.07.2006 19:38 116 NeroDigital.ini
06.07.2006 21:56 356.393 setupapi.log
04.07.2006 02:57 75.144 wmsetup.log
02.07.2006 23:47 54.156 QTFont.qfn
28.06.2006 00:54 4.096 d3dx.dat
28.06.2006 00:53 4.855 DirectX.log
23.06.2006 23:51 1.409 QTFont.for
10.05.2006 01:52 0 msmasster11121.inf
05.05.2006 13:47 536.428.544 MEMORY.DMP
05.04.2006 18:54 505 DOKOPROF.INI
22.03.2006 14:09 1.240 eReg.dat
17.03.2006 23:59 993 dokop301.ini
14.03.2006 16:14 499 GEARInstall.log
11.03.2006 23:58 107.134 UninstallFirefox.exe
11.03.2006 23:58 3.514 mozver.dat
11.03.2006 23:31 0 nsreg.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\

08.07.2006 01:55 0 sys.txt
08.07.2006 01:55 6.338 system.txt
08.07.2006 01:55 343 systemtemp.txt
08.07.2006 01:55 97.729 system32.txt
08.07.2006 01:03 536.399.872 hiberfil.sys
08.07.2006 01:03 805.306.368 pagefile.sys
08.07.2006 00:59 4.650 files.txt
08.07.2006 00:54 848 rapport2.txt
08.07.2006 00:53 848 rapport.txt
07.07.2006 17:32 521 RootkitReveal.txt
07.07.2006 15:25 404 avenger.txt
06.07.2006 13:55 3.348 pfind.txt
06.07.2006 13:28 309 log.txt
27.04.2006 08:34 3.540.637 D-CD-05 - Smooth.mp3
27.04.2006 08:34 2.975.893 D-CD-Aaliyah - 01 - Try Again.mp3
15.04.2006 11:03 0 itouch_config_crash_info.txt
15.04.2006 10:59 0 itouch_crash_info.txt

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 8.7.2006 01:05 66 bytes Windows API length not consistent with raw hive data.
C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@as-eu.falkag[1].txt 8.7.2006 01:59 609 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@as-eu.falkag[2].txt 8.7.2006 01:58 505 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@m1.webstats4u[1].txt 8.7.2006 01:58 96 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@m1.webstats4u[2].txt 8.7.2006 01:59 97 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\90[1].js 8.7.2006 01:59 264 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\CAKDEBGX.htm&u_h=768&u_w=1024&u_ah=740&u_aw=1024&u_cd=32&u_tz=120&u_java=true 8.7.2006 01:58 590 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\CAMR45WD.htm&u_h=768&u_w=1024&u_ah=740&u_aw=1024&u_cd=32&u_tz=120&u_java=true 8.7.2006 01:58 1.22 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\ecke2[1].gif 8.7.2006 01:59 456 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\hl1[1].gif 8.7.2006 01:59 975 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\imgad[1].gif 8.7.2006 01:59 32.13 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\menu_scripts[1].js 8.7.2006 01:59 4.41 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\06[1].js 8.7.2006 01:59 6.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CA81EXQQ.HTM 8.7.2006 01:59 1.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CACNS52V.HTM 8.7.2006 01:58 1.15 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CACTS1WZ.htm&u_h=768&u_w=1024&u_ah=740&u_aw=1024&u_cd=32&u_tz=120&u_java=true 8.7.2006 01:58 2.14 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CAM7CH1N.htm 8.7.2006 01:59 1.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CAW5UBS1.htm 8.7.2006 01:58 1.35 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\hand[1].jpg 8.7.2006 01:59 2.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\kostenlosanfordern[1].gif 8.7.2006 01:59 1.19 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\popup[1].htm 8.7.2006 01:59 10.30 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\sr_download[1].htm 8.7.2006 01:59 5.31 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\CAT3NGVN.htm 8.7.2006 01:59 2.88 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\CAT58DWN.HTM 8.7.2006 01:59 1.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\CAUDC7CV.htm 8.7.2006 01:58 2.94 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\ecke1[1].jpg 8.7.2006 01:59 1.09 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\md[1].js 8.7.2006 01:59 454 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\blur1[1].gif 8.7.2006 01:59 672 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CANVOHXP.htm 8.7.2006 01:59 7.34 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CASTK4NJ.HTM 8.7.2006 01:58 1.15 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CAZXWMLR.htm 8.7.2006 01:58 7.33 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\claim1[1].gif 8.7.2006 01:59 2.64 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\extas[1].htm 8.7.2006 01:59 1.12 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\hl2[1].gif 8.7.2006 01:59 516 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\n[1].gif 8.7.2006 01:58 156 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\n[2].gif 8.7.2006 01:59 156 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\site[1].css 8.7.2006 01:59 2.58 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\unionjack[1].gif 8.7.2006 01:59 2.06 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Stromi\Recent\Silent Runners.lnk 8.7.2006 01:59 409 bytes Hidden from Windows API.
C:\WINDOWS\bhrax1.dll 8.7.2006 00:26 63.16 KB Hidden from Windows API.
C:\WINDOWS\system32 8.7.2006 01:59 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32:bopomofm.uce 8.7.2006 01:59 128.69 KB Hidden from Windows API.


"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NBJ" = ""E:\Programme\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"]
"LDM" = "C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [null data]
"PcSync" = "E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog" ["Time Information Services Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"BDMCon" = "c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" ["SOFTWIN S.R.L."]
"BDOESRV" = "C:\Programme\Softwin\BitDefender8\\bdoesrv.exe" [null data]
"BDNewsAgent" = "c:\programme\softwin\bitdefender8\bdnagent.exe" [null data]
"BDSwitchAgent" = "C:\Programme\Softwin\BitDefender8\\bdswitch.exe" [null data]
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"EM_EXEC" = "C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]
"LDM" = "C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"PCSuiteTrayApplication" = "E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray" ["Nokia"]
"DataLayer" = "C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe" ["Nokia Mobile Phones Ltd."]
"!ewido" = ""C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Class"
\InProcServer32\(Default) = "C:\WINDOWS\bhrax1.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v8"
-> {HKLM...CLSID} = "BitDefender Antivirus v8"
\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {HKLM...CLSID} = "Contact View"
\InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {HKLM...CLSID} = "Message View"
\InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {HKLM...CLSID} = "BitDefender Antivirus v8"
\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"
-> {HKLM...CLSID} = "IMMenuShellExt Class"
\InProcServer32\(Default) = "C:\Programme\IncrediMail\bin\IMShExt.dll" ["IncrediMail, Ltd."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {HKLM...CLSID} = "BitDefender Antivirus v8"
\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Stromi" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe /start" [empty string]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)


Hoffe, das war alles :-)
Seitenanfang Seitenende
08.07.2006, 10:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 *

kopiere in den Avenger (siehe Anleitung auf meiner Seite) und probiere es so lange, bis es funktioniert...!!!

Zitat

Files to delete:

C:\WINDOWS\bhrax1.dll
C:\WINDOWS\system32\{CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe
C:\WINDOWS\system32\{CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe
C:\WINDOWS\system32\{08103287-0D90-4C91-813C-71FC154B779D}.exe
C:\WINDOWS\system32\{1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll
C:\WINDOWS\system32\{0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe
C:\WINDOWS\system32\{97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\90[1].js
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\menu_scripts[1].js
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\popup[1].htm
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\sr_download[1].htm
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\site[1].css
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CAZXWMLR.htm
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CANVOHXP.htm
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CASTK4NJ.HTM
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


fixe mit dem HijackThis:

Zitat

O2 - BHO: Class - {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD} - C:\WINDOWS\bhrax1.dll (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121
PC neustarten

Java-Cache zu leeren!
http://virus-protect.org/artikel/tools/javasun.html
Am einfachsten geht das mit CCleaner
hake auch die temporaeren Dateien mit an, damit sie geloescht werden.

dann poste das neue log vom hijackThis und die datfindbat-logs+ rootkitrevealer
+

Bitte nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, waehle Copy und fuege den bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 16:27
Member

Themenstarter

Beiträge: 54
#13 Logfile of HijackThis v1.99.1
Scan saved at 15:36:04, on 08.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
E:\Exedateien\gmer.exe
E:\Exedateien\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\

08.07.2006 15:37 0 sys.txt
08.07.2006 15:37 4.849 system.txt
08.07.2006 15:37 392 systemtemp.txt
08.07.2006 15:37 97.249 system32.txt
08.07.2006 15:20 536.399.872 hiberfil.sys
08.07.2006 15:20 805.306.368 pagefile.sys
08.07.2006 15:00 9.406 avenger.txt
08.07.2006 02:41 7.124 RootkitReveal.txt
08.07.2006 00:59 4.650 files.txt
08.07.2006 00:54 848 rapport2.txt
08.07.2006 00:53 848 rapport.txt
06.07.2006 13:55 3.348 pfind.txt
06.07.2006 13:28 309 log.txt
27.04.2006 08:34 3.540.637 D-CD-05 - Smooth.mp3
27.04.2006 08:34 2.975.893 D-CD-Aaliyah - 01 - Try Again.mp3
15.04.2006 11:03 0 itouch_config_crash_info.txt
15.04.2006 10:59 0 itouch_crash_info.txt
23.01.2006 15:36 429 datFind.bat
30.06.2005 10:47 211 boot.ini
28.05.2005 16:36 0 AUTOEXEC.BAT
28.05.2005 16:36 0 MSDOS.SYS
28.05.2005 16:36 0 CONFIG.SYS
28.05.2005 16:36 0 IO.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.08.2001 16:00 4.952 bootfont.bin
26 Datei(en) 1.348.656.133 Bytes
0 Verzeichnis(se), 4.525.260.800 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\system32

08.07.2006 15:20 199.344 FNTCACHE.DAT
04.07.2006 12:15 2.206 wpa.dbl
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp

08.07.2006 15:36 16.384 ~DF6B31.tmp
08.07.2006 15:30 412 jusched.log
27.02.2006 19:06 24.576 IadHide3.dll
3 Datei(en) 41.372 Bytes
0 Verzeichnis(se), 4.525.264.896 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS

08.07.2006 15:27 395.324 WindowsUpdate.log
08.07.2006 15:23 250 gmer.ini
08.07.2006 15:22 0 0.log
08.07.2006 15:22 50 wiaservc.log
08.07.2006 15:22 159 wiadebug.log
08.07.2006 15:21 51 iTouch.ini
08.07.2006 15:20 2.048 bootstat.dat
08.07.2006 15:20 32.570 SchedLgU.Txt
08.07.2006 15:18 528.446 gmer.dll
07.07.2006 19:38 116 NeroDigital.ini
02.07.2006 23:47 54.156 QTFont.qfn
28.06.2006 00:54 4.096 d3dx.dat
23.06.2006 23:51 1.409 QTFont.for
06.06.2006 20:49 745.531 gmer.exe
10.05.2006 01:52 0 msmasster11121.inf
05.04.2006 18:54 505 DOKOPROF.INI
22.03.2006 14:09 1.240 eReg.dat
17.03.2006 23:59 993 dokop301.ini
11.03.2006 23:58 107.134 UninstallFirefox.exe
11.03.2006 23:58 3.514 mozver.dat
11.03.2006 23:31 0 nsreg.dat

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 8.7.2006 15:22 66 bytes Windows API length not consistent with raw hive data.
C:\Avenger\bhrax1.dll 8.7.2006 15:00 63.16 KB Hidden from Windows API.
C:\WINDOWS\system32 8.7.2006 16:05 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32:bopomofm.uce 8.7.2006 16:05 128.69 KB Hidden from Windows API.


GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-07-08 16:24:44
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwClose
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwCreateKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwDeleteKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwDeleteValueKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwEnumerateKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwEnumerateValueKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwFlushKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwLoadKey
SSDT \??\C:\Programme\Softwin\BitDefender8\filespy.sys ZwOpenFile
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwOpenKey
SSDT \??\C:\Programme\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwQueryKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwQueryValueKey
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwSetValueKey
SSDT \??\C:\Programme\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess
SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwUnloadKey

---- Devices - GMER 1.0.10 ----

Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys

---- Files - GMER 1.0.10 ----

File C:\Avenger\bhrax1.dll
File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----
Seitenanfang Seitenende
08.07.2006, 17:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
loesche: C:\Avenger\bhrax1.dll

2.
versuche noch mal den F-Secure Blacklight anzuwenden, im abgesicherten modus, als Administrator ! ...speichere dann den scanreport und poste ihn

ansonsten sieht es (bis jetzt) gut aus, der 017-Eintrag ist verschwunden ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 17:39
Member

Themenstarter

Beiträge: 54
#15 1.
loesche: C:\Avenger\bhrax1.dll

Die Datei kann ich nicht löschen.Versuche C:\Avenger zu löschen, aber das geht nicht, weil das Verzeichnis angeblich nicht leer ist.:-(

2.
versuche noch mal den F-Secure Blacklight anzuwenden, im abgesicherten modus, als Administrator ! ...speichere dann den scanreport und poste ihn

Geht nicht, weder im normalen noch im abgesicherten als Admin.
Seitenanfang Seitenende