Was für ein Virus und wie krieg ich Ihn weg?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.07.2006, 22:29
Member
Beiträge: 54 |
||
|
||
06.07.2006, 17:59
Member
Themenstarter Beiträge: 54 |
#2
Hhm, weiss keiner Rat, was ich tun soll?
Habe mal Ewido laufen lassen und der hat ohne Ende gefunden, allerdings auch 2, die er wohl nicht vermag zu löschen. Ich poste mal hier die Berichte von Ewido und den neuen Log von Hijack. Achso, vielleicht noch dazu, mein virtueller Speicher scheint sich ziemlich schnell zu füllen, denn Ewido kann keinen vollständigen Scan durchführen ohne abzustürzen, dasselbe gilt auch für Bitdefender. --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 14:43:08 06.07.2006 + Scan-Ergebnis: [1464] VM_01DF0000 -> Trojan.Pakes : Fehler während der Säuberung. ::Berichtende --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 14:44:12 06.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\ShudderLTD -> Adware.PSGuard : Fehler während der Säuberung. HKLM\SOFTWARE\ShudderLTD\PSGuard -> Adware.PSGuard : Fehler während der Säuberung. HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard -> Adware.PSGuard : Fehler während der Säuberung. HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License -> Adware.PSGuard : Mit Backup gesäubert (unter Quarantäne gestellt). ::Berichtende Logfile of HijackThis v1.99.1 Scan saved at 17:58:45, on 06.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\iTunes\iTunesHelper.exe E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe E:\Exedateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - Default URLSearchHook is missing O1 - Hosts: localhost 127.0.0.1 O2 - BHO: Class - {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD} - C:\WINDOWS\bhrax1.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKLM\..\Run: [dmgfu.exe] C:\WINDOWS\system32\dmgfu.exe O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121 O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121 O17 - HKLM\System\CS1\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121 O17 - HKLM\System\CS2\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121 O20 - Winlogon Notify: lanmui - lanmui.dll (file missing) O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Wäre Euch wirklich dankbar füe eure Hilfe. Habe auch mal versucht cmd auszuführen, aber der PC schmiert kontinuierlich ab. Gruss J-L |
|
|
||
07.07.2006, 02:18
Ehrenmitglied
Beiträge: 29434 |
#3
deine Internetverbindung...geht in die Ukraine (wird umgeleitet)
1. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.07.2006, 10:09
Member
Themenstarter Beiträge: 54 |
#4
Hallo, sabina.
Schön, das Du Dich wieder um mich kümmerst :-) Was heisst meine Internetleitung geht in die Ukraine??? Meine Daten?? zu 1.:F-Secure Blacklight gibt folgendes von sich, wenn Du damit etwas anfangen kannst. "F-Secure Blacklight could not acquire necessary privileges(SeDebugPrivilege) -Your computer settings may prevent acquiring these privileges -A malicious program might have disabled these privilege" zu 2.: Hab ich gemacht, waren 7,8 GB.Und nach jedem Lauf kann er sofort wieder etwas löschen. zu 3.: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS\system32 06.07.2006 21:52 2.550 Uninstall.ico 06.07.2006 21:52 1.406 Help.ico 06.07.2006 21:52 30.590 pavas.ico 05.07.2006 20:50 424.718 {D20FB8C5-7AD9-4851-AB33-027C20A6C6A7}.exe 05.07.2006 20:50 5.214 {CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe 05.07.2006 20:50 45.568 {CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe 05.07.2006 20:50 4.608 {08103287-0D90-4C91-813C-71FC154B779D}.exe 05.07.2006 20:49 155.648 {1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll 05.07.2006 20:49 3.117 {0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe 05.07.2006 20:49 44.094 {97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe 04.07.2006 12:15 2.206 wpa.dbl 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log 26.03.2006 05:14 380.350 perfh009.dat 26.03.2006 05:14 52.764 perfc009.dat 26.03.2006 05:14 391.000 perfh007.dat 26.03.2006 05:14 63.580 perfc007.dat 26.03.2006 05:14 897.954 PerfStringBackup.INI Gruss J-L |
|
|
||
07.07.2006, 14:08
Ehrenmitglied
Beiträge: 29434 |
#5
1.
datfindbat hat 4 Logs, nicht nur eins.-> poste also unbedingt die fehlenden drei 1.Log Verzeichnis von C:\WINDOWS\system32 2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 3.Log Verzeichnis von C:\WINDOWS 4.Log Verzeichnis von C:\ 2. avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom Avenger, was erscheint 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked-->PC neustarten Zitat R3 - Default URLSearchHook is missingPC neustarten neue Internetverbindung erstellen - >manuell mit den Zugangsdaten des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. 4. Download FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten 5. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 6. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 7. scanne noch mal mit ewido (am besten im abgesicherten Modus) 8. RootkitRevealer-> poste den scanreport http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.07.2006, 15:27
Member
Themenstarter Beiträge: 54 |
#6
So, erst einmal die 4 Logs, sorry, war mein Fehler.
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS\system32 06.07.2006 21:52 2.550 Uninstall.ico 06.07.2006 21:52 1.406 Help.ico 06.07.2006 21:52 30.590 pavas.ico 05.07.2006 20:50 424.718 {D20FB8C5-7AD9-4851-AB33-027C20A6C6A7}.exe 05.07.2006 20:50 5.214 {CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe 05.07.2006 20:50 45.568 {CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe 05.07.2006 20:50 4.608 {08103287-0D90-4C91-813C-71FC154B779D}.exe 05.07.2006 20:49 155.648 {1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll 05.07.2006 20:49 3.117 {0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe 05.07.2006 20:49 44.094 {97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe 04.07.2006 12:15 2.206 wpa.dbl 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log 26.03.2006 05:14 380.350 perfh009.dat 26.03.2006 05:14 52.764 perfc009.dat 26.03.2006 05:14 391.000 perfh007.dat 26.03.2006 05:14 63.580 perfc007.dat 26.03.2006 05:14 897.954 PerfStringBackup.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp 07.07.2006 12:32 618 jusched.log 27.02.2006 19:06 24.576 IadHide3.dll 2 Datei(en) 25.194 Bytes 0 Verzeichnis(se), 3.937.816.576 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS 07.07.2006 15:17 358.671 WindowsUpdate.log 07.07.2006 15:12 0 0.log 07.07.2006 15:11 50 wiaservc.log 07.07.2006 15:11 159 wiadebug.log 07.07.2006 15:11 51 iTouch.ini 07.07.2006 15:10 2.048 bootstat.dat 07.07.2006 12:56 32.570 SchedLgU.Txt 06.07.2006 21:56 356.393 setupapi.log 05.07.2006 23:38 116 NeroDigital.ini 05.07.2006 23:17 247.145 setupact.log 05.07.2006 20:50 6.400 balloon.wav 04.07.2006 02:57 75.144 wmsetup.log 02.07.2006 23:47 54.156 QTFont.qfn 28.06.2006 00:54 4.096 d3dx.dat 28.06.2006 00:53 4.855 DirectX.log 23.06.2006 23:51 1.409 QTFont.for 10.05.2006 01:52 0 msmasster11121.inf 05.05.2006 13:47 536.428.544 MEMORY.DMP 05.04.2006 18:54 505 DOKOPROF.INI 22.03.2006 14:09 1.240 eReg.dat 17.03.2006 23:59 993 dokop301.ini 14.03.2006 16:14 499 GEARInstall.log 11.03.2006 23:58 107.134 UninstallFirefox.exe 11.03.2006 23:58 3.514 mozver.dat 11.03.2006 23:31 0 nsreg.dat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\ 07.07.2006 15:19 0 sys.txt 07.07.2006 15:19 6.338 system.txt 07.07.2006 15:19 343 systemtemp.txt 07.07.2006 15:19 98.002 system32.txt 07.07.2006 15:18 404 avenger.txt 07.07.2006 15:10 536.399.872 hiberfil.sys 07.07.2006 15:10 805.306.368 pagefile.sys 06.07.2006 13:55 3.348 pfind.txt 06.07.2006 13:28 309 log.txt 27.04.2006 08:34 3.540.637 D-CD-05 - Smooth.mp3 27.04.2006 08:34 2.975.893 D-CD-Aaliyah - 01 - Try Again.mp3 15.04.2006 11:03 0 itouch_config_crash_info.txt 15.04.2006 10:59 0 itouch_crash_info.txt Dann zum Avenger.Entweder hab ich da was falsch gemacht, aber da krieg ich folgende Fehlermeldungen. Error:Selected files does not apear to be a valid script Den Rest mach ich dann erstmal.Hoffentlich krieg ich das hin. |
|
|
||
07.07.2006, 17:32
Member
Themenstarter Beiträge: 54 |
#7
4.Fixwareout:
Fixwareout ver 1.003 Last edited 07/1/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DAC572D4F556-458B-EDE4-A35D-E15317A3{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D1CA83B578FE-78FB-7284-B619-66031520{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}340F97917731-2D7A-4324-6A97-2CBE5555{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C68F1F4C7506-640A-EFB4-3CD3-1F0D70A4{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8E124FB58446-AA69-B5C4-A304-07A2629F{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}049186C33BA1-ECC9-57F4-4763-682C9570{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84A479791AAC-8DEB-7274-A3B8-20D4201B{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}81B75F8AD082-D1A8-4DE4-B000-805961F0{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D977B451CF17-C318-19C4-09D0-78230180{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A2CC81DC22E4-238B-EE44-5669-640A7ADC{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CE782B5601DC-1968-BDF4-D286-B481B4FC{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7A6C6A02C720-33BA-1584-9DA7-5C8BF02D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\sldmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is legitimate »»»»» Search by size and names... 5.Hoster: Ich hoffe, ich hab das richtig gemacht :-) 6.Arbeitsplatz: Systemwiederherstellung ist eh immer schon deaktiviert gewesen. 7.Mit Ewido hab ich gescannt, aber(allerdings nicht im abgesicherten Modus, wie muss ich das nochmal machen, ist schon so lange her?) er findet immer noch diesen Adware.PSGuard --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 16:01:43 07.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\ShudderLTD -> Adware.PSGuard : Fehler während der Säuberung. HKLM\SOFTWARE\ShudderLTD\PSGuard -> Adware.PSGuard : Fehler während der Säuberung. HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard -> Adware.PSGuard : Fehler während der Säuberung. HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License -> Adware.PSGuard : Mit Backup gesäubert (unter Quarantäne gestellt). ::Berichtende HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 7.7.2006 15:42 66 bytes Windows API length not consistent with raw hive data. HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License* 22.7.2005 22:21 0 bytes Key name contains embedded nulls (*) C:\WINDOWS\bhrax1.dll 6.7.2006 21:07 63.16 KB Hidden from Windows API. C:\WINDOWS\system32 7.7.2006 16:05 0 bytes Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32:bopomofm.uce 7.7.2006 16:05 128.69 KB Hidden from Windows API. |
|
|
||
07.07.2006, 21:02
Ehrenmitglied
Beiträge: 29434 |
#8
1.
Lade diese zip-Datei, entpacke http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip - This.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab ..hier) - psguardrem.reg (klicken) und der Registry beifuegen --------------------------------------------------------------------- Pocket KillBox http://virus-protect.org/killbox.html Options: "Delete on Reboot" und "Single File"--> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ....... Zitat C:\WINDOWS\bhrax1.dll** PC neustarten arbeite smitfraud.fix ab (und poste beide scanreporte) http://virus-protect.org/artikel/tools/smitfrautfix.html ** Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\+ das neue Log vom HijackThis, nach Fixen (siehe oben) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.07.2006, 01:10
Member
Themenstarter Beiträge: 54 |
#9
PSGuardrefix:
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ........... Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ........... ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard Creating dummy .......... Der Vorgang wurde erfolgreich ausgeführt. Der Vorgang wurde erfolgreich ausgeführt. Hiving Dummy / Saving Dummyhive .......... Der Vorgang wurde erfolgreich ausgeführt. Der Vorgang wurde erfolgreich ausgeführt. Deleting Dummy .......... Der Vorgang wurde erfolgreich ausgeführt. Der Vorgang wurde erfolgreich ausgeführt. Adding Dummyhive ........... Der Vorgang wurde erfolgreich ausgeführt. Deleting ShudderLTD/PSGuard.com ........... Der Vorgang wurde erfolgreich ausgeführt. Checking if ShudderLTD/PSGuard.com is still present .......... Deleting leftovers in registry .......... Leftovers deleted! 2.smitfraud: SmitFraudFix v2.68b Scan done at 0:46:39,93, 08.07.2006 Run from E:\Exedateien\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stromi\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Stromi\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Rapport Nummer 2: SmitFraudFix v2.68b Scan done at 0:50:35,81, 08.07.2006 Run from E:\Exedateien\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Scanreport von HiJackthis: Logfile of HijackThis v1.99.1 Scan saved at 01:10:03, on 08.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe C:\Programme\iTunes\iTunesHelper.exe E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\Programme\Softwin\BitDefender8\bdmcon.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe E:\Exedateien\hijackthis\HijackThis.exe O2 - BHO: Class - {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD} - C:\WINDOWS\bhrax1.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
|
|
||
08.07.2006, 01:27
Ehrenmitglied
Beiträge: 29434 |
#10
es ist noch nicht sauber, die Internetverbindung ist immer noch verstellt.
poste bitte noch mal die 4 logs von datfindbat und das log von rootkitrevealer. + das log vom Silentrunner (komplettes log) http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.07.2006, 02:48
Member
Themenstarter Beiträge: 54 |
#11
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS\system32 05.07.2006 20:50 5.214 {CF4B184B-682D-4FDB-8691-CD1065B287EC}.exe 05.07.2006 20:50 45.568 {CDA7A046-9665-44EE-B832-4E22CD18CC2A}.exe 05.07.2006 20:50 4.608 {08103287-0D90-4C91-813C-71FC154B779D}.exe 05.07.2006 20:49 155.648 {1C79A3E1-CFEB-4E64-B13E-2A1802947602}.dll 05.07.2006 20:49 3.117 {0F169508-000B-4ED4-8A1D-280DA8F57B18}.exe 05.07.2006 20:49 44.094 {97F3460A-90AE-46BF-AABF-5D4FBE1A62D7}.exe 04.07.2006 12:15 2.206 wpa.dbl 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log 26.03.2006 05:14 380.350 perfh009.dat 26.03.2006 05:14 52.764 perfc009.dat 26.03.2006 05:14 391.000 perfh007.dat 26.03.2006 05:14 63.580 perfc007.dat 26.03.2006 05:14 897.954 PerfStringBackup.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp 08.07.2006 01:13 206 jusched.log 27.02.2006 19:06 24.576 IadHide3.dll 2 Datei(en) 24.782 Bytes 0 Verzeichnis(se), 3.931.521.024 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS 08.07.2006 01:10 381.536 WindowsUpdate.log 08.07.2006 01:10 51 iTouch.ini 08.07.2006 01:04 0 0.log 08.07.2006 01:04 159 wiadebug.log 08.07.2006 01:04 50 wiaservc.log 08.07.2006 01:03 2.048 bootstat.dat 08.07.2006 01:02 32.570 SchedLgU.Txt 08.07.2006 00:53 247.385 setupact.log 08.07.2006 00:49 101.800 ntbtlog.txt 07.07.2006 19:38 116 NeroDigital.ini 06.07.2006 21:56 356.393 setupapi.log 04.07.2006 02:57 75.144 wmsetup.log 02.07.2006 23:47 54.156 QTFont.qfn 28.06.2006 00:54 4.096 d3dx.dat 28.06.2006 00:53 4.855 DirectX.log 23.06.2006 23:51 1.409 QTFont.for 10.05.2006 01:52 0 msmasster11121.inf 05.05.2006 13:47 536.428.544 MEMORY.DMP 05.04.2006 18:54 505 DOKOPROF.INI 22.03.2006 14:09 1.240 eReg.dat 17.03.2006 23:59 993 dokop301.ini 14.03.2006 16:14 499 GEARInstall.log 11.03.2006 23:58 107.134 UninstallFirefox.exe 11.03.2006 23:58 3.514 mozver.dat 11.03.2006 23:31 0 nsreg.dat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\ 08.07.2006 01:55 0 sys.txt 08.07.2006 01:55 6.338 system.txt 08.07.2006 01:55 343 systemtemp.txt 08.07.2006 01:55 97.729 system32.txt 08.07.2006 01:03 536.399.872 hiberfil.sys 08.07.2006 01:03 805.306.368 pagefile.sys 08.07.2006 00:59 4.650 files.txt 08.07.2006 00:54 848 rapport2.txt 08.07.2006 00:53 848 rapport.txt 07.07.2006 17:32 521 RootkitReveal.txt 07.07.2006 15:25 404 avenger.txt 06.07.2006 13:55 3.348 pfind.txt 06.07.2006 13:28 309 log.txt 27.04.2006 08:34 3.540.637 D-CD-05 - Smooth.mp3 27.04.2006 08:34 2.975.893 D-CD-Aaliyah - 01 - Try Again.mp3 15.04.2006 11:03 0 itouch_config_crash_info.txt 15.04.2006 10:59 0 itouch_crash_info.txt HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 8.7.2006 01:05 66 bytes Windows API length not consistent with raw hive data. C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@as-eu.falkag[1].txt 8.7.2006 01:59 609 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@as-eu.falkag[2].txt 8.7.2006 01:58 505 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@m1.webstats4u[1].txt 8.7.2006 01:58 96 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Cookies\stromi@m1.webstats4u[2].txt 8.7.2006 01:59 97 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\90[1].js 8.7.2006 01:59 264 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\CAKDEBGX.htm&u_h=768&u_w=1024&u_ah=740&u_aw=1024&u_cd=32&u_tz=120&u_java=true 8.7.2006 01:58 590 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\CAMR45WD.htm&u_h=768&u_w=1024&u_ah=740&u_aw=1024&u_cd=32&u_tz=120&u_java=true 8.7.2006 01:58 1.22 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\ecke2[1].gif 8.7.2006 01:59 456 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\hl1[1].gif 8.7.2006 01:59 975 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\imgad[1].gif 8.7.2006 01:59 32.13 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ORBC6D0\menu_scripts[1].js 8.7.2006 01:59 4.41 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\06[1].js 8.7.2006 01:59 6.08 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CA81EXQQ.HTM 8.7.2006 01:59 1.15 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CACNS52V.HTM 8.7.2006 01:58 1.15 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CACTS1WZ.htm&u_h=768&u_w=1024&u_ah=740&u_aw=1024&u_cd=32&u_tz=120&u_java=true 8.7.2006 01:58 2.14 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CAM7CH1N.htm 8.7.2006 01:59 1.40 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\CAW5UBS1.htm 8.7.2006 01:58 1.35 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\hand[1].jpg 8.7.2006 01:59 2.08 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\kostenlosanfordern[1].gif 8.7.2006 01:59 1.19 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\popup[1].htm 8.7.2006 01:59 10.30 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIBGXUF\sr_download[1].htm 8.7.2006 01:59 5.31 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\CAT3NGVN.htm 8.7.2006 01:59 2.88 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\CAT58DWN.HTM 8.7.2006 01:59 1.15 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\CAUDC7CV.htm 8.7.2006 01:58 2.94 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\ecke1[1].jpg 8.7.2006 01:59 1.09 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SO5IA7ZG\md[1].js 8.7.2006 01:59 454 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\blur1[1].gif 8.7.2006 01:59 672 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CANVOHXP.htm 8.7.2006 01:59 7.34 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CASTK4NJ.HTM 8.7.2006 01:58 1.15 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\CAZXWMLR.htm 8.7.2006 01:58 7.33 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\claim1[1].gif 8.7.2006 01:59 2.64 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\extas[1].htm 8.7.2006 01:59 1.12 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\hl2[1].gif 8.7.2006 01:59 516 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\n[1].gif 8.7.2006 01:58 156 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\n[2].gif 8.7.2006 01:59 156 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\site[1].css 8.7.2006 01:59 2.58 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T34DZ1UQ\unionjack[1].gif 8.7.2006 01:59 2.06 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Stromi\Recent\Silent Runners.lnk 8.7.2006 01:59 409 bytes Hidden from Windows API. C:\WINDOWS\bhrax1.dll 8.7.2006 00:26 63.16 KB Hidden from Windows API. C:\WINDOWS\system32 8.7.2006 01:59 0 bytes Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32:bopomofm.uce 8.7.2006 01:59 128.69 KB Hidden from Windows API. "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NBJ" = ""E:\Programme\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"] "LDM" = "C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [null data] "PcSync" = "E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog" ["Time Information Services Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "BDMCon" = "c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" ["SOFTWIN S.R.L."] "BDOESRV" = "C:\Programme\Softwin\BitDefender8\\bdoesrv.exe" [null data] "BDNewsAgent" = "c:\programme\softwin\bitdefender8\bdnagent.exe" [null data] "BDSwitchAgent" = "C:\Programme\Softwin\BitDefender8\\bdswitch.exe" [null data] "zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."] "EM_EXEC" = "C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "] "LDM" = "C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe" [null data] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."] "PCSuiteTrayApplication" = "E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray" ["Nokia"] "DataLayer" = "C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe" ["Nokia Mobile Phones Ltd."] "!ewido" = ""C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized" ["Anti-Malware Development a.s."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD}\(Default) = (no title provided) -> {HKLM...CLSID} = "Class" \InProcServer32\(Default) = "C:\WINDOWS\bhrax1.dll" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v8" -> {HKLM...CLSID} = "BitDefender Antivirus v8" \InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser" -> {HKLM...CLSID} = "Nokia Phone Browser" \InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View" -> {HKLM...CLSID} = "Contact View" \InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"] "{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View" -> {HKLM...CLSID} = "Message View" \InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" -> {HKLM...CLSID} = "BitDefender Antivirus v8" \InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}" -> {HKLM...CLSID} = "IMMenuShellExt Class" \InProcServer32\(Default) = "C:\Programme\IncrediMail\bin\IMShExt.dll" ["IncrediMail, Ltd."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" -> {HKLM...CLSID} = "BitDefender Antivirus v8" \InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Stromi" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe /start" [empty string] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) Hoffe, das war alles :-) |
|
|
||
08.07.2006, 10:12
Ehrenmitglied
Beiträge: 29434 |
#12
*
kopiere in den Avenger (siehe Anleitung auf meiner Seite) und probiere es so lange, bis es funktioniert...!!! Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten fixe mit dem HijackThis: Zitat O2 - BHO: Class - {69FDDA0E-BC08-CB64-5B90-E2CF6D9BD1BD} - C:\WINDOWS\bhrax1.dll (file missing)PC neustarten Java-Cache zu leeren! http://virus-protect.org/artikel/tools/javasun.html Am einfachsten geht das mit CCleaner hake auch die temporaeren Dateien mit an, damit sie geloescht werden. dann poste das neue log vom hijackThis und die datfindbat-logs+ rootkitrevealer + Bitte nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, waehle Copy und fuege den bericht ein. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.07.2006, 16:27
Member
Themenstarter Beiträge: 54 |
#13
Logfile of HijackThis v1.99.1
Scan saved at 15:36:04, on 08.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe C:\Programme\iTunes\iTunesHelper.exe E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\Programme\Softwin\BitDefender8\bdmcon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe E:\Exedateien\gmer.exe E:\Exedateien\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\ 08.07.2006 15:37 0 sys.txt 08.07.2006 15:37 4.849 system.txt 08.07.2006 15:37 392 systemtemp.txt 08.07.2006 15:37 97.249 system32.txt 08.07.2006 15:20 536.399.872 hiberfil.sys 08.07.2006 15:20 805.306.368 pagefile.sys 08.07.2006 15:00 9.406 avenger.txt 08.07.2006 02:41 7.124 RootkitReveal.txt 08.07.2006 00:59 4.650 files.txt 08.07.2006 00:54 848 rapport2.txt 08.07.2006 00:53 848 rapport.txt 06.07.2006 13:55 3.348 pfind.txt 06.07.2006 13:28 309 log.txt 27.04.2006 08:34 3.540.637 D-CD-05 - Smooth.mp3 27.04.2006 08:34 2.975.893 D-CD-Aaliyah - 01 - Try Again.mp3 15.04.2006 11:03 0 itouch_config_crash_info.txt 15.04.2006 10:59 0 itouch_crash_info.txt 23.01.2006 15:36 429 datFind.bat 30.06.2005 10:47 211 boot.ini 28.05.2005 16:36 0 AUTOEXEC.BAT 28.05.2005 16:36 0 MSDOS.SYS 28.05.2005 16:36 0 CONFIG.SYS 28.05.2005 16:36 0 IO.SYS 03.08.2004 22:59 251.184 ntldr 03.08.2004 22:38 47.564 NTDETECT.COM 18.08.2001 16:00 4.952 bootfont.bin 26 Datei(en) 1.348.656.133 Bytes 0 Verzeichnis(se), 4.525.260.800 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS\system32 08.07.2006 15:20 199.344 FNTCACHE.DAT 04.07.2006 12:15 2.206 wpa.dbl 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 01.04.2006 09:07 7.006 jupdate-1.5.0_06-b05.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp 08.07.2006 15:36 16.384 ~DF6B31.tmp 08.07.2006 15:30 412 jusched.log 27.02.2006 19:06 24.576 IadHide3.dll 3 Datei(en) 41.372 Bytes 0 Verzeichnis(se), 4.525.264.896 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS 08.07.2006 15:27 395.324 WindowsUpdate.log 08.07.2006 15:23 250 gmer.ini 08.07.2006 15:22 0 0.log 08.07.2006 15:22 50 wiaservc.log 08.07.2006 15:22 159 wiadebug.log 08.07.2006 15:21 51 iTouch.ini 08.07.2006 15:20 2.048 bootstat.dat 08.07.2006 15:20 32.570 SchedLgU.Txt 08.07.2006 15:18 528.446 gmer.dll 07.07.2006 19:38 116 NeroDigital.ini 02.07.2006 23:47 54.156 QTFont.qfn 28.06.2006 00:54 4.096 d3dx.dat 23.06.2006 23:51 1.409 QTFont.for 06.06.2006 20:49 745.531 gmer.exe 10.05.2006 01:52 0 msmasster11121.inf 05.04.2006 18:54 505 DOKOPROF.INI 22.03.2006 14:09 1.240 eReg.dat 17.03.2006 23:59 993 dokop301.ini 11.03.2006 23:58 107.134 UninstallFirefox.exe 11.03.2006 23:58 3.514 mozver.dat 11.03.2006 23:31 0 nsreg.dat HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 8.7.2006 15:22 66 bytes Windows API length not consistent with raw hive data. C:\Avenger\bhrax1.dll 8.7.2006 15:00 63.16 KB Hidden from Windows API. C:\WINDOWS\system32 8.7.2006 16:05 0 bytes Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32:bopomofm.uce 8.7.2006 16:05 128.69 KB Hidden from Windows API. GMER 1.0.10.10122 - http://www.gmer.net Rootkit 2006-07-08 16:24:44 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.10 ---- SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwClose SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwCreateKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwDeleteKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwDeleteValueKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwEnumerateKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwEnumerateValueKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwFlushKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwLoadKey SSDT \??\C:\Programme\Softwin\BitDefender8\filespy.sys ZwOpenFile SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwOpenKey SSDT \??\C:\Programme\ewido anti-spyware 4.0\guard.sys ZwOpenProcess SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwQueryKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwQueryValueKey SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwSetValueKey SSDT \??\C:\Programme\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess SSDT \??\C:\Programme\Softwin\BitDefender8\regspy.sys ZwUnloadKey ---- Devices - GMER 1.0.10 ---- Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 IRP_MJ_SHUTDOWN [F87C6D60] sfsync02.sys ---- Files - GMER 1.0.10 ---- File C:\Avenger\bhrax1.dll File C:\System Volume Information\MountPointManagerRemoteDatabase File C:\System Volume Information\tracking.log ---- EOF - GMER 1.0.10 ---- |
|
|
||
08.07.2006, 17:17
Ehrenmitglied
Beiträge: 29434 |
#14
1.
loesche: C:\Avenger\bhrax1.dll 2. versuche noch mal den F-Secure Blacklight anzuwenden, im abgesicherten modus, als Administrator ! ...speichere dann den scanreport und poste ihn ansonsten sieht es (bis jetzt) gut aus, der 017-Eintrag ist verschwunden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.07.2006, 17:39
Member
Themenstarter Beiträge: 54 |
#15
1.
loesche: C:\Avenger\bhrax1.dll Die Datei kann ich nicht löschen.Versuche C:\Avenger zu löschen, aber das geht nicht, weil das Verzeichnis angeblich nicht leer ist.:-( 2. versuche noch mal den F-Secure Blacklight anzuwenden, im abgesicherten modus, als Administrator ! ...speichere dann den scanreport und poste ihn Geht nicht, weder im normalen noch im abgesicherten als Admin. |
|
|
||
Ich hab mir was eingefangen, aber weiss nicht was, deswegen poste ich mal die Logfile von Hijackthis und vielleicht könnt Ihr mir sagen, was ich mir da eingefangen hab.
Logfile of HijackThis v1.99.1
Scan saved at 22:24:42, on 05.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Exedateien\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Class - {FF99367F-97CB-E438-B0AA-2818ECD2BB70} - C:\WINDOWS\bhrax1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [dmcwc.exe] C:\WINDOWS\system32\dmcwc.exe
O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\..\{4C9FB743-1D17-4B5E-8EB5-9366C4E38AC3}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.121
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Wäre schön, wenn Ihr mir wieder einmal helfen könntet.
Danke im voraus.