Home » Spyware & Browser Hijacker Support Forum » Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX.. » Themenansicht

Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX..
#0
13.07.2006, 22:24
Virus TRXXX
Member

Themenstarter

Beiträge: 14
#16 Was ist das denn nun wieder ???

Hier der Log von Fixwareout:


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\pagmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}81DDBCEEC0A9-E709-8A84-D8EA-C96F43D8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7170A76DE906-8F2A-DBF4-947B-A58B51E1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EE4EC2BCCCFC-E4A8-5AE4-F4F7-EC5D9DFC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BB59D4BD9622-636B-05D4-AF2A-0F4493CB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2C0B4652638E-AD2B-07D4-BEE6-AC19D29B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6AB036143792-EA8A-49E4-4BE4-E40B7B52{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DBC1CBEB0B34-3A88-E284-29A5-ACEF0E86{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}41A11D5365FB-C4C9-6114-E588-9782A874{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}48C36AAE177C-376A-17D4-0B65-45043D0E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}13D0DE209578-992A-E824-B769-2E4C18B5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}503B0AC2B5B9-1B39-2FF4-CFEE-8EB50344{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7DC82454AF53-E7D8-5264-B5F4-E0077FAD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}46355DE7FC74-74FB-3804-C502-DDCB7CFB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}28E5AE044B53-4628-72C4-AD0F-E2F8A9BB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}08E8E3ED8E90-7A38-1524-3330-A647CF6A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}07A54AA188C2-EE88-99E4-1999-82546791{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D6C95D3F8856-0AE9-E864-2957-A32ED021{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}236BA8BD735C-F33A-5074-DC36-87A873EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A1E1B2B8C789-E349-7A64-1550-93BCC73D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BB82669A0010-9E99-03D4-6D1B-173170B9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B45B83B6AA69-059B-DF64-AFB0-383ED081{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F5F79749559D-3D28-54E4-1D3D-F54260F6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF181EA56C34-D959-08A4-48D1-91D2F613{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}844A470BA0C7-E0EB-B3C4-913B-BD277E10{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}89C59797E499-CA88-20A4-87C2-7C6537E1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ED842E4A72D8-1BB9-B644-BB18-9E0276B4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}01DF0523F795-74EA-82F4-ED6C-ADE6B9C6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D600F6850816-89E8-E8C4-B328-95A83621{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}34E212BE7836-A799-6D34-FC94-AB2CC43B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9A1A8912AEB6-C7FA-B574-FE31-A258C9F6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5222EFF34070-D57B-27B4-D8D3-E7CD6FA2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FFB6B1DA8DE9-183A-66C4-B774-AC09F19B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7B48255B4BD9-470B-9BC4-3DAA-4BE731E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C65F6D8A28B3-0049-DA64-2C6F-6E66D6AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E2E8ED056B0-D65A-C1B4-816E-29225D1B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}738669267CFD-28F9-F7C4-AF6A-72D1AD9F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}25F851F1F8E2-E5E8-F3F4-624D-4F3F4D06{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DC384196DCD-59DA-41F4-BF7C-10C37FBF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D50207AAB569-8008-8384-1B77-06354E02{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF2CC6B4004B-F2BB-19C4-A8D5-47CD2FCB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FC693ABDB7EC-D6D9-1D84-6A83-17EE589B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1B01A4FE6405-91F9-7F54-3471-C7FF1E49{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}45429D9E4F3F-7C19-7754-5695-C7DD2BBB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}89A58E4E2A0B-48D9-7414-9558-44D46F0C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B4A892376485-36CB-EA44-3886-25F7CCC5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C746A36445B8-D4EA-8164-4908-DAC4BF78{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FABE49ADF7D3-B27B-9074-73B4-F194841D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2DE156A2F817-1CAB-8764-2D2C-8DDAE105{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CFD317179BC-9488-7E74-B89F-0D4B27DA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ECB494102DEB-711B-A034-A148-BBDCDF69{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1D6E33DC420F-9E7A-3264-E1C5-3603A2E0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}47C0D5BD6BF2-AD48-7D24-9EE6-CC17DC40{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B5A2BB31F788-8C4A-E6D4-B7DA-12449934{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8C52594F99C7-455A-D734-EEDB-BD94140C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}425EF1FE5DFE-20D8-3DF4-AFC8-052A17AA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E47C4891E789-79B9-E3A4-E83A-F22F8091{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CCC9B6B63E45-320B-FA04-A9E7-E073E1BB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5A8E579FDED4-4179-6A74-8A98-4E27AD26{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7F99A3DD1861-D709-7C74-73C3-29B7226F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}964B390698EA-9CBA-3684-BCA0-536DCF97{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
...

Random Runs removed from HKLM
"dmgap.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects
Directory of C:\WINDOWS\system32


Rootkit-Log kommt gleich....
Seitenanfang Seitenende
13.07.2006, 22:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 hast du den scan schon vom rootkitrevealer ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 00:16
Virus TRXXX
Member

Themenstarter

Beiträge: 14
#18 Hy,

dauert alle ziemlich lange...

So nun der Log vom RootKitRevealer:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 12.03.2004 02:14 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\ 151f437c-6b50-4411-8170-149ad5357749 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\ 6d50a284-d41f-4095-b60d-9c73415c5a85 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\ b953f22a-54e9-4b2c-ad68-c1e7a18e75b9 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\ c0b9cd8e-6627-4e5f-a9bb-e01182308ff8 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\151f437c-6b50-4411-8170-149ad5357749 23.08.23435 01:26 388 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\6d50a284-d41f-4095-b60d-9c73415c5a85 23.08.23435 01:26 388 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\b953f22a-54e9-4b2c-ad68-c1e7a18e75b9 23.08.23435 01:26 388 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1343024091-1060284298-1957994488-1003\c0b9cd8e-6627-4e5f-a9bb-e01182308ff8 23.08.23435 01:26 388 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\Perflib_Perfdata_778.dat 13.07.2006 22:41 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\~DF821C.tmp 13.07.2006 22:32 48.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6PW32X65\avast[1].png 13.07.2006 22:26 595 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6PW32X65\f-prot[1].png 13.07.2006 22:26 2.90 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6PW32X65\style[1].css 13.07.2006 22:26 2.03 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6PW32X65\valid-html401[1].gif 13.07.2006 22:26 2.33 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LKT6ZGT\antivir[1].png 13.07.2006 22:26 972 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LKT6ZGT\clamav-logo1[1].png 13.07.2006 22:26 4.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LKT6ZGT\t24251[2].htm 13.07.2006 22:29 82.92 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LKT6ZGT\una_logo[1].jpg 13.07.2006 22:26 17.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9E3S9AJ\arcabit[1].png 13.07.2006 22:26 2.75 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9E3S9AJ\norman[1].png 13.07.2006 22:26 816 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9E3S9AJ\t24251-2[1].htm 13.07.2006 22:31 9.04 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9E3S9AJ\t24251-2[2].htm 13.07.2006 22:31 34.38 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I38ZYFY1\gradient[1].gif 13.07.2006 22:26 2.13 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I38ZYFY1\vba32[1].png 13.07.2006 22:26 2.30 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I38ZYFY1\virus[1].gif 13.07.2006 22:26 204 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I38ZYFY1\virusbuster[1].gif 13.07.2006 22:26 3.55 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KROLUZGV\columnheader2[1].png 13.07.2006 22:26 365 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KROLUZGV\drweb[1].gif 13.07.2006 22:26 479 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KROLUZGV\kaspersky[1].png 13.07.2006 22:26 1.05 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MN2JMXUJ\ads[1].htm 13.07.2006 22:28 5.58 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MN2JMXUJ\avg[1].gif 13.07.2006 22:26 2.45 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MN2JMXUJ\de[1].png 13.07.2006 22:26 1.03 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MN2JMXUJ\debian[1].gif 13.07.2006 22:26 904 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MN2JMXUJ\t24251-lastpage[1].htm 13.07.2006 22:15 18.80 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MN2JMXUJ\t24251-lastpage[2].htm 13.07.2006 22:15 96.38 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MN2JMXUJ\virusscan.Jotti[1] 13.07.2006 22:26 14.63 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXGHA90Z\CALO439D 13.07.2006 22:26 1.96 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXGHA90Z\nod32[1].gif 13.07.2006 22:26 13.25 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXGHA90Z\show_ads[2].js 13.07.2006 22:26 6.92 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHIVGTIV\bitdefender[1].png 13.07.2006 22:26 1.49 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHIVGTIV\fortinet[1].gif 13.07.2006 22:26 2.25 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHIVGTIV\psv[1].js 13.07.2006 22:26 346 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHIVGTIV\t24251-lastpage[2].htm 13.07.2006 22:29 34.33 KB Hidden from Windows API.
C:\Programme\Spamihilator\SPA17C.tmp.log 13.07.2006 23:02 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\SPA17D.tmp.log 13.07.2006 23:02 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\SPA1EF.tmp.log 13.07.2006 23:17 300 bytes Hidden from Windows API.
C:\Programme\Spamihilator\SPA1F0.tmp.log 13.07.2006 23:17 449 bytes Hidden from Windows API.
C:\Programme\Spamihilator\SPA1F2.tmp.log 13.07.2006 23:17 306 bytes Hidden from Windows API.
C:\Programme\Spamihilator\SPA1F3.tmp.log 13.07.2006 23:17 509 bytes Hidden from Windows API.
C:\Programme\Spamihilator\SPA201.tmp.log 13.07.2006 23:19 0 bytes Visible in directory index, but not Windows API or MFT.
C:\Programme\Spamihilator\SPA202.tmp.log 13.07.2006 23:19 0 bytes Visible in directory index, but not Windows API or MFT.
C:\Programme\Spamihilator\SPA204.tmp.log 13.07.2006 23:19 0 bytes Visible in directory index, but not Windows API or MFT.
C:\Programme\Spamihilator\SPA205.tmp.log 13.07.2006 23:19 0 bytes Visible in directory index, but not Windows API or MFT.
C:\Programme\Spamihilator\SPA37.tmp.log 13.07.2006 22:19 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\SPA38.tmp.log 13.07.2006 22:19 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\training\e061f72c.training 13.07.2006 22:53 1.59 KB Hidden from Windows API.
C:\Programme\SPYWAREfighter\Signatures\1982.dat 13.07.2006 22:30 12.40 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf 13.07.2006 23:10 68.43 KB Hidden from Windows API.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ 4671eb9d-8f57-4db0-a6fc-efa68c7cf050 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ aff19ed2-ff6b-438e-a2ca-b192a5588b5c 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ d65996e7-4a2f-4327-a2c2-0d586511c2c5 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ eedffdbf-3515-4dac-aec2-e93971d15f97 22.07.1662 02:12 388 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\4671eb9d-8f57-4db0-a6fc-efa68c7cf050 23.08.23435 01:58 388 bytes Hidden from Windows API.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\aff19ed2-ff6b-438e-a2ca-b192a5588b5c 23.08.23435 01:28 388 bytes Hidden from Windows API.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\d65996e7-4a2f-4327-a2c2-0d586511c2c5 21.07.30742 18:04 388 bytes Hidden from Windows API.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\eedffdbf-3515-4dac-aec2-e93971d15f97 23.08.23435 01:30 388 bytes Hidden from Windows API.
Seitenanfang Seitenende
14.07.2006, 00:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 1.
schliesse alle offenen Programme:

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\SPYWAREfighter" >>files.txt
dir "C:\Programme\KillAndClean" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\System" >>files.txt
dir "C:\Programme\SPYWAREfighter" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 08:36
Virus TRXXX
Member

Themenstarter

Beiträge: 14
#20 Hy, hier die Ausgabe:



Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp

14.07.2006 08:14 <DIR> .
14.07.2006 08:14 <DIR> ..
14.07.2006 08:01 16.384 Perflib_Perfdata_4f0.dat
1 Datei(en) 16.384 Bytes
2 Verzeichnis(se), 32.639.225.856 Bytes frei


Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\WINDOWS\Temp

14.07.2006 07:59 <DIR> .
14.07.2006 07:59 <DIR> ..
12.07.2006 14:05 16.384 Perflib_Perfdata_128.dat
12.07.2006 16:12 16.384 Perflib_Perfdata_1a4.dat
13.07.2006 14:35 16.384 Perflib_Perfdata_1ac.dat
12.07.2006 15:39 16.384 Perflib_Perfdata_268.dat
13.07.2006 16:59 16.384 Perflib_Perfdata_294.dat
13.07.2006 22:09 16.384 Perflib_Perfdata_2d8.dat
13.07.2006 14:24 16.384 Perflib_Perfdata_2f8.dat
12.07.2006 14:05 16.384 Perflib_Perfdata_4f4.dat
13.07.2006 14:35 16.384 Perflib_Perfdata_574.dat
14.07.2006 07:57 16.384 Perflib_Perfdata_5d0.dat
12.07.2006 15:39 16.384 Perflib_Perfdata_718.dat
13.07.2006 14:24 16.384 Perflib_Perfdata_7bc.dat
12.07.2006 21:04 16.384 Perflib_Perfdata_844.dat
14.07.2006 07:57 16.384 Perflib_Perfdata_8b4.dat
12.07.2006 15:00 16.384 Perflib_Perfdata_910.dat
12.07.2006 16:12 16.384 Perflib_Perfdata_924.dat
13.07.2006 16:59 16.384 Perflib_Perfdata_944.dat
12.07.2006 21:04 16.384 Perflib_Perfdata_a44.dat
13.07.2006 22:09 16.384 Perflib_Perfdata_cc.dat
12.07.2006 14:59 16.384 Perflib_Perfdata_cf8.dat
20 Datei(en) 327.680 Bytes
2 Verzeichnis(se), 32.639.225.856 Bytes frei


Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Temp

31.07.2005 19:29 <DIR> .
31.07.2005 19:29 <DIR> ..
09.06.2006 14:46 0 EnhancedDataOutput.txt
1 Datei(en) 0 Bytes
2 Verzeichnis(se), 32.639.225.856 Bytes frei


Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Programme\Gemeinsame Dateien\System

20.04.2004 21:25 <DIR> .
20.04.2004 21:25 <DIR> ..
21.01.2005 17:07 <DIR> ado
23.10.2002 16:44 75.776 DIRECTDB.DLL
06.02.2002 16:49 <DIR> Mapi
21.01.2005 17:06 <DIR> msadc
21.01.2005 17:07 <DIR> Ole DB
02.03.2004 13:42 463.360 WAB32.DLL
29.08.2002 03:42 258.560 wab32res.dll
3 Datei(en) 797.696 Bytes
6 Verzeichnis(se), 32.639.221.760 Bytes frei


Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Programme\SPYWAREfighter

13.07.2006 11:02 <DIR> .
13.07.2006 11:02 <DIR> ..
12.10.2005 12:07 458.752 engine.dll
13.07.2006 14:22 <DIR> Graphics
12.07.2006 16:50 <DIR> Languages
14.07.2006 00:24 <DIR> Quarantine
03.05.2006 14:10 200.704 scdriver.dll
12.07.2006 17:00 <DIR> scimoreDB
02.05.2006 12:44 1.945.600 scimoredb.dll
13.07.2006 22:30 <DIR> Signatures
12.07.2006 16:50 0 spf.dat
14.07.2006 08:04 13.815 spf.log
03.04.2006 12:10 118.784 spfext.dll
10.05.2006 20:37 315.392 spfprc.exe
02.06.2006 01:08 225.280 spfrm.dll
20.12.2005 19:19 3.584 spyfighter.sys
01.06.2006 19:05 417.792 Spywarefighter.exe
04.05.2006 19:24 114.688 SpywareFighterBO.dll
11 Datei(en) 3.814.391 Bytes
7 Verzeichnis(se), 32.639.221.760 Bytes frei


Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Programme

12.07.2006 16:50 <DIR> .
12.07.2006 16:50 <DIR> ..
25.08.2003 10:27 <DIR> 0190 Alarm
08.09.2003 10:49 <DIR> Adobe
22.05.2005 21:40 <DIR> Ahead
16.11.2002 19:57 <DIR> AIM95
16.07.2004 17:23 <DIR> ALCATech
13.07.2006 10:17 <DIR> AntiVir PersonalEdition Classic
15.04.2004 14:52 <DIR> APDFPR
15.04.2004 14:48 <DIR> APDFPRP
18.06.2003 16:14 <DIR> ArcSoft
06.08.2003 21:08 <DIR> AVM_update
17.11.2002 21:04 <DIR> BeFaster
22.05.2005 22:15 <DIR> CDRWIN5
07.06.2002 15:36 <DIR> Citrix
12.07.2006 15:21 <DIR> CleanUp!
12.02.2004 10:23 <DIR> Common Files
06.02.2002 18:47 <DIR> Creative
27.06.2002 18:04 <DIR> Desktop Messenger
13.07.2006 10:20 <DIR> Digital Image
15.04.2002 14:37 <DIR> directx
01.11.2003 21:04 <DIR> DVBViewerTE
03.11.2002 14:18 <DIR> EA GAMES
09.11.2002 18:41 <DIR> eBay
22.05.2005 21:46 <DIR> Elaborate Bytes
27.07.2005 09:03 <DIR> EPSON
26.05.2006 12:20 <DIR> fmac
13.07.2006 10:21 <DIR> FRITZ!
13.07.2006 13:45 <DIR> Gemeinsame Dateien
07.04.2003 15:41 <DIR> gs
19.01.2006 13:43 <DIR> Handspring
21.01.2005 17:02 <DIR> Hewlett-Packard
13.07.2006 10:29 <DIR> ICQ
18.11.2005 19:24 <DIR> Illustrate
10.12.2005 19:58 457 INSTALL.LOG
13.07.2006 10:30 <DIR> Internet Explorer
11.05.2006 18:33 <DIR> iPod
13.07.2006 10:30 <DIR> iTunes
07.12.2005 21:09 <DIR> Java
03.08.2005 17:08 <DIR> Lavasoft
08.02.2002 15:38 <DIR> Lexmark International, Inc
16.11.2004 12:35 <DIR> Logitech
13.10.2002 13:49 <DIR> Messenger
14.07.2006 00:27 <DIR> Mozilla Firefox
27.01.2005 16:25 <DIR> MP3 Player Utilities V1.28
05.02.2002 17:40 <DIR> MSN
05.02.2002 17:40 <DIR> MSN Gaming Zone
26.02.2006 19:01 <DIR> Napster
28.03.2004 12:19 <DIR> NetMeeting
20.04.2003 10:43 <DIR> NovaLogic
08.05.2004 18:36 <DIR> ODSEdit
10.06.2004 17:13 <DIR> Outlook Express
17.05.2005 18:56 <DIR> PowerQuest
13.02.2005 12:47 <DIR> Preispiraten
13.07.2006 10:57 <DIR> QuickTime
15.11.2002 12:38 <DIR> Real
27.06.2002 18:04 <DIR> Resource Center
06.02.2002 15:15 <DIR> Roxio
10.09.2004 13:03 <DIR> SETI@home
12.04.2004 14:17 <DIR> SiSLan
12.10.2005 20:16 <DIR> Skype
28.11.2003 09:59 <DIR> SoundControl
14.07.2006 08:00 <DIR> Spamihilator
13.07.2006 11:02 <DIR> Spybot - Search & Destroy
13.07.2006 11:02 <DIR> SPYWAREfighter
25.05.2006 19:58 <DIR> Sygate
17.05.2005 18:45 <DIR> Symantec
23.07.2004 08:06 <DIR> SymNetDrv
09.03.2006 18:43 <DIR> teamspeak2_RC2
08.08.2003 08:50 <DIR> TTERMPRO
01.02.2005 22:32 <DIR> UFDisk
16.11.2002 19:57 <DIR> Viewpoint
13.07.2006 11:03 <DIR> WinAce
19.01.2006 13:43 <DIR> Winamp
18.11.2005 19:27 <DIR> Windows Media Player
05.02.2002 17:40 <DIR> Windows NT
13.07.2006 11:05 <DIR> WinRAR
13.07.2006 11:05 <DIR> WinZip
04.04.2006 19:24 <DIR> Wiso
19.01.2006 13:39 <DIR> WordToPDF
05.02.2002 17:45 <DIR> xerox
23.02.2003 15:51 <DIR> XTNDConnect PC
14.10.2003 13:11 <DIR> Yahoo!
1 Datei(en) 457 Bytes
110 Verzeichnis(se), 32.639.217.664 Bytes frei


Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Dokumente und Einstellungen\MDYK\Anwendungsdaten

06.08.2003 22:06 <DIR> 0190 Alarm
30.01.2005 12:14 <DIR> Adobe
04.07.2006 15:52 <DIR> AdobeUM
16.11.2002 19:57 <DIR> Aim
14.05.2006 14:10 <DIR> Apple Computer
08.01.2004 10:33 <DIR> FRITZ!
27.04.2006 08:07 20.336 GDIPFONTCACHEV1.DAT
16.03.2002 14:34 <DIR> Help
21.01.2005 17:12 <DIR> Hewlett-Packard
07.06.2002 15:58 <DIR> ICAClient
10.12.2005 19:58 <DIR> ICQ
05.02.2002 17:52 <DIR> Identities
17.05.2005 19:02 <DIR> IsolatedStorage
15.07.2003 16:03 38.831 iwatch.txt
20.02.2002 13:21 38.472 Microsoft Excel.ADR
27.02.2002 18:56 11.434 Microsoft Excel.TSK
16.08.2004 15:56 <DIR> Mozilla
25.03.2002 20:11 <DIR> MSN6
20.07.2004 08:09 <DIR> Phoenix
03.12.2002 11:52 <DIR> Real
30.12.2005 09:40 <DIR> Roxio
25.06.2006 16:21 <DIR> Skype
09.03.2006 13:20 <DIR> Spamihilator
12.08.2004 17:02 <DIR> Sun
16.08.2004 15:56 <DIR> Talkback
09.03.2006 19:02 <DIR> teamspeak2
18.02.2004 23:09 <DIR> Winamp3
14.10.2003 13:12 <DIR> Yahoo! Messenger
4 Datei(en) 109.073 Bytes
32 Verzeichnis(se), 32.639.213.568 Bytes frei

Datentr„ger in Laufwerk C: ist Systemplatte
Volumeseriennummer: XXXXX

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.07.2006 13:45 <DIR> .
13.07.2006 13:45 <DIR> ..
02.07.2004 16:56 <DIR> Adobe
22.05.2005 21:28 <DIR> Ahead
12.07.2006 16:50 <DIR> Application
06.08.2003 21:09 <DIR> AVM
16.03.2002 15:10 <DIR> Bcgsoft
01.05.2006 14:01 <DIR> Buhl Data Service
06.02.2002 16:51 <DIR> Designer
05.02.2002 17:42 <DIR> Dienste
21.01.2005 17:04 <DIR> Hewlett-Packard
18.06.2003 16:11 <DIR> InstallShield
12.08.2004 17:00 <DIR> Java
16.11.2004 12:35 <DIR> Logitech
08.02.2002 15:13 <DIR> mapserv
20.04.2004 21:24 <DIR> Microsoft Shared
05.02.2002 17:41 <DIR> MSSoap
22.05.2005 21:32 <DIR> Nero
21.12.2005 18:32 <DIR> NSV
05.02.2002 17:31 <DIR> ODBC
03.12.2002 11:52 <DIR> Real
01.08.2002 15:48 <DIR> Siemens AG Shared
05.02.2002 17:31 <DIR> SpeechEngines
17.05.2005 18:47 <DIR> Symantec Shared
20.04.2004 21:25 <DIR> System
22.05.2005 22:15 <DIR> Wise Installation Wizard
07.01.2000 11:53 696.320 XCMHook.dll
06.01.2000 15:57 24.576 XCPCMenu.exe
01.08.2002 15:49 <DIR> XCPCSync
03.12.2002 11:52 <DIR> xing shared
2 Datei(en) 720.896 Bytes
29 Verzeichnis(se), 32.639.213.568 Bytes frei

Ist hier irgendwas drin ???
Seitenanfang Seitenende
14.07.2006, 13:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 wann hast du SPYWAREfighter geladen ? Vor oder nach der Verseuchung ? (oder gleichzeitig ???? )

ueberpruefen: poste das log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 15:05
Virus TRXXX
Member

Themenstarter

Beiträge: 14
#22 Ich habe Spywarefighter geladen als ich hier im Board mich kundig gemacht habe - also nach der Verseuchung....

Hab ich in einem Thread gelesen....

Warum ?
Seitenanfang Seitenende
14.07.2006, 15:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 nun, es gibt mittlerweile soviele gefakte Tools, dass ich manchmal nachfragen muss ;)
Also.. wenn sich der 017-Eintrag wieder melden sollte- komme wieder, dann muessen wir "weitergraben"

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F7409E-6BC2-497E-A2B8-96D1FBF92042}: NameServer = 85.255.115.77,85.255.112.159

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 16:11
Virus TRXXX
Member

Themenstarter

Beiträge: 14
#24 Hab ihn nicht mehr drin...
Bin ich dann jetzt Clean ?
Ich weis - Ich weis, ganz sicher kann man sich nie sein, aber nachdem ich jetzt alles gemacht habe....?
Seitenanfang Seitenende
14.07.2006, 16:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 arbeite das ab und poste den report
http://virus-protect.org/artikel/tools/fprot.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 22:26
Virus TRXXX
Member

Themenstarter

Beiträge: 14
#26 Virus scanning report - 14 July 2006 @ 16:58

F-PROT ANTIVIRUS
Program version: 3.16f
Engine version: 3.16.13

VIRUS SIGNATURE FILES
SIGN.DEF created 13 June 2006
SIGN2.DEF created 13 June 2006
MACRO.DEF created 15 June 2006

Search: Local hard disks
Action: Report only
Files: "Dumb" scan of all files
Switches: /ARCHIVE /PACKED
No viruses found in memory.
Hard disk boot sectors were not scanned.

Scanning C:
C:\HIBERFIL.SYS Not scanned (in use by another application)
Scanning E:
E:\BACKUP~1\C_LAUF~1.V2I Not scanned (in use by another application)

Results of virus scanning:

Files: 10298
MBRs: 0
Boot sectors: 0
Objects scanned: 5999

Time: 3:19

No viruses or suspicious files/boot sectors were found.


Jetzt Sauber ???
Seitenanfang Seitenende
14.07.2006, 23:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 ja ;) es ist alles wieder o.k. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.07.2006, 23:41
Uli B
Member

Beiträge: 23
#28 click.526 und puper.bx sind auch bei mir auf dem Rechner. Noch machen Sie nicht regelmäßig Ärger, aber sie sollen runter.

Kann ich einfach den Anweisungen in diesem thread folgen? Mein Eindruck ist, daß ihr je nach Rechner und Programmen unterschiedliche Empfehlungen gebt.

Bitte helft mir durch diesen Dschungel.

Wie geht es los/weiter?

Vielen Dank im voraus,
Viele Grüße,
Uli
Seitenanfang Seitenende
18.07.2006, 07:57
Virus TRXXX
Member

Themenstarter

Beiträge: 14
#29 Hy,

geh einfach dem Tread nach und dann sollte es klappen - ansonsten mach dir einen eigenen Thread auf, damit man dir hier hilft !

Echt Super hier und noch mal vielen Dank an alle...

Gruß
Martin
Seitenanfang Seitenende
18.07.2006, 11:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Uli B

arbeite das zu beginn ab und poste die logs
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: