Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX..

#0
12.07.2006, 15:51
Member

Beiträge: 14
#1 Hallo,
habe seid 3 Tagen das Problem, das mein Antivirus reglmäßig sagt (Alle 5-10 Minuten), es wären Trojaner auf meinem Rechner...
Habe das Gefühl, das ein Programm läuft, das immer ide Dinger aus dem Netz ziehen will...
Die Trojaner, die AntiVir anmeckert sind:

TR/Agent.RI
TR/Click.526
TR/Puper.BX
TR/Dldr.BNSChan.R.5

Hier mein HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:43:12, on 12.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\MDYK\Desktop\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [szbyt.exe] C:\WINDOWS\System32\szbyt.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Monitor.lnk = C:\Programme\Digital Image\Monitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} - http://otx.ifilm.com/OTXMedia/OTXMedia.dll
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{17ECF4C9-27CB-4907-901B-031C09672D9A}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{24B06757-8346-4164-9F9B-C67AFAA534FF}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CCABDE8-D8A3-4FF8-8D4C-688E6FDF4C7F}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E907833-69D8-4529-87A3-C508C2211D3D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB695C5B-9611-40D0-B7CA-3479B6A154B5}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F7409E-6BC2-497E-A2B8-96D1FBF92042}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe



Kann mir hier irgendjemand helfen, ich hab davon nicht so den Plan, was muß ich machen ????

Danke im Voraus !
Seitenanfang Seitenende
12.07.2006, 17:11
Moderator

Beiträge: 7805
#2 Antivir sollte diese Dinge im abgesicherten Modus loeschen koennen. Stelle es so ein http://board.protecus.de/t23979.htm, verschiebe alle in Quarantaene und poste dann den Report hier. INcl. einem aktuellen Hijackthis log.
abgesicherter Modus: http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Wenn du eine aktuelle Sicherung mit Drive Image hast, spiele diese zurueck.
BTW aus neugier: Wozu hast du vmware installiert, wenn du es anscheinend nicht nutzt?

BTW2: Kannst du dich noch erinnern, wo du dir das eingefangen haben koenntest?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.07.2006, 17:31
Member

Themenstarter

Beiträge: 14
#3 Hy,

danke für die Info,

Habe mal einen Onlinescanner drüberlaufen und den Log automatisch auswerten lassen ...

Das Problem war der Eintrag:

O4 - HKLM\..\Run: [szbyt.exe] C:\WINDOWS\System32\szbyt.exe

Diese Datei ist ein DNS-Changer bzw. Trojan-Downloader... (Kaspersky hat das Teil erkannt)

Mit HiJackthis folgende Zeilen gefixt:

F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [szbyt.exe] C:\WINDOWS\System32\szbyt.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{17ECF4C9-27CB-4907-901B-031C09672D9A}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{24B06757-8346-4164-9F9B-C67AFAA534FF}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CCABDE8-D8A3-4FF8-8D4C-688E6FDF4C7F}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E907833-69D8-4529-87A3-C508C2211D3D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB695C5B-9611-40D0-B7CA-3479B6A154B5}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F7409E-6BC2-497E-A2B8-96D1FBF92042}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159

Alles im Gesicherten Modus ohne Systemwiederherstellung.

Die Datei szbyt.exe nach AVIRA geschickt und danach gelöscht.

Jetzt ist alles wieder i.O.

VM-Ware war mal ein Exeriment und nur zu Testzwecken installiert - Wurde längst wider gelöscht - Diese Einträge hab ich gleich mit gelöscht. Waren wohl noch Leichen ;-)

CU Next
Merci
Seitenanfang Seitenende
12.07.2006, 18:01
Moderator

Beiträge: 7805
#4 Sofern du alle von antivir und Kaspersky gefunde Malware geloescht hast, solltest du noch via www.windowsupdate.com dein System aktualisieren.

Im Zweifelsfalle poste ein datfind report: http://virus-protect.org/datfindbat.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.07.2006, 21:32
Member

Themenstarter

Beiträge: 14
#5 Datfind-Log :

Verzeichnis von C:\WINDOWS\system32

12.07.2006 21:03 41.237 nvapps.xml
09.07.2006 16:48 2.262 wpa.dbl
19.06.2006 17:58 57.384 avsda.dll
09.06.2006 12:21 0 hqghumea.dll
06.06.2006 21:09 425.020 kilacln.exe
06.06.2006 21:08 51.210 csfsf.exe
25.05.2006 19:55 0 p.exe
25.05.2006 19:54 0 TFTP2836

12.05.2006 14:49 119.744 FNTCACHE.DAT
26.03.2006 11:29 383.034 perfh009.dat
26.03.2006 11:29 53.974 perfc009.dat
26.03.2006 11:29 393.684 perfh007.dat
26.03.2006 11:29 64.790 perfc007.dat
26.03.2006 11:29 906.136 PerfStringBackup.INI
15.03.2006 15:00 542.195 CmboPls1.ocx
23.02.2006 21:20 0 systemconfig32.exe
22.02.2006 21:14 0 winfixup.exe
18.02.2006 20:33 73 i
14.02.2006 19:32 0 TFTP2724

13.01.2006 16:33 1.568.828 PrpList3.ocx
07.12.2005 21:09 7.006 jupdate-1.5.0_06-b05.log
18.11.2005 19:58 1.375 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat
18.11.2005 19:58 130.048 SpoonUninstall.exe
18.11.2005 19:58 33.846 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.bmp
11.11.2005 15:49 180.224 NVUNINST.EXE
11.11.2005 14:47 147.456 nvcolor.exe

07.09.2005 12:07 49.152 spspprv1.dll
07.09.2005 12:07 659.456 spsplib1.dll
13.08.2005 13:10 3.799 jupdate-1.5.0_04-b05.log
21.07.2005 17:45 0 wincfgkop9.exe
16.06.2005 21:14 50.123 QuickTime.qtp
31.05.2005 10:20 79.432 GEARAspi.dll
15.05.2005 22:15 1.908 PQ_DEBUG.TXT
03.05.2005 13:58 78.848 msiexec.exe
03.05.2005 13:58 15.360 msisip.dll
03.05.2005 13:58 884.736 msimsg.dll
03.05.2005 13:58 271.360 msihnd.dll
03.05.2005 13:58 2.890.240 msi.dll
03.05.2005 13:58 15.072 spmsg.dll
21.03.2005 12:08 3.040 jupdate-1.5.0_02-b09.log
12.03.2005 00:48 56.320 pxinsa64.exe
12.03.2005 00:48 61.440 pxhpinst.exe
12.03.2005 00:48 108.544 pxcpyi64.exe
12.03.2005 00:48 109.568 pxinsi64.exe
12.03.2005 00:48 56.832 pxcpya64.exe
12.03.2005 00:28 28.672 vxblock.dll
12.03.2005 00:28 151.552 pxwma.dll
12.03.2005 00:28 339.968 pxwave.dll
12.03.2005 00:28 405.504 pxdrv.dll
12.03.2005 00:28 172.032 pxmas.dll
12.03.2005 00:28 339.968 px.dll
12.02.2005 12:37 100 LuResult.txt

Verzeichnis von C:......\LOKALE~1\Temp

12.07.2006 21:13 48.030 jusched.log
12.07.2006 21:13 49.152 ~DFFFF9.tmp
12.07.2006 21:05 54.272 ginstall.dll
12.07.2006 16:51 802 MSI2306f.LOG
12.07.2006 16:49 0 is8.tmp
12.07.2006 16:48 0 is5.tmp
12.07.2006 16:08 447 xnf2B.tmp
12.07.2006 16:01 447 mtv1F.tmp
12.07.2006 15:55 447 rno8.tmp
12.07.2006 15:48 447 saf3.tmp
12.07.2006 15:42 447 ean1.tmp
12.07.2006 15:33 447 yau1A.tmp
12.07.2006 15:27 447 yulA.tmp
12.07.2006 15:21 447 kay9.tmp
12.07.2006 15:14 447 aau7.tmp
12.07.2006 15:07 447 qpz5.tmp
12.07.2006 15:01 447 lvc1.tmp
12.07.2006 14:57 738 vminst.log
12.07.2006 14:08 447 zhi1.tmp
12.07.2006 07:55 447 bkn1.tmp
11.07.2006 17:16 447 usm12.tmp
11.07.2006 17:09 447 gcb1.tmp
11.07.2006 10:34 447 ddh3E4.tmp

10.07.2006 18:05 30.368 java_install_reg.log
09.07.2006 18:02 0 WMP13E.tmp
07.07.2006 19:48 939 jupdate1.5.0.xml
06.07.2006 17:06 32.768 ~DF34C1.tmp
04.07.2006 16:19 0 WMP126.tmp
04.07.2006 16:15 0 WMP125.tmp
04.07.2006 14:04 0 WMP10F.tmp
04.07.2006 14:01 0 WMP10E.tmp
04.07.2006 14:00 0 WMP10D.tmp
04.07.2006 13:58 0 WMP10C.tmp
04.07.2006 13:58 0 WMP10B.tmp
04.07.2006 13:57 0 WMP10A.tmp
04.07.2006 13:24 32.768 ~DFEC56.tmp
01.07.2006 12:13 32.768 ~DF8882.tmp
01.07.2006 12:03 312.580 04_W26_PR_End.pdf
01.07.2006 12:01 1.324.838 tmp.xpi
30.06.2006 16:17 663.229 jar_cache1477.tmp
30.06.2006 08:53 0 WMP73.tmp
30.06.2006 08:53 0 WMP72.tmp
30.06.2006 08:52 0 WMP71.tmp



Verzeichnis von C:\WINDOWS

12.07.2006 21:26 65 iTouch.ini
12.07.2006 21:05 0 0.log
12.07.2006 21:04 159 wiadebug.log
12.07.2006 21:04 50 wiaservc.log
12.07.2006 21:03 2.048 bootstat.dat
12.07.2006 16:24 352 system.ini
12.07.2006 16:09 1.316 SchedLgU.Txt
12.07.2006 14:57 1.629 setupapi.log
12.07.2006 14:01 225.016 ntbtlog.txt
10.07.2006 10:20 116 NeroDigital.ini
08.07.2006 13:56 192 winamp.ini
01.07.2006 12:01 12.409 mozver.dat
28.06.2006 20:02 213 wininit.ini
15.06.2006 14:01 2.582 cdplayer.ini
06.06.2006 21:10 4.334 rdt.ini
17.05.2006 16:07 5.947 WISO.INI
14.05.2006 14:08 54.156 QTFont.qfn
12.05.2006 16:33 0 setuperr.log
11.05.2006 18:34 1.409 QTFont.for
11.05.2006 18:33 121 GEARInstall.log
01.05.2006 18:13 2.970 tm.ini


Verzeichnis von C:\

12.07.2006 21:29 0 sys.txt
12.07.2006 21:29 9.761 system.txt
12.07.2006 21:25 8.547 systemtemp.txt
12.07.2006 21:23 7.125 winzip.log
12.07.2006 21:23 112.471 system32.txt
12.07.2006 21:03 536.399.872 hiberfil.sys
12.07.2006 21:03 804.495.360 pagefile.sys
12.07.2006 17:03 494 hpfr5550.xml


Ist hier noch was zu sehen ???

Kurze Info wäre nicht schlecht...

Danke im Voraus
Seitenanfang Seitenende
12.07.2006, 21:39
Moderator

Beiträge: 7805
#6 Die DAteien bitte bei Jotti pruefen, oder an mich schicken:

06.06.2006 21:09 425.020 kilacln.exe
06.06.2006 21:08 51.210 csfsf.exe

BTW: Diese durch einen TFTP Bug in Windows wirst du immer mit neuer Malware versorgt (TFTP* Dateien) Das passiert dir im gepatchtem System nicht mehr!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.07.2006, 23:31
Member

Themenstarter

Beiträge: 14
#7 Oje,

habe mal bei Jotti nachgesehen mit den Files, die Du genannt hast:

File: kilacln.exe
Status: INFECTED/MALWARE
MD5 88a54fa9eb600a7ee43b94c63aa02f02
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.Fakealert
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found Win32/Adware.KAC application
Norman Virus Control Found KillAndClean.A
UNA Found nothing
VirusBuster Found nothing
VBA32 Found Trojan.Fakealert


Das zweite File ist anscheinend schon von Scanner eleminiert worden, zumindest finde ich es nicht mehr unter system32 !

Mist aber auch, die Dinger sind ja echt hartnäckig....

Was kann ich noch tun ?
Seitenanfang Seitenende
13.07.2006, 11:05
Moderator

Beiträge: 7805
#8 Das ist eine Wareout Variante, leider kann fixwareout die KillandClean Variante nicht entfernen. Aber das groebste ist weg. Erstelle nochmal einen Dafindreport(fuer dich) und schaue, ob die Datei csfsf.exe
noch angezeigt wird. Falls ja, mache nochmal eine ueberpruefung mit Blacklight www.f-secure.com/blacklight .

Ein Kontrollscan mit Cureit im abgesicherten Modus, koenntest du auch noch machen. http://virus-protect.org/cureit.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.07.2006, 14:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Virus TRXXX

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\System32\wincfgkop9.exe
C:\WINDOWS\System32\szbyt.exe
C:\WINDOWS\system32\hqghumea.dll
C:\WINDOWS\system32\kilacln.exe
C:\WINDOWS\system32\csfsf.exe
C:\WINDOWS\system32\p.exe
C:\WINDOWS\system32\TFTP2836
C:\WINDOWS\system32\systemconfig32.exe
C:\WINDOWS\system32\winfixup.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\TFTP2724
C:\WINDOWS\rdt.ini
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ginstall.dll
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\MSI2306f.LOG
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\is8.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\is5.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\xnf2B.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\mtv1F.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\rno8.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\saf3.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ean1.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\yau1A.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\yulA.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\kay9.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\aau7.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\qpz5.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\lvc1.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\vminst.log
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\zhi1.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\bkn1.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\usm12.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\gcb1.tmp
C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ddh3E4.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

+
poste das log vom avenger, was erscheint
+
das neue Log vom HijackThis
+
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> ier posten
+
RootkitRevealer -> Log hier posten
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2006, 14:07
Member

Themenstarter

Beiträge: 14
#10 Also:

Datfind zeigt nix mehr (csfsf.exe)... Somit brauche ich Blaclight nicht mehr auszuführen, richtig ?

Cureit mache ich auch gleich, poste dann alles hier... Bis gleich...
Seitenanfang Seitenende
13.07.2006, 14:21
Moderator

Beiträge: 7805
#11 Schaden kann ein scan mit Blacklight nicht. Wie von Sabina forgeschlagen kannst du auch fixwareout laufen lassen. Es sollte Reste, die alle diese Varianten nutzen loeschen koennen. Um deine Temp Ordner zu loeschen nutze bitte die Datentraegerbereinigung: http://support.microsoft.com/default.aspx?scid=kb;de;315246
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.07.2006, 14:29
Member

Themenstarter

Beiträge: 14
#12 Avenger Log:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\phedosmh

*******************

Script file located at: \??\C:\Program Files\jbhpinpl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\szbyt.exe not found!
Deletion of file C:\WINDOWS\System32\szbyt.exe failed!

Could not process line:
C:\WINDOWS\System32\szbyt.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hqghumea.dll not found!
Deletion of file C:\WINDOWS\system32\hqghumea.dll failed!

Could not process line:
C:\WINDOWS\system32\hqghumea.dll
Status: 0xc0000034



File C:\WINDOWS\system32\kilacln.exe not found!
Deletion of file C:\WINDOWS\system32\kilacln.exe failed!

Could not process line:
C:\WINDOWS\system32\kilacln.exe
Status: 0xc0000034

File C:\WINDOWS\system32\csfsf.exe deleted successfully.


File C:\WINDOWS\system32\p.exe not found!
Deletion of file C:\WINDOWS\system32\p.exe failed!

Could not process line:
C:\WINDOWS\system32\p.exe
Status: 0xc0000034



File C:\WINDOWS\system32\TFTP2836 not found!
Deletion of file C:\WINDOWS\system32\TFTP2836 failed!

Could not process line:
C:\WINDOWS\system32\TFTP2836
Status: 0xc0000034



File C:\WINDOWS\system32\systemconfig32.exe not found!
Deletion of file C:\WINDOWS\system32\systemconfig32.exe failed!

Could not process line:
C:\WINDOWS\system32\systemconfig32.exe
Status: 0xc0000034



File C:\WINDOWS\system32\winfixup.exe not found!
Deletion of file C:\WINDOWS\system32\winfixup.exe failed!

Could not process line:
C:\WINDOWS\system32\winfixup.exe
Status: 0xc0000034



File C:\WINDOWS\system32\i not found!
Deletion of file C:\WINDOWS\system32\i failed!

Could not process line:
C:\WINDOWS\system32\i
Status: 0xc0000034



File C:\WINDOWS\system32\TFTP2724 not found!
Deletion of file C:\WINDOWS\system32\TFTP2724 failed!

Could not process line:
C:\WINDOWS\system32\TFTP2724
Status: 0xc0000034



File C:\WINDOWS\rdt.ini not found!
Deletion of file C:\WINDOWS\rdt.ini failed!

Could not process line:
C:\WINDOWS\rdt.ini
Status: 0xc0000034

File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ginstall.dll deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\MSI2306f.LOG deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\is8.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\is5.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\xnf2B.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\mtv1F.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\rno8.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\saf3.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ean1.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\yau1A.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\yulA.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\kay9.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\aau7.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\qpz5.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\lvc1.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\vminst.log deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\zhi1.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\bkn1.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\usm12.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\gcb1.tmp deleted successfully.
File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ddh3E4.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Cureit-Log folgt gleich....
Seitenanfang Seitenende
13.07.2006, 14:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 das neue Log vom HijackThis waere dann auch interessant, um die 017-Eintraege zu ueberpeufen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2006, 17:05
Member

Themenstarter

Beiträge: 14
#14 Cureit (Dr. Web) hat keine Infizierte Datei mehr gefunden....
Demnach sollte der Rechner Clean sein ?

Hier der neue HiJack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:03:13, on 13.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Digital Image\Monitor.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\MDYK\Desktop\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [dmgap.exe] C:\WINDOWS\System32\dmgap.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Monitor.lnk = C:\Programme\Digital Image\Monitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe


Findet Ihr noch was ???
Seitenanfang Seitenende
13.07.2006, 18:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15

Zitat

O4 - HKLM\..\Run: [dmgap.exe] C:\WINDOWS\System32\dmgap.exe
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> ier posten
+
RootkitRevealer -> Log hier posten
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: