Bitte um überprüfung meines HijackThis Logfile. |
||
---|---|---|
#0
| ||
23.07.2006, 13:04
...neu hier
Beiträge: 6 |
||
|
||
23.07.2006, 13:18
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip --------- http://virus-protect.org/artikel/spyware/zskuninst.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 13:23
Moderator
Beiträge: 7805 |
#3
Da ist einiges an haeftiger Malware aktiv. Alleine der von dir genannter Trojaner hat alle deine Passworte schon geklaut, sowie einige andere Infos. Zudem wird dein PVC zur Zeit als Spambot missbraucht:
C:\WINDOWS\system32\_zskdmwinYMLVFLPE\`MY[BIJ.exe Das sollte eine Trojan-Proxy.Win32.Agent Variante sein. Diese Datei deutet auch auf ein Rootkit hin! Normalwerweise sollte dein Rechner nun permanent Daten empfangen und senden! Wie gesagt uich wuerde den Rechner neu aufsetzen und alle Passworte neu vergeben. Du kannst ja mal spasseshalber noch ein Dafindbat report erstellen: http://board.protecus.de/t23188.htm und einmal Blacklight laufen lassen: Blacklight: https://europe.f-secure.com/blacklight/try.shtml Lade es in einen Extra Ordner herunter, starte es, ERkenne die EULA an, druecke Scan und danach solange next, bis nur noch exit angeboten wird. Nun wirst du in dem selben Ordner, in dem auch Blacklicght sich befindet eine log Datei finden poste den Inhalt bitte hier. Mal schauen, was das bringt. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.07.2006, 14:39
...neu hier
Themenstarter Beiträge: 6 |
#4
Oho, das klingt aber gar nicht gut in meinen Ohren. Zum Glück betreibe ich kein Onlinebanking.
@Sabina Zu Punkt Eins: CleanUp habe ich durchgeführt und meinen Rechner neugestartet. Zu Punkt Zwei: 1. Log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\WINDOWS\system32 23.07.2006 14:21 6.003 klo5.sys 23.07.2006 14:18 232 ps.a3d 23.07.2006 12:44 148.659 BASSMOD1.exe 23.07.2006 10:53 664 d3d9caps.dat 23.07.2006 10:34 24.576 basesrv4.exe 23.07.2006 10:34 73.728 3ivx2501.exe 23.07.2006 10:34 90.112 atmlib87.exe 23.07.2006 01:01 41.472 taskmgn.exe 23.07.2006 01:01 22.912 gncfodmk.exe 23.07.2006 01:00 0 winrknj 22.07.2006 18:21 148.659 batmeter.exe 22.07.2006 18:15 24.576 atmlib03.exe 22.07.2006 18:15 73.728 capesnpn.exe 22.07.2006 18:15 90.112 atmpvcno.exe 16.07.2006 13:06 98.304 CmdLineExt.dll 06.07.2006 01:14 2.206 wpa.dbl 02.07.2006 16:33 34.308 BASSMOD.dll 19.06.2006 00:29 57.384 avsda.dll 19.06.2006 00:09 487 Installer.log 15.06.2006 21:27 6.961 jupdate-1.5.0_07-b03.log 11.05.2006 12:08 98.304 CddbLangDESony.dll 11.05.2006 12:06 520.192 CddbPlaylist2Sony.dll 11.05.2006 12:05 73.728 CddbLinkSony.dll 11.05.2006 12:05 770.048 CDDBUISony.dll 11.05.2006 12:03 585.728 CddbMusicIDSony.dll 11.05.2006 12:02 643.072 CDDBControlSony.dll 03.05.2006 02:56 127.078 javaws.exe 03.05.2006 02:56 49.265 jpicpl32.cpl 03.05.2006 01:19 53.346 javaw.exe 03.05.2006 01:19 49.248 java.exe 2. Log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 23.07.2006 12:06 73.276 ~e5.0001 23.07.2006 10:59 27.343 jusched.log 23.07.2006 07:15 1.627 GLGA7.tmp 23.07.2006 07:15 12.800 GLMA5.tmp 23.07.2006 07:15 34.304 GLKA4.tmp 23.07.2006 07:15 165.376 GLCA3.tmp 23.07.2006 01:00 1.645 GLG52.tmp 23.07.2006 01:00 12.800 GLM50.tmp 23.07.2006 01:00 34.304 GLK4F.tmp 23.07.2006 01:00 165.376 GLC4E.tmp 23.07.2006 00:59 0 $b17a2e8.tmp 23.07.2006 00:58 8.785 a.exe 23.07.2006 00:58 5.368 java_install_reg.log 19.07.2006 21:30 939 jupdate1.5.0.xml 19.07.2006 17:25 31.283 removefiles.txttemp 19.07.2006 17:24 16 persistent_state 19.07.2006 14:24 0 WMM7D.tmp 19.07.2006 11:30 3.584 5acd8b.mst 18.07.2006 23:03 0 4i08A.tmp 18.07.2006 23:03 0 70989.tmp 18.07.2006 23:02 0 33m88.tmp 18.07.2006 23:01 0 er887.tmp 18.07.2006 23:00 0 cca86.tmp 18.07.2006 22:59 0 j6p85.tmp 18.07.2006 22:56 0 9zo84.tmp 18.07.2006 22:56 0 yhd83.tmp 18.07.2006 22:52 0 0me81.tmp 18.07.2006 22:51 0 n207E.tmp 18.07.2006 22:50 0 uz57B.tmp 18.07.2006 22:48 0 3fd78.tmp 18.07.2006 22:47 0 tl175.tmp 18.07.2006 22:39 0 2a771.tmp 18.07.2006 22:39 0 v5z6E.tmp 18.07.2006 22:38 0 nye6B.tmp 18.07.2006 22:35 0 rmj67.tmp 18.07.2006 22:33 0 dhl65.tmp 18.07.2006 22:32 0 luf63.tmp 18.07.2006 22:31 0 gyn60.tmp 18.07.2006 22:31 0 50o5D.tmp 18.07.2006 22:30 0 x1y5A.tmp 18.07.2006 22:30 0 k3457.tmp 18.07.2006 22:29 0 d6655.tmp 18.07.2006 22:29 0 8xi53.tmp 18.07.2006 22:28 0 ivt4F.tmp 18.07.2006 22:27 0 88r4D.tmp 18.07.2006 22:26 0 kt24A.tmp 18.07.2006 22:25 0 iia47.tmp 18.07.2006 22:25 0 azo44.tmp 18.07.2006 22:23 0 ojj3E.tmp 18.07.2006 22:22 0 ta13B.tmp 18.07.2006 22:21 0 4r138.tmp 18.07.2006 22:21 0 t6i35.tmp 18.07.2006 22:12 0 z212C.tmp 18.07.2006 22:09 0 m0529.tmp 18.07.2006 22:07 0 2l526.tmp 18.07.2006 22:06 0 c3s23.tmp 18.07.2006 22:04 0 r0f21.tmp 18.07.2006 22:03 0 g5m1F.tmp 18.07.2006 22:02 0 xjz1B.tmp 18.07.2006 22:01 0 vfo16.tmp 18.07.2006 22:00 0 31b15.tmp 18.07.2006 21:59 0 k0v14.tmp 18.07.2006 21:58 0 yz713.tmp 18.07.2006 21:55 0 537F.tmp 18.07.2006 21:55 0 4qvD.tmp 18.07.2006 21:55 0 1k6B.tmp 18.07.2006 21:53 0 ac79.tmp 18.07.2006 21:53 0 4cz6.tmp 18.07.2006 15:42 49.152 ~DF9B94.tmp 18.07.2006 00:47 0 49q28.tmp 18.07.2006 00:46 0 tlh27.tmp 18.07.2006 00:44 0 wgc26.tmp 18.07.2006 00:43 0 4c725.tmp 18.07.2006 00:43 0 6if24.tmp 18.07.2006 00:42 0 3ay23.tmp 18.07.2006 00:37 0 pkt22.tmp 18.07.2006 00:33 0 vfv1E.tmp 18.07.2006 00:31 0 d121D.tmp 18.07.2006 00:30 0 wgn1A.tmp 18.07.2006 00:30 0 mnh19.tmp 18.07.2006 00:28 0 k3r17.tmp 18.07.2006 00:27 0 hrs15.tmp 18.07.2006 00:22 0 0jr12.tmp 18.07.2006 00:20 0 esj10.tmp 18.07.2006 00:19 0 0qpA.tmp 17.07.2006 23:51 0 h929.tmp 17.07.2006 23:46 0 wco5.tmp 16.07.2006 13:06 46.592 drm_dialogs.dll 16.07.2006 13:05 234 _isdelet.ini 15.07.2006 23:57 0 g0s4C.tmp 15.07.2006 23:57 0 ioi4B.tmp 15.07.2006 23:56 0 w7p48.tmp 15.07.2006 23:56 0 w6b45.tmp 15.07.2006 23:56 0 cjb42.tmp 15.07.2006 23:55 0 tf140.tmp 15.07.2006 23:54 0 xqx3E.tmp 15.07.2006 23:54 0 i8z3C.tmp 15.07.2006 23:53 0 8ki3A.tmp 15.07.2006 23:50 0 x8337.tmp 15.07.2006 23:48 0 bjl2F.tmp 15.07.2006 23:47 0 5qa2D.tmp 15.07.2006 23:41 0 de128.tmp 15.07.2006 23:39 0 4e324.tmp 15.07.2006 23:39 0 rdh20.tmp 15.07.2006 23:38 0 v6d1F.tmp 15.07.2006 23:37 0 gfn1D.tmp 15.07.2006 23:36 0 eo91B.tmp 15.07.2006 23:34 0 6y416.tmp 14.07.2006 18:45 37 FCCADD4F.TMP 12.07.2006 18:58 194 setup.log 12.07.2006 18:55 140 setupreg.log 12.07.2006 18:54 5.248 plf7.tmp 11.07.2006 13:45 4.128 miunst_.exe 11.07.2006 13:09 997.888 WM2006-1.xls 10.07.2006 22:34 0 impC2.tmp 10.07.2006 09:58 15.007.744 SWL4B.tmp 10.07.2006 08:02 0 2d1F.tmp 10.07.2006 01:36 5.767.168 SWL7D.tmp 09.07.2006 17:38 0 qloB4.tmp 09.07.2006 11:56 10.538 control.xml 09.07.2006 03:30 17.072.128 SWL8C.tmp 08.07.2006 07:37 0 CacheInfo.dnl 06.07.2006 21:29 47.235 LVCOMSX.LOG 06.07.2006 01:09 16.285.696 SWLC5.tmp 05.07.2006 23:19 1.326.080 WM2006.xls 05.07.2006 17:56 2.825.116 bt6343.bat 05.07.2006 17:54 16.384 Perflib_Perfdata_67c.dat 05.07.2006 17:53 2.825.116 bt8642.bat 05.07.2006 17:23 2.825.116 bt0730.bat 05.07.2006 17:08 2.825.116 bt3378.bat 04.07.2006 07:06 2.825.116 bt4313.bat 30.06.2006 01:19 0 86o48.tmp 30.06.2006 01:16 0 la547.tmp 30.06.2006 01:15 0 s9446.tmp 30.06.2006 01:15 0 i2q45.tmp 30.06.2006 01:15 0 bdk44.tmp 30.06.2006 01:14 0 9zy43.tmp 30.06.2006 01:09 0 ik642.tmp 30.06.2006 01:07 0 8qv41.tmp 29.06.2006 23:31 512 ~DF914C.tmp 29.06.2006 23:31 34.304 ~WRS0002.tmp 29.06.2006 22:57 16.384 ~WRF0000.tmp 29.06.2006 22:57 512 ~DF75B.tmp 29.06.2006 21:04 0 41m27.tmp 29.06.2006 14:25 785.302 fla1E.tmp 29.06.2006 14:11 0 6pe14.tmp 29.06.2006 14:11 0 vgc13.tmp 29.06.2006 14:10 0 36w12.tmp 29.06.2006 13:54 0 9rkD.tmp 26.06.2006 20:01 920.068 tmp.xpi 26.06.2006 16:48 5.242.880 SWL4C.tmp 25.06.2006 19:33 16.384 ~DF64BC.tmp 25.06.2006 19:31 32.768 ~DF9C7B.tmp 22.06.2006 11:05 16.384 ~DF2984.tmp 21.06.2006 15:25 106 setloc.inf 20.06.2006 14:53 69.120 mpegdll.dll 19.06.2006 02:43 0 ~D.tmp 19.06.2006 01:40 0 ~27.tmp 19.06.2006 01:32 0 ~24.tmp 19.06.2006 01:10 0 ~1E.tmp 18.06.2006 16:47 32.768 ~DF6D51.tmp 18.06.2006 16:47 32.768 ~DF604A.tmp 16.06.2006 09:28 0 ~73.tmp 15.06.2006 21:28 298.296 azplugins_2.0.jar 15.06.2006 21:28 767 AZU64124.tmp 15.06.2006 21:27 23.568 java_install.log 15.06.2006 21:25 872 jinstall.cfg 15.06.2006 16:20 32.768 ~DF677A.tmp 15.06.2006 16:20 32.768 ~DF5843.tmp 13.06.2006 22:55 512 ~DFADE2.tmp 13.06.2006 22:55 32.768 ~DF8663.tmp 13.06.2006 19:34 2.189 wecerr.txt 13.06.2006 19:34 415 EXCEL.log 12.06.2006 23:58 283 wahtmltmp00.htm 01.06.2006 23:19 134 57B4E612.TMP 22.05.2006 22:22 32.768 ~DF46B8.tmp 22.05.2006 22:20 32.768 ~DFF6C9.tmp 22.05.2006 22:20 32.768 ~DFE54A.tmp 20.05.2006 11:03 32.768 ~DF4844.tmp 20.05.2006 11:03 16.384 ~DF4832.tmp 16.05.2006 17:12 0 JET36.tmp 16.05.2006 17:12 0 JETBCBE.tmp 16.05.2006 17:12 0 JETA333.tmp 16.05.2006 17:12 0 JETA2BB.tmp 16.05.2006 17:12 0 JETA239.tmp 16.05.2006 17:12 0 JET32.tmp 16.05.2006 17:12 0 JETA170.tmp 16.05.2006 17:12 0 JET30.tmp 16.05.2006 17:12 0 JETA06C.tmp 16.05.2006 17:12 0 JET2F.tmp 16.05.2006 17:12 0 JET9F90.tmp 16.05.2006 17:12 0 JET2E.tmp 16.05.2006 17:12 0 JET9F4A.tmp 16.05.2006 17:12 0 JET2C.tmp 16.05.2006 17:12 0 JET9EB3.tmp 16.05.2006 17:12 0 JET9E45.tmp 16.05.2006 17:12 0 JET29.tmp 16.05.2006 17:12 0 JET9D91.tmp 16.05.2006 17:12 0 JET26.tmp 16.05.2006 17:12 0 JET20.tmp 16.05.2006 17:12 0 JET9D23.tmp 16.05.2006 17:12 0 JET1C.tmp 16.05.2006 17:12 0 JET9BE2.tmp 16.05.2006 17:12 0 JET18.tmp 16.05.2006 17:12 0 JET9AFC.tmp 16.05.2006 17:12 0 JET14.tmp 16.05.2006 17:12 0 JET9A66.tmp 16.05.2006 17:12 0 JET10.tmp 16.05.2006 17:12 0 JET99C6.tmp 16.05.2006 17:12 0 JETB.tmp 16.05.2006 17:12 0 JET98F3.tmp 16.05.2006 17:12 0 JET8.tmp 16.05.2006 17:12 0 JET8B56.tmp 16.05.2006 17:12 0 JET8B4C.tmp 16.05.2006 17:12 0 JET7.tmp 16.05.2006 17:12 0 JET5.tmp 16.05.2006 17:12 0 JET8B38.tmp 16.05.2006 17:12 0 JET3.tmp 16.05.2006 17:12 0 JET8B2E.tmp 16.05.2006 16:10 0 JET2B.tmp 16.05.2006 16:10 0 JETD04F.tmp 16.05.2006 16:10 0 JETB1CC.tmp 16.05.2006 16:10 0 JETB154.tmp 16.05.2006 16:10 0 JETB0B4.tmp 16.05.2006 16:10 0 JET27.tmp 16.05.2006 16:10 0 JETB00A.tmp 16.05.2006 16:10 0 JET25.tmp 16.05.2006 16:10 0 JETAE8D.tmp 16.05.2006 16:10 0 JET24.tmp 16.05.2006 16:10 0 JETAE33.tmp 16.05.2006 16:10 0 JET23.tmp 16.05.2006 16:10 0 JETADD9.tmp 16.05.2006 16:10 0 JET21.tmp 16.05.2006 16:10 0 JETAD2F.tmp 16.05.2006 16:10 0 JET1F.tmp 16.05.2006 16:10 0 JETACC0.tmp 16.05.2006 16:10 0 JETAC2A.tmp 16.05.2006 16:10 0 JET1D.tmp 16.05.2006 16:10 0 JET1B.tmp 16.05.2006 16:10 0 JETAA5E.tmp 16.05.2006 16:10 0 JETA837.tmp 16.05.2006 16:10 0 JET19.tmp 16.05.2006 16:10 0 JET17.tmp 16.05.2006 16:10 0 JETA73C.tmp 16.05.2006 16:10 0 JET15.tmp 16.05.2006 16:10 0 JETA6CE.tmp 16.05.2006 16:10 0 JET13.tmp 16.05.2006 16:10 0 JETA606.tmp 16.05.2006 16:10 0 JET11.tmp 16.05.2006 16:10 0 JETA566.tmp 16.05.2006 16:10 0 JETF.tmp 16.05.2006 16:10 0 JET8E0B.tmp 16.05.2006 16:10 0 JET8DCF.tmp 16.05.2006 16:10 0 JETE.tmp 16.05.2006 16:10 0 JETC.tmp 16.05.2006 16:10 0 JET8A5E.tmp 16.05.2006 16:10 0 JETA.tmp 16.05.2006 16:10 0 JET8A36.tmp 16.05.2006 15:13 512 ~DFF32.tmp 16.05.2006 14:53 512 ~DF2017.tmp 08.05.2006 18:49 32.768 ~DF3C91.tmp 08.05.2006 18:49 32.768 ~DF2D86.tmp 3. Log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\WINDOWS 23.07.2006 14:18 1.409 QTFont.for 23.07.2006 14:18 54.156 QTFont.qfn 23.07.2006 14:18 432.061 WindowsUpdate.log 23.07.2006 14:18 159 wiadebug.log 23.07.2006 14:18 50 wiaservc.log 23.07.2006 14:18 0 0.log 23.07.2006 14:18 2.048 bootstat.dat 23.07.2006 11:00 32 CD_Start.INI 23.07.2006 10:53 588.260 ntbtlog.txt 23.07.2006 10:28 32.618 SchedLgU.Txt 23.07.2006 01:01 16.896 inetloader.dll 23.07.2006 01:00 0 keyboard1.dat 22.07.2006 17:15 116 NeroDigital.ini 22.07.2006 08:33 972.231 setupapi.log 19.07.2006 14:17 28 MotionDVSTUDIO.INI 19.07.2006 11:45 316.640 WMSysPr9.prx 19.07.2006 11:30 681 KB842787.log 19.07.2006 11:30 510 KB830363.log 16.07.2006 12:53 37.415 DirectX.log 11.07.2006 12:11 626 ODBC.INI 09.07.2006 12:00 71.787 wmsetup.log 04.07.2006 12:04 180.468 setupact.log 01.07.2006 00:29 24 mainser 26.06.2006 20:01 2.909 mozver.dat 26.06.2006 13:03 0 nsreg.dat 19.05.2006 01:23 42 metView.ini 18.05.2006 23:51 720.896 iun6002.exe 13.05.2006 13:34 761 stwin05.ini 13.05.2006 13:34 112 d2hnav.ini 4. Log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\ 23.07.2006 14:21 0 sys.txt 23.07.2006 14:21 8.287 system.txt 23.07.2006 14:21 18.086 systemtemp.txt 23.07.2006 14:21 116.384 system32.txt 23.07.2006 14:18 1.610.612.736 pagefile.sys 23.07.2006 14:14 2 DirDPFCns.txt 23.07.2006 14:14 398 DirDPF.txt 23.07.2006 00:58 32.768 winstall.exe 23.07.2006 00:58 0 uniq 08.04.2006 10:21 192 BcBtRmv.log 31.03.2006 09:30 0 MSDOS.SYS 31.03.2006 09:30 0 IO.SYS 31.03.2006 09:30 0 CONFIG.SYS 31.03.2006 09:30 0 AUTOEXEC.BAT 31.03.2006 09:23 211 boot.ini 15.02.2006 14:32 202 echo.bat 23.01.2006 15:36 429 datFind.bat 31.12.2002 14:00 4.952 bootfont.bin 31.12.2002 14:00 47.564 NTDETECT.COM 31.12.2002 14:00 251.184 ntldr 20 Datei(en) 1.611.093.395 Bytes 0 Verzeichnis(se), 2.323.832.832 Bytes frei Zu Punkt 3: 10)DPF???? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\WINDOWS\Downloaded Program Files 27.03.2006 13:00 5.019 swflash.inf 1 Datei(en) 5.019 Bytes Anzahl der angezeigten Dateien: 1 Datei(en) 5.019 Bytes 0 Verzeichnis(se), 2.323.824.640 Bytes frei Weis aber nicht ob das mit dem Echobat richtig funktioniert hat. @raman 07/23/06 14:42:54 [Info]: BlackLight Engine 1.0.42 initialized 07/23/06 14:42:54 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/23/06 14:42:54 [Note]: 7019 4 07/23/06 14:42:54 [Note]: 7005 0 07/23/06 14:43:00 [Note]: 7006 0 07/23/06 14:43:00 [Error]: 6009 1 07/23/06 14:43:00 [Error]: 6009 0 07/23/06 14:43:14 [Note]: 7026 0 07/23/06 14:43:15 [Note]: 7026 0 07/23/06 14:43:15 [Note]: 7024 3 07/23/06 14:43:15 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe 07/23/06 14:43:15 [Note]: 7024 3 07/23/06 14:43:15 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE 07/23/06 14:43:15 [Note]: FSRAW library version 1.7.1019 07/23/06 14:44:33 [Info]: Hidden file: c:\WINDOWS\system32\dxtpdh.sys 07/23/06 14:44:33 [Note]: 10002 1 07/23/06 14:44:33 [Info]: Hidden file: c:\WINDOWS\system32\dxtpdx.dll 07/23/06 14:44:34 [Note]: 7002 0 07/23/06 14:44:34 [Note]: 7003 1 07/23/06 14:44:34 [Note]: 10002 1 07/23/06 14:44:35 [Info]: Hidden file: c:\WINDOWS\system32\ms87.dat 07/23/06 14:44:35 [Note]: 10002 1 07/23/06 14:44:37 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat 07/23/06 14:44:37 [Note]: 10002 1 07/23/06 14:44:38 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll 07/23/06 14:44:39 [Note]: 7002 0 07/23/06 14:44:39 [Note]: 7003 1 07/23/06 14:44:39 [Note]: 10002 1 07/23/06 14:44:39 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys 07/23/06 14:44:39 [Note]: 10002 1 07/23/06 14:47:05 [Note]: 7002 0 07/23/06 14:47:05 [Note]: 7003 1 07/23/06 14:47:05 [Error]: 6023 5 07/23/06 14:47:12 [Note]: 7007 0 MfG Dieser Beitrag wurde am 23.07.2006 um 14:50 Uhr von AxelFolie editiert.
|
|
|
||
23.07.2006, 15:35
Ehrenmitglied
Beiträge: 29434 |
#5
0.
CleanUp! anwenden + PC neustarten..noch einmal ! http://virus-protect.org/cleanup.html 1. liste.zip -> entpacken -> liste.bat doppeltklicken -> der Texteditor wird sich oeffnen-> mit der rechten Maustaste abkopieren und "einfuegen" in den Thread. http://virus-protect.org/zip/liste.zip 2. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) dxtpdh in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 15:50
Passwort: gast
Beiträge: 0 |
#6
Schau dir mal diese beiden Dateien mit dem Editor an:
23.07.2006 14:21 6.003 klo5.sys 23.07.2006 14:18 232 ps.a3d dort siehst du, was der Trojaner dir schon alles gestohlen hat. |
|
|
||
23.07.2006, 15:59
Ehrenmitglied
Beiträge: 29434 |
#7
das ist ein Haxdoor - man kann ihn loeschen, natuerlich waere formatieren das vernuenftigste..... und in Zukunft nicht auf den falschen Seiten surfen und nicht das falsche laden.............
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 16:31
...neu hier
Themenstarter Beiträge: 6 |
#8
@Sabina
zu 0: CleanUp durchgeführt zu 1: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\WINDOWS\Downloaded Program Files 27.03.2006 13:00 5.019 swflash.inf 1 Datei(en) 5.019 Bytes 0 Verzeichnis(se), 2.324.942.848 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp 23.07.2006 16:09 <DIR> . 23.07.2006 16:09 <DIR> .. 31.03.2006 10:21 105 $tmp$.url 23.07.2006 16:08 <DIR> 01083070 18.07.2006 00:22 0 0jr12.tmp 18.07.2006 22:52 0 0me81.tmp 18.07.2006 00:19 0 0qpA.tmp 31.03.2006 19:49 0 1.10.0.5195.deDE 03.03.2004 11:11 56.832 1445f7.mst 31.03.2006 12:33 56.832 14ec41.mst 08.04.2006 09:47 0 1f148.mst 08.04.2006 09:47 0 1f149.mst 03.12.2003 23:39 57.344 1f14a.mst 18.07.2006 21:55 0 1k6B.tmp 08.04.2006 09:04 0 23d455.mst 08.04.2006 09:04 0 23d456.mst 03.12.2003 23:39 57.344 23d457.mst 18.07.2006 22:39 0 2a771.tmp 10.07.2006 08:02 0 2d1F.tmp 03.03.2004 11:11 56.832 2e846.mst 18.07.2006 22:07 0 2l526.tmp 18.07.2006 22:00 0 31b15.tmp 18.07.2006 23:02 0 33m88.tmp 26.01.2005 13:49 54.272 3594cc.mst 29.06.2006 14:10 0 36w12.tmp 18.07.2006 00:42 0 3ay23.tmp 18.07.2006 22:48 0 3fd78.tmp 29.06.2006 21:04 0 41m27.tmp 18.07.2006 00:47 0 49q28.tmp 18.07.2006 00:43 0 4c725.tmp 18.07.2006 21:53 0 4cz6.tmp 15.07.2006 23:39 0 4e324.tmp 18.07.2006 23:03 0 4i08A.tmp 18.07.2006 21:55 0 4qvD.tmp 18.07.2006 22:21 0 4r138.tmp 18.07.2006 22:31 0 50o5D.tmp 18.07.2006 21:55 0 537F.tmp 03.03.2004 11:11 56.832 53a55.mst 01.06.2006 23:19 134 57B4E612.TMP 19.07.2006 11:30 3.584 5acd8b.mst 15.07.2006 23:47 0 5qa2D.tmp 18.07.2006 00:43 0 6if24.tmp 29.06.2006 14:11 0 6pe14.tmp 15.07.2006 23:34 0 6y416.tmp 18.07.2006 23:03 0 70989.tmp 30.06.2006 01:19 0 86o48.tmp 18.07.2006 22:27 0 88r4D.tmp 15.07.2006 23:53 0 8ki3A.tmp 30.06.2006 01:07 0 8qv41.tmp 18.07.2006 22:29 0 8xi53.tmp 29.11.2004 11:27 54.784 92cb1.mst 29.06.2006 13:54 0 9rkD.tmp 18.07.2006 22:56 0 9zo84.tmp 30.06.2006 01:14 0 9zy43.tmp 14.04.2006 21:25 26.584 AAX2.tmp 14.04.2006 15:51 26.584 AAX7.tmp 14.04.2006 15:51 32.396 AAX8.tmp 18.07.2006 21:53 0 ac79.tmp 22.04.2006 16:16 0 ACD1.tmp 22.04.2006 22:23 0 ACD2.tmp 22.04.2006 22:33 0 ACD3.tmp 04.07.2006 17:01 <DIR> AutoRun 03.04.2006 21:16 729.088 AutoRun.exe 22.12.2005 05:49 585.728 AutoRunGUI.dll 18.07.2006 22:25 0 azo44.tmp 15.06.2006 21:28 298.296 azplugins_2.0.jar 15.06.2006 21:28 767 AZU64124.tmp 30.06.2006 01:15 0 bdk44.tmp 12.04.2006 21:36 6.841.085 BigKahunaReefSetup219.exe 15.07.2006 23:48 0 bjl2F.tmp 08.04.2006 10:21 52.446 btwinlog.txt 31.03.2006 13:26 26.365 BWDump.log 31.03.2006 17:22 72.341 BWInstall.log 18.07.2006 22:06 0 c3s23.tmp 11.04.2006 17:11 90.112 cabex.dll 08.07.2006 07:37 0 CacheInfo.dnl 18.07.2006 23:00 0 cca86.tmp 15.07.2006 23:56 0 cjb42.tmp 21.11.2001 14:57 24.576 closedbgout.exe 09.07.2006 11:56 10.538 control.xml 18.07.2006 00:31 0 d121D.tmp 18.07.2006 22:29 0 d6655.tmp 26.04.2006 12:58 114.688 DAPREMOVE.EXE 15.07.2006 23:41 0 de128.tmp 18.07.2006 22:33 0 dhl65.tmp 16.07.2006 13:06 46.592 drm_dialogs.dll 15.06.2006 21:28 <DIR> e4j2F.tmp_dir1387 15.06.2006 21:58 <DIR> e4j3B.tmp_dir7118 17.10.2002 10:19 28.672 enableirsocketutil.exe 15.07.2006 23:36 0 eo91B.tmp 18.07.2006 23:01 0 er887.tmp 17.04.2006 12:52 55.158 erdposter.bmp 18.07.2006 00:20 0 esj10.tmp 13.06.2006 19:34 415 EXCEL.log 23.07.2006 14:42 <DIR> F-Secure 14.07.2006 18:45 37 FCCADD4F.TMP 26.06.2006 13:02 <DIR> ff_temp 29.06.2006 14:25 785.302 fla1E.tmp 27.04.2006 20:57 10.682.608 fla3.tmp 27.04.2006 21:00 2.336.151 fla6.tmp 27.04.2006 21:01 12.008.644 fla7.tmp 26.04.2006 13:02 13.573.791 flaC.tmp 26.04.2006 13:04 3.800.221 flaD.tmp 15.07.2006 23:57 0 g0s4C.tmp 18.07.2006 22:03 0 g5m1F.tmp 15.07.2006 23:37 0 gfn1D.tmp 23.07.2006 01:00 165.376 GLC4E.tmp 23.07.2006 07:15 165.376 GLCA3.tmp 23.07.2006 01:00 1.645 GLG52.tmp 23.07.2006 07:15 1.627 GLGA7.tmp 23.07.2006 01:00 34.304 GLK4F.tmp 23.07.2006 07:15 34.304 GLKA4.tmp 23.07.2006 01:00 12.800 GLM50.tmp 23.07.2006 07:15 12.800 GLMA5.tmp 18.07.2006 22:31 0 gyn60.tmp 17.07.2006 23:51 0 h929.tmp 18.07.2006 00:27 0 hrs15.tmp 30.06.2006 01:15 0 i2q45.tmp 15.07.2006 23:54 0 i8z3C.tmp 31.12.2002 14:00 340.866 IEC50.tmp 22.07.2005 12:34 346.602 IEC6.tmp 18.07.2006 22:25 0 iia47.tmp 30.06.2006 01:09 0 ik642.tmp 10.07.2006 22:34 0 impC2.tmp 06.04.2006 09:10 798.234 IMT10.xml 08.04.2006 08:49 2.036 IMT14.xml 08.04.2006 08:49 426 IMT15.xml 08.04.2006 08:49 798.234 IMT16.xml 12.04.2006 21:24 2.036 IMT18.xml 12.04.2006 21:24 426 IMT19.xml 12.04.2006 21:24 798.234 IMT1A.xml 06.04.2006 09:43 2.036 IMT26.xml 06.04.2006 09:43 426 IMT27.xml 06.04.2006 09:43 798.234 IMT28.xml 06.04.2006 09:05 2.036 IMT5.xml 06.04.2006 09:05 426 IMT6.xml 06.04.2006 09:05 798.234 IMT7.xml 06.04.2006 09:10 2.036 IMTE.xml 06.04.2006 09:10 426 IMTF.xml 24.01.2005 10:24 28.672 installer_URLBLAZE.exe 24.01.2005 10:24 28.672 installer_URLBLAZE.VIR 12.10.2004 11:14 57.344 InstHelp.dll 15.07.2006 23:57 0 ioi4B.tmp 12.04.2006 21:37 <DIR> is-7D85O.tmp 12.04.2006 21:37 <DIR> is-CBVMU.tmp 16.07.2006 12:37 <DIR> isp24.tmp 18.07.2006 22:28 0 ivt4F.tmp 18.07.2006 22:59 0 j6p85.tmp 15.06.2006 21:27 23.568 java_install.log 23.07.2006 00:58 5.368 java_install_reg.log 16.05.2006 17:12 0 JET10.tmp 16.05.2006 16:10 0 JET11.tmp 16.05.2006 16:10 0 JET13.tmp 16.05.2006 17:12 0 JET14.tmp 16.05.2006 16:10 0 JET15.tmp 16.05.2006 16:10 0 JET17.tmp 16.05.2006 17:12 0 JET18.tmp 16.05.2006 16:10 0 JET19.tmp 16.05.2006 16:10 0 JET1B.tmp 16.05.2006 17:12 0 JET1C.tmp 16.05.2006 16:10 0 JET1D.tmp 16.05.2006 16:10 0 JET1F.tmp 16.05.2006 17:12 0 JET20.tmp 16.05.2006 16:10 0 JET21.tmp 16.05.2006 16:10 0 JET23.tmp 16.05.2006 16:10 0 JET24.tmp 16.05.2006 16:10 0 JET25.tmp 16.05.2006 17:12 0 JET26.tmp 16.05.2006 16:10 0 JET27.tmp 16.05.2006 17:12 0 JET29.tmp 16.05.2006 16:10 0 JET2B.tmp 16.05.2006 17:12 0 JET2C.tmp 16.05.2006 17:12 0 JET2E.tmp 16.05.2006 17:12 0 JET2F.tmp 16.05.2006 17:12 0 JET3.tmp 16.05.2006 17:12 0 JET30.tmp 16.05.2006 17:12 0 JET32.tmp 16.05.2006 17:12 0 JET36.tmp 28.04.2006 20:09 0 JET3AE7.tmp 16.05.2006 17:12 0 JET5.tmp 28.04.2006 20:09 0 JET5115.tmp 16.05.2006 17:12 0 JET7.tmp 16.05.2006 17:12 0 JET8.tmp 16.05.2006 16:10 0 JET8A36.tmp 16.05.2006 16:10 0 JET8A5E.tmp 16.05.2006 17:12 0 JET8B2E.tmp 16.05.2006 17:12 0 JET8B38.tmp 16.05.2006 17:12 0 JET8B4C.tmp 16.05.2006 17:12 0 JET8B56.tmp 16.05.2006 16:10 0 JET8DCF.tmp 16.05.2006 16:10 0 JET8E0B.tmp 16.05.2006 17:12 0 JET98F3.tmp 16.05.2006 17:12 0 JET99C6.tmp 16.05.2006 17:12 0 JET9A66.tmp 16.05.2006 17:12 0 JET9AFC.tmp 16.05.2006 17:12 0 JET9BE2.tmp 16.05.2006 17:12 0 JET9D23.tmp 16.05.2006 17:12 0 JET9D91.tmp 16.05.2006 17:12 0 JET9E45.tmp 16.05.2006 17:12 0 JET9EB3.tmp 16.05.2006 17:12 0 JET9F4A.tmp 16.05.2006 17:12 0 JET9F90.tmp 16.05.2006 16:10 0 JETA.tmp 16.05.2006 17:12 0 JETA06C.tmp 16.05.2006 17:12 0 JETA170.tmp 16.05.2006 17:12 0 JETA239.tmp 16.05.2006 17:12 0 JETA2BB.tmp 16.05.2006 17:12 0 JETA333.tmp 16.05.2006 16:10 0 JETA566.tmp 16.05.2006 16:10 0 JETA606.tmp 16.05.2006 16:10 0 JETA6CE.tmp 16.05.2006 16:10 0 JETA73C.tmp 16.05.2006 16:10 0 JETA837.tmp 16.05.2006 16:10 0 JETAA5E.tmp 16.05.2006 16:10 0 JETAC2A.tmp 16.05.2006 16:10 0 JETACC0.tmp 16.05.2006 16:10 0 JETAD2F.tmp 16.05.2006 16:10 0 JETADD9.tmp 16.05.2006 16:10 0 JETAE33.tmp 16.05.2006 16:10 0 JETAE8D.tmp 16.05.2006 17:12 0 JETB.tmp 16.05.2006 16:10 0 JETB00A.tmp 16.05.2006 16:10 0 JETB0B4.tmp 16.05.2006 16:10 0 JETB154.tmp 16.05.2006 16:10 0 JETB1CC.tmp 16.05.2006 17:12 0 JETBCBE.tmp 16.05.2006 16:10 0 JETC.tmp 16.05.2006 16:10 0 JETD04F.tmp 16.05.2006 16:10 0 JETE.tmp 16.05.2006 16:10 0 JETF.tmp 15.06.2006 21:25 872 jinstall.cfg 19.07.2006 21:30 939 jupdate1.5.0.xml 23.07.2006 16:10 27.755 jusched.log 18.07.2006 21:59 0 k0v14.tmp 18.07.2006 22:30 0 k3457.tmp 18.07.2006 00:28 0 k3r17.tmp 18.07.2006 22:26 0 kt24A.tmp 30.06.2006 01:16 0 la547.tmp 09.04.2006 14:44 <DIR> LK49C6 02.08.2005 13:41 2.048 logo copy.bmp 18.07.2006 22:32 0 luf63.tmp 06.07.2006 21:29 47.235 LVCOMSX.LOG 18.07.2006 22:09 0 m0529.tmp 31.03.2006 09:49 3.590 Microsoft Office 2003 Setup(0001).txt 31.03.2006 09:49 208.098 Microsoft Office 2003 Setup(0001)_Task(0001).txt 11.07.2006 13:45 4.128 miunst_.exe 18.07.2006 00:30 0 mnh19.tmp 06.04.2006 09:43 11.230 MPC1.tmp 20.06.2006 14:53 69.120 mpegdll.dll 18.07.2006 22:51 0 n207E.tmp 16.04.2006 11:24 <DIR> Nero.40 16.04.2006 11:24 <DIR> Nero.tmp 12.04.2006 21:22 <DIR> nsa14.tmp 13.04.2006 07:43 <DIR> nsa3.tmp 13.04.2006 15:59 <DIR> nsr3.tmp 12.04.2006 20:58 <DIR> nsrB.tmp 18.07.2006 22:38 0 nye6B.tmp 31.03.2006 09:47 49.290 offcln11.log 18.07.2006 22:23 0 ojj3E.tmp 22.04.2006 22:50 <DIR> omgjlauc 31.03.2006 10:01 <DIR> outlook logging 31.03.2006 23:52 16.384 Perflib_Perfdata_1dc.dat 05.07.2006 17:54 16.384 Perflib_Perfdata_67c.dat 16.04.2006 21:05 16.384 Perflib_Perfdata_b54.dat 19.07.2006 17:24 16 persistent_state 22.07.2006 11:00 <DIR> pft4A~tmp 22.04.2006 22:50 <DIR> pft6.tmp 22.04.2006 22:56 <DIR> pft9.tmp 12.07.2006 18:55 <DIR> pftA.tmp 23.04.2006 00:08 <DIR> pftB.tmp 18.07.2006 00:37 0 pkt22.tmp 12.07.2006 18:54 5.248 plf7.tmp 09.07.2006 17:38 0 qloB4.tmp 18.07.2006 22:04 0 r0f21.tmp 15.07.2006 23:39 0 rdh20.tmp 19.07.2006 17:25 31.283 removefiles.txttemp 18.07.2006 22:35 0 rmj67.tmp 30.06.2006 01:15 0 s9446.tmp 16.07.2004 02:09 117.200 set10.tmp 14.11.2005 02:24 121.064 set11.tmp 14.05.2000 19:23 41.472 set1E.tmp 30.11.2005 12:31 46.080 set2.tmp 14.11.2005 02:24 121.064 set20.tmp 05.10.2000 17:05 165.888 Set26.tmp 22.02.2006 16:08 54.784 Set3.tmp 22.02.2006 16:26 107.512 set4.tmp 14.05.2000 19:23 41.472 Set4B.tmp 16.07.2004 02:09 117.200 set5.tmp 14.05.2000 19:23 41.472 set5D.tmp 10.11.2003 19:55 116.880 set6.tmp 22.07.2005 12:04 168.448 Set7.tmp 10.11.2003 19:55 116.880 set8.tmp 30.05.2001 04:56 167.424 setB.tmp 31.12.2002 14:00 299.520 setb0.tmp 31.12.2002 14:00 230.400 setb1.tmp 31.12.2002 14:00 151.552 setb2.tmp 31.12.2002 14:00 1.050.624 setb3.tmp 31.12.2002 14:00 2.105.344 setb4.tmp 30.05.2001 04:56 167.424 SetC.tmp 30.05.2001 04:56 167.424 SetD.tmp 30.05.2001 04:56 167.424 SetE.tmp 30.05.2001 04:56 167.424 SetF.tmp 21.06.2006 15:25 106 setloc.inf 12.07.2006 18:58 194 setup.log 23.02.2005 13:03 180.838 setup1012.exe 23.02.2005 13:03 180.838 setup1012.VIR 23.02.2005 13:03 180.838 setup1012.VIR000 12.07.2006 18:55 140 setupreg.log 06.07.2006 23:01 <DIR> soniclauc 23.07.2006 13:55 <DIR> SQZ1.tmp 22.07.2006 09:34 <DIR> SQZ14.tmp 16.04.2006 18:59 <DIR> SQZ2.tmp 12.04.2006 21:24 <DIR> SQZ25.tmp 12.04.2006 21:36 <DIR> SQZ28.tmp 12.04.2006 21:11 <DIR> SQZF.tmp 22.04.2006 23:54 <DIR> SsInstall 10.07.2006 09:58 15.007.744 SWL4B.tmp 26.06.2006 16:48 5.242.880 SWL4C.tmp 10.07.2006 01:36 5.767.168 SWL7D.tmp 09.07.2006 03:30 17.072.128 SWL8C.tmp 06.07.2006 01:09 16.285.696 SWLC5.tmp 18.07.2006 22:21 0 t6i35.tmp 18.07.2006 22:22 0 ta13B.tmp 15.07.2006 23:55 0 tf140.tmp 18.07.2006 22:47 0 tl175.tmp 18.07.2006 00:46 0 tlh27.tmp 26.06.2006 20:01 920.068 tmp.xpi 11.01.2002 02:10 10.240 uitools.dll 16.04.2006 15:20 214.266 uni22.tmp 31.03.2006 13:26 65.536 UninstallRC-4476822.dll 18.07.2006 22:50 0 uz57B.tmp 18.07.2006 22:39 0 v5z6E.tmp 15.07.2006 23:38 0 v6d1F.tmp 08.04.2006 11:35 <DIR> VBE 18.07.2006 22:01 0 vfo16.tmp 18.07.2006 00:33 0 vfv1E.tmp 29.06.2006 14:11 0 vgc13.tmp 15.07.2006 23:56 0 w6b45.tmp 15.07.2006 23:56 0 w7p48.tmp 12.06.2006 23:58 283 wahtmltmp00.htm 17.07.2006 23:46 0 wco5.tmp 13.06.2006 19:34 2.189 wecerr.txt 18.07.2006 00:44 0 wgc26.tmp 18.07.2006 00:30 0 wgn1A.tmp 11.07.2006 13:09 997.888 WM2006-1.xls 05.07.2006 23:19 1.326.080 WM2006.xls 19.07.2006 14:24 0 WMM7D.tmp 18.07.2006 22:30 0 x1y5A.tmp 15.07.2006 23:50 0 x8337.tmp 18.07.2006 22:02 0 xjz1B.tmp 15.07.2006 23:54 0 xqx3E.tmp 18.07.2006 22:56 0 yhd83.tmp 18.07.2006 21:58 0 yz713.tmp 18.07.2006 22:12 0 z212C.tmp 09.04.2006 10:19 <DIR> _is10 28.04.2006 21:08 <DIR> _is11 28.04.2006 21:08 <DIR> _is26 28.04.2006 21:08 <DIR> _is35 19.07.2006 11:30 <DIR> _isC 16.07.2006 13:05 234 _isdelet.ini 12.07.2006 19:00 <DIR> _ISTMP1.DIR 12.07.2006 19:00 <DIR> _ISTMP2.DIR 22.04.2006 23:47 <DIR> {067D27FF-720F-421F-80E9-CF724DC5E072} 13.05.2006 13:35 <DIR> {81165DB6-79FC-46A7-B88C-EBD0EEBE02E1} 31.03.2006 09:45 0 ~191.tmp 19.06.2006 01:10 0 ~1E.tmp 19.06.2006 01:32 0 ~24.tmp 19.06.2006 01:40 0 ~27.tmp 31.03.2006 12:34 20 ~58.tmp 16.06.2006 09:28 0 ~73.tmp 19.06.2006 02:43 0 ~D.tmp 16.05.2006 14:53 512 ~DF2017.tmp 22.06.2006 11:05 16.384 ~DF2984.tmp 08.05.2006 18:49 32.768 ~DF2D86.tmp 12.04.2006 21:30 98.304 ~DF3B02.tmp 08.05.2006 18:49 32.768 ~DF3C91.tmp 31.03.2006 19:56 16.384 ~DF4284.tmp 12.04.2006 21:29 98.304 ~DF4525.tmp 22.05.2006 22:22 32.768 ~DF46B8.tmp 20.05.2006 11:03 16.384 ~DF4832.tmp 20.05.2006 11:03 32.768 ~DF4844.tmp 15.06.2006 16:20 32.768 ~DF5843.tmp 01.04.2006 11:55 16.384 ~DF5A5F.tmp 18.06.2006 16:47 32.768 ~DF604A.tmp 25.06.2006 19:33 16.384 ~DF64BC.tmp 15.06.2006 16:20 32.768 ~DF677A.tmp 18.06.2006 16:47 32.768 ~DF6D51.tmp 14.04.2006 23:00 98.304 ~DF6F7A.tmp 29.06.2006 22:57 512 ~DF75B.tmp 01.04.2006 00:25 16.384 ~DF7C31.tmp 13.06.2006 22:55 32.768 ~DF8663.tmp 02.04.2006 00:31 16.384 ~DF8D39.tmp 29.06.2006 23:31 512 ~DF914C.tmp 01.04.2006 00:06 16.384 ~DF9B15.tmp 18.07.2006 15:42 49.152 ~DF9B94.tmp 25.06.2006 19:31 32.768 ~DF9C7B.tmp 01.04.2006 09:36 16.384 ~DFA9D3.tmp 13.06.2006 22:55 512 ~DFADE2.tmp 01.04.2006 18:11 16.384 ~DFCE01.tmp 22.05.2006 22:20 32.768 ~DFE54A.tmp 16.05.2006 15:13 512 ~DFF32.tmp 22.05.2006 22:20 32.768 ~DFF6C9.tmp 23.07.2006 12:06 73.276 ~e5.0001 29.06.2006 22:57 16.384 ~WRF0000.tmp 29.06.2006 23:31 34.304 ~WRS0002.tmp 362 Datei(en) 129.011.882 Bytes 43 Verzeichnis(se), 2.324.910.080 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\WINDOWS\Temp 23.07.2006 16:05 <DIR> . 23.07.2006 16:05 <DIR> .. 23.07.2006 00:59 24.246 $_2341234.TMP 23.07.2006 16:05 <DIR> 01083070 31.03.2006 13:28 442 apub2 06.07.2006 21:34 1.272 CamServr.log 06.07.2006 21:34 121.275 CamWizrd.log 19.06.2006 00:08 718 Instmed.log 19.06.2006 00:08 888 InstVid.log 06.07.2006 21:34 31.072 LgDSetup.txt 01.04.2006 11:51 <DIR> tmp000067a2 03.04.2006 00:38 0 Upd2.tmp 8 Datei(en) 179.913 Bytes 4 Verzeichnis(se), 2.324.918.272 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\Programme 23.07.2006 14:41 <DIR> . 23.07.2006 14:41 <DIR> .. 31.03.2006 09:45 <DIR> Adobe 16.04.2006 11:23 <DIR> Ahead 13.05.2006 13:30 <DIR> Akademische Arbeitsgemeinschaft 04.07.2006 16:55 <DIR> Alcohol Soft 17.04.2006 12:31 <DIR> Allok AVI to DVD SVCD VCD Converter 06.05.2006 10:03 <DIR> AntiVir PersonalEdition Classic 16.04.2006 20:00 <DIR> Ashampoo 21.03.2005 20:30 106.496 atl71.dll 31.03.2006 09:46 <DIR> Avant Browser 31.03.2006 09:34 <DIR> B5APPZ 23.07.2006 13:53 <DIR> CleanUp! 31.03.2006 09:26 <DIR> ComPlus Applications 08.04.2006 16:57 <DIR> CyberLink 08.04.2006 15:12 <DIR> DTV 23.07.2006 16:06 <DIR> eMule 23.07.2006 14:42 <DIR> F-Secure Blacklight 02.07.2006 20:35 <DIR> FlashFXP 23.07.2006 01:00 <DIR> Gemeinsame Dateien 15.04.2006 22:04 <DIR> Google 18.04.2006 00:14 <DIR> Groáer Falk Reiseplaner 2005 23.07.2006 12:00 <DIR> HiJackThis 31.03.2006 12:42 <DIR> Intel 31.03.2006 09:31 <DIR> Internet Explorer 31.03.2006 09:47 <DIR> irfanview 15.06.2006 21:27 <DIR> Java 31.03.2006 09:46 <DIR> K-Lite Codec Pack 31.03.2006 13:12 <DIR> Launch Manager 23.04.2006 12:29 <DIR> Lavasoft 23.04.2006 12:31 <DIR> Lavasoft RegHance 06.07.2006 21:55 <DIR> Logitech 21.03.2005 20:30 1.060.864 mfc71.dll 31.03.2006 09:47 <DIR> Microsoft Baseline Security Analyzer 31.03.2006 09:31 <DIR> microsoft frontpage 31.03.2006 09:48 <DIR> Microsoft Office 31.03.2006 09:48 <DIR> Microsoft Works 31.03.2006 09:48 <DIR> Microsoft.NET 31.03.2006 09:27 <DIR> Movie Maker 23.07.2006 16:07 <DIR> Mozilla Firefox 31.03.2006 09:25 <DIR> MSN 31.03.2006 09:25 <DIR> MSN Gaming Zone 21.03.2005 20:30 499.712 msvcp71.dll 21.03.2005 20:30 348.160 msvcr71.dll 31.03.2006 09:28 <DIR> NetMeeting 23.07.2006 01:00 <DIR> Network Monitor 31.03.2006 09:28 <DIR> Outlook Express 19.07.2006 11:45 <DIR> Panasonic 19.07.2006 19:21 <DIR> Poker Superstars II 17.07.2006 10:45 <DIR> PokerStars.NET 14.04.2006 16:07 <DIR> QuickTime 12.04.2006 21:28 <DIR> ReflexiveArcade 15.07.2006 17:28 <DIR> SFT Loader 31.03.2006 09:45 <DIR> Smart Projects 12.07.2006 19:00 <DIR> Sony 09.04.2006 10:20 <DIR> Sony Ericsson 31.03.2006 21:11 <DIR> SpeedProject 31.03.2006 09:42 <DIR> Sysinternals 01.04.2006 00:33 <DIR> VideoLAN 31.03.2006 22:17 <DIR> Winamp 31.03.2006 21:23 <DIR> Windows Media Player 31.03.2006 09:25 <DIR> Windows NT 01.04.2006 00:02 <DIR> WinRAR 31.12.2002 14:00 4.153 Win_XP_SP2_INFO.txt 31.03.2006 09:31 <DIR> xerox 23.07.2006 11:24 <DIR> XPcleanV7 5 Datei(en) 2.019.385 Bytes 61 Verzeichnis(se), 2.324.918.272 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 15.06.2006 16:12 <DIR> .bittorrent 31.03.2006 17:24 <DIR> Adobe 31.03.2006 17:24 <DIR> AdobeUM 26.06.2006 12:52 <DIR> Avant Browser 15.06.2006 22:53 <DIR> Azureus 31.03.2006 13:33 <DIR> F-Secure 02.07.2006 16:33 <DIR> FlashFXP 12.04.2006 11:59 <DIR> funkitron 15.04.2006 22:04 <DIR> Google 01.04.2006 00:07 <DIR> Help 22.07.2006 09:35 <DIR> Identities 23.07.2006 00:59 1.425.873 Install.dat 23.04.2006 12:29 <DIR> Lavasoft 09.04.2006 14:32 <DIR> Macromedia 16.06.2006 20:36 <DIR> Meine Die Schlacht um Mittelerde-Dateien 25.06.2006 11:41 <DIR> Meine Die Schlacht um MittelerdeT II-Dateien 26.06.2006 13:03 <DIR> Mozilla 22.04.2006 23:02 <DIR> Sony Corporation 31.03.2006 21:12 <DIR> SpeedProject 16.06.2006 09:54 <DIR> Sun 01.04.2006 00:20 <DIR> vlc 22.07.2006 09:27 <DIR> Zylom 1 Datei(en) 1.425.873 Bytes 21 Verzeichnis(se), 2.324.914.176 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 141A-70A5 Verzeichnis von C:\Programme\Gemeinsame Dateien 23.07.2006 01:00 <DIR> . 23.07.2006 01:00 <DIR> .. 31.03.2006 17:24 <DIR> Adobe 16.04.2006 11:20 <DIR> Ahead 31.03.2006 09:48 <DIR> DESIGNER 31.03.2006 09:28 <DIR> Dienste 01.04.2006 13:11 <DIR> G DATA 17.04.2006 09:44 <DIR> GIS 15.04.2006 22:04 <DIR> InstallShield 15.06.2006 21:26 <DIR> Java 06.07.2006 21:34 <DIR> Logitech 17.04.2006 09:45 <DIR> Mapserv 23.07.2006 07:15 <DIR> mfio 31.03.2006 09:49 <DIR> Microsoft Shared 31.03.2006 09:28 <DIR> MSSoap 31.03.2006 10:19 <DIR> ODBC 19.07.2006 11:46 <DIR> Panasonic 22.04.2006 23:47 <DIR> Sony Shared 31.03.2006 10:19 <DIR> SpeechEngines 09.04.2006 14:44 <DIR> SWF Studio 31.03.2006 09:47 <DIR> System 0 Datei(en) 0 Bytes 21 Verzeichnis(se), 2.324.914.176 Bytes frei zu 3: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 23.07.2006 16:20:34 for strings: ; 'dxtpdh' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxtpdh.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxtpdh.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000] "Service"="dxtpdh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000\Control] "ActiveService"="dxtpdh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh] ; Contents of value: ; \??\c:\windows\system32\dxtpdh.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh\Enum] "0"="Root\\LEGACY_DXTPDH\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdx] ; Contents of value: ; \??\c:\windows\system32\dxtpdh.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxtpdh.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxtpdh.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH\0000] "Service"="dxtpdh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh] ; Contents of value: ; \??\c:\windows\system32\dxtpdh.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdx] ; Contents of value: ; \??\c:\windows\system32\dxtpdh.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxtpdh.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxtpdh.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000] "Service"="dxtpdh" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000\Control] "ActiveService"="dxtpdh" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh] ; Contents of value: ; \??\c:\windows\system32\dxtpdh.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh\Enum] "0"="Root\\LEGACY_DXTPDH\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdx] ; Contents of value: ; \??\c:\windows\system32\dxtpdh.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00 ; End Of The Log... @Gastaccount Habe ich gesehen, is krass Ist eigentlich auch zu sehen wann ich mir den Eingefangen habe??? Dieser Beitrag wurde am 23.07.2006 um 16:57 Uhr von AxelFolie editiert.
|
|
|
||
23.07.2006, 18:04
Ehrenmitglied
Beiträge: 29434 |
#9
1.
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom Avenger, was erscheint + noch mal das log von Blacklight ---------------------------------------------------------------------------- arbeite smitfraud.fix ab (Option 1 und 2 - lasse auch die registry mitreinigen, poste beide scanreporte) http://virus-protect.org/artikel/tools/smitfrautfix.html ------------------------------------------------------------------------------ desinstalliere: 23.07.2006 01:00 -> C:\Programme\Network Monitor ----------------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htmPC neustarten ** TuneUp 2006 (30 Tage free) Shareware http://virus-protect.org/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner ** neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein ** poste das log von Winpfind http://virus-protect.org/lspfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 19:44
Moderator
Beiträge: 7805 |
#10
So, bin wieder zu Hause!
Also du hast dir zu dem Zeitpunkt diese Malware eingefangen: 23.07.2006 00:58 8.785 a.exe Komischerweise haette dein Antivir den blocken muessen: AntiVir 6.35.0.24 07.22.2006 TR/Crypt.F.Gen Mach mit der Datei mal einen Kontrollscan. Falls du mit Avenger schon gearbeitet haben solltest, schaue unter c:\avenger nach. Dort saollte sich eine ZIP Datei befinden. SChicke diese auch an virus@protecus.de obwohl ich eigentlich alles schon gesehen haben sollte, was dieser Trojaner herunterlaedt. Aber das aendert sich sehr schnell und ist auch systemabhaengig. Eine Seite, bei der man sich diesen Trojaner holt ist u.a. auf der Seite ms*rack.xxx Je nachdem, wenn und wo du dich infiziert hast, kann es auch sein, das da noch mehr rootkits sind, die nur Gmer derzeit findet. Also, du hast ja nun gesehen, was der Trojaner alles geklaut hat und weiss was zu tun ist!! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.07.2006, 19:58
...neu hier
Themenstarter Beiträge: 6 |
#11
Wow, ihr habt hier meine Hochachtung. Ist das euer Hobby oder Beruf???
Ich arbeite mal die ersten drei Log's ab. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\xlcyvsyk ******************* Script file located at: \??\C:\WINDOWS\system32\kuvpftvr.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Programme\Network Monitor\netmon.exe deleted successfully. File C:\WINDOWS\uninstall_nmon.vbs deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\$b17a2e8.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\a.exe deleted successfully. File C:\WINDOWS\System32\clcbt.exe not found! Deletion of file C:\WINDOWS\System32\clcbt.exe failed! Could not process line: C:\WINDOWS\System32\clcbt.exe Status: 0xc0000034 File C:\WINDOWS\system32\dxtpdh.sys deleted successfully. File C:\WINDOWS\system32\dxtpdx.dll deleted successfully. File C:\WINDOWS\system32\ms87.dat deleted successfully. File C:\WINDOWS\system32\klgcptini.dat deleted successfully. File C:\WINDOWS\system32\qz.dll deleted successfully. File C:\WINDOWS\system32\qz.sys deleted successfully. File C:\winstall.exe deleted successfully. File C:\uniq deleted successfully. File C:\WINDOWS\system32\klo5.sys deleted successfully. File C:\WINDOWS\system32\ps.a3d deleted successfully. File C:\WINDOWS\system32\d3d9caps.dat deleted successfully. File C:\WINDOWS\system32\basesrv4.exe deleted successfully. File C:\WINDOWS\system32\3ivx2501.exe deleted successfully. File C:\WINDOWS\system32\atmlib87.exe deleted successfully. File C:\WINDOWS\system32\taskmgn.exe deleted successfully. File C:\WINDOWS\system32\gncfodmk.exe deleted successfully. File C:\WINDOWS\system32\winrknj deleted successfully. File C:\WINDOWS\system32\batmeter.exe deleted successfully. File C:\WINDOWS\system32\atmlib03.exe deleted successfully. File C:\WINDOWS\system32\capesnpn.exe deleted successfully. File C:\WINDOWS\system32\atmpvcno.exe deleted successfully. File C:\WINDOWS\system32\dxtpdx.dll not found! Deletion of file C:\WINDOWS\system32\dxtpdx.dll failed! Could not process line: C:\WINDOWS\system32\dxtpdx.dll Status: 0xc0000034 File C:\WINDOWS\inetloader.dll deleted successfully. File C:\WINDOWS\keyboard1.dat deleted successfully. Completed script processing. ******************* Finished! Terminate. SmitFraudFix v2.74 Scan done at 19:45:36,24, 23.07.2006 Run from C:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End SmitFraudFix v2.74 Scan done at 19:48:46,42, 23.07.2006 Run from C:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Rest folgt gleich |
|
|
||
23.07.2006, 20:25
Moderator
Beiträge: 7805 |
#12
Ich poste mal, damit du nicht in die Doppelpostsperre laeufst. Denke daran, die avenger.zip an virus@protecus.de zu schicken.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.07.2006, 21:10
...neu hier
Themenstarter Beiträge: 6 |
#13
Soooooooooooo, endlich fertig, nur bei dem letzten Progi bekamm ich keine Log. Also die Fehlermeldung kommt nicht aber dafür eine, das mein Adobe Gamma Loader.exe einen Trojaner beherberg "TR/VB.ami.2" aber das ist ein anderes Thema.
@raman Mail ist raus Thx @Sabina Der TR taucht nicht mehr auf, ich bin dir zu 1000 Dank verpflichtet. Vielen, vielen Dank Eine letzte Frage habe ich noch, hoffe ich ;-). Ist AntiVir eine gute Lösung? Und welche SicherheitProgis würden denn mit AntiVir sehr gut harmonieren? |
|
|
||
23.07.2006, 21:27
Moderator
Beiträge: 7805 |
#14
Ich wollte bei der Adobe Meldung erst auf fehlalarm tippen, aber anscheinend wird die von dem Trojaner ersetzt:
Complete scanning result of "Adobe_Gamma_Loader.exe", received in VirusTotal at 06.08.2006, 08:57:07 (CET). Antivirus Version Update Result AntiVir 6.34.1.37 06.08.2006 TR/VB.ami.2 Authentium 4.93.8 06.08.2006 no virus found Avast 4.7.844.0 06.06.2006 no virus found AVG 386 06.07.2006 no virus found BitDefender 7.2 06.08.2006 Trojan.Clicker.VB.EG CAT-QuickHeal 8.00 06.07.2006 no virus found ClamAV devel-20060426 06.07.2006 no virus found DrWeb 4.33 06.07.2006 Trojan.Click.1234 eTrust-InoculateIT 23.72.31 06.07.2006 no virus found eTrust-Vet 12.6.2248 06.08.2006 no virus found Ewido 3.5 06.07.2006 Trojan.VB.ami Fortinet 2.77.0.0 06.08.2006 Adware/AdClicker F-Prot 3.16f 06.07.2006 no virus found Ikarus 0.2.65.0 06.07.2006 no virus found Kaspersky 4.0.2.24 06.08.2006 Trojan.Win32.VB.ami McAfee 4779 06.07.2006 AdClicker-C.gen Microsoft 1.1441 06.08.2006 no virus found NOD32v2 1.1585 06.07.2006 Win32/TrojanClicker.VB.NAW Norman 5.90.17 06.07.2006 no virus found Panda 9.0.0.4 06.07.2006 Trj/Clicker.QL Sophos 4.06.0 06.08.2006 Troj/AdClick-CS Symantec 8.0 06.08.2006 no virus found TheHacker 5.9.8.156 06.08.2006 Trojan/VB.ami UNA 1.83 06.06.2006 no virus found VBA32 3.11.0 06.07.2006 Trojan.Win32.VB.ami Achso, Antivir ist ganz gut auch mit aktivierter Heuristik. Leider fehlt die Spy/Adware Erkennung, die gibt es nur bei der Premium und aufwaerts. Ansonsten ist EWIDO ein angemessener zusatz fuer Antivir. Nutz auch einmal GMER: http://virus-protect.org/artikel/tools/gmer.html NAchtrag, Kaspersky AV Version 6 ist derzeit das mass der Dinge (IMO) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.07.2006, 23:51
Ehrenmitglied
Beiträge: 29434 |
#15
AxelFolie
wieso erscheinen im Avenger-Log nicht die registryeintraege, die zu loeschen waren ???? Zitat registry keys to delete:---------------------------------------------------------- 1. fixe mit dem HijackThis: O4 - Startup: Adobe Gamma Loader.exe PC neustarten 2. loeschen: Adobe Gamma Loader.exe 3. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. wie raman schon geschrieben hatte: 4. Bitte nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, waehle Copy und fuege den bericht ein. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
wie einige andere bin ich beim Thema Viren auch ein Newbie also wenn ich was vergessen haben sollte bitte nicht schimpfen. ;-)
Also seit gestern bekommen ich von meinem AntiVir eine Meldung das ich einen Virus habe. Zum teil geht diese Meldung bis zu 5-6mal auf.
Er befindet sich: C:\WINDOWS\system32\dxtpdx.dll und als weitere Info bekomme ich: "Ist das Trojanische Pferd TR/PSW.PdPi.CT.1.D
Ich habe die Datei aber nicht unter system32 gefunden.
Nun habe ich mit HijackThis ein Logfile erstellt, würde mich freuen wenn ihr mir helfen könnt.
Logfile of HijackThis v1.99.1
Scan saved at 12:00:19, on 23.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\atmlib87.exe
C:\WINDOWS\system32\ctfmon.exe
C:\winstall.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Network Monitor\netmon.exe
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Adobe Gamma Loader.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\1XConfig.exe
E:\Spiele\Die Schlacht um Mittelerde\lotrbfme.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [ÿ_zskJIB[YM`] C:\WINDOWS\system32\_zskdmwinYMLVFLPE\`MY[BIJ.exe
O4 - HKLM\..\Run: [0018b339a250] C:\WINDOWS\system32\atmlib87.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: 42 AC Plug.lnk = C:\Programme\iOpus-AC-Plug\acplug.exe
O4 - Startup: Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=about:blank
O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
MfG
AxelFolie