SpyQuake,Purity,PCK.Klone,Zlob

Thema ist geschlossen!
Thema ist geschlossen!
#0
25.07.2006, 00:10
Member

Themenstarter

Beiträge: 17
#16 ich habe ne neue bat datei erstellt gehabt, wie du es im post um 23:57 gesagt hattest. diese habe ich dann auf dem infiziertem PC 1x angewendet. den text den ich als ergebniss ausgegeben gekommen habe hatte ich hier reinkopiert.

den scheinst du aber nicht zu meinen.
sorry ich versteh scheinbar nicht was ich machen soll.
Seitenanfang Seitenende
25.07.2006, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 nun gut, klicke noch mal auf die neue bat, die du erstellt hast... klicke alles durch und poste noch mal alles, was enthalten ist ;)

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.07.2006, 00:31
Member

Themenstarter

Beiträge: 17
#18 ich bin der, der hilfe möchte und möchte dir auch helfen mir zu helfen indem ich das genau mache was du sagst.

hier ist jetzt das txt. was mir die letzte file.bat ausgegeben hat.
habe die file.bat nochmal angeguckt und überprüft ob es genauso aussieht wie in den zitaten, tut es, hab ja auch mit copy-paste gearbeitet.
diesmal hab ich vorm speichern mir das dos-fenster mal angeguckt und dort schreibt er:

Zitat

c:\dokumente und einstellungen\locke\desktop>cd\
c:\>dir "c:\programme\gemeinsame dateien\<{EA8CB4F9-0582-1031-0820-020111070031}>"
1>>files.txt
Datei nicht gefunden

C:\>notepad files.txt
wenn ich das editorfenster schließe fragt er mich gerade ob ich den batchvorgang abbrechen möchte. (hatte er beim ersten mal nicht getan, da hat es sich gleich geschlossen)

was in dem ausgegebenen txt-editor erscheint ist der ganze kram hier,
wobei einige der dort unteranderem aufgeführten programme schon länger nichtmehr auf dem rechner sind:

edit

Verzeichnis von C:\Programme\Gemeinsame Dateien
soll ich den batchvorgang nun abbrechen j/n ??
Seitenanfang Seitenende
25.07.2006, 19:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 nicht gefunden, bedeutet, die datei ist geloescht. ;)
poste das neue log vom HijackThis
+
mache einen Onlinescan mit ewido + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.07.2006, 22:34
Member

Themenstarter

Beiträge: 17
#20 hi

der neue hijackthis - log

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 22:04:29, on 25.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Dokumente und Einstellungen\Locke\Desktop\VirenFight\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Security Hot Fix] "%SystemRoot%\mshotfix.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\atiprbxx.exe /g
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093077972969
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/soesysinfo.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

hab das onlinescan laufen lassen (war ein komisches gefühl mit dem rechner wieder online zu gehen, hatte ihn die ganze zeit seit infektion getrennt...)

beim ersten durchlauf hatte ewido 2 cookies gefunden und beseitigt, gerade läuft der zweite durchlauf.
Seitenanfang Seitenende
25.07.2006, 22:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 das log vom HijackThis ist sauber, mal sehen, was die Virenscanner meinen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.07.2006, 23:02
Member

Themenstarter

Beiträge: 17
#22 also der ewido onlinescan - runde 2 war komplett sauber!

und hab eben nochmal den sophos (updated) hinterherlaufen lassen -
der meckerte wegen mehrere kennwortgeschütze dateien im adobe\acrobat 7.0 ordner:

Zitat

C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RDrMsgSplash.pdf
C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
sowie noch über 5 andere pdf dokumente über deren herkunft ich sicher bescheid weis.
Seitenanfang Seitenende
26.07.2006, 13:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 dann ist alles wieder in Ordnung. Alles Gute fuer dich + PC ;)

wenn du das hier nicht mehr findest.............

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"{EA8CB4F9-0582-1031-0820-020111070031}

C:\Programme\Gemeinsame Dateien\{EA8CB4F9-0582-1031-0820-020111070031}

ueberpruefe es noch mal in der Registry und unter Windows....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.07.2006, 14:34
Member

Themenstarter

Beiträge: 17
#24 super *freu* - hab nix gefunden ;)

vielen vielen dank, es ist irgendwie schön die kiste wieder rödeln zu hören ;)
ihr/DU mach(s)t hier nen super job! riesen respekt! weiter so, es ist ein sehr angenehmes gefühl zu wissen das da jmd ist an den man sich wenden kann.
werde euch weiterempfehlen und selber im gedächniss gehalten.

byebye, hoffe ich werde hier nicht so schnell wieder auftauchen ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: