Home » Viren, Trojaner & Malware Forum » Trojaner ?? USB496.dat gefunden / 2 Protokolle angefügt » Themenansicht

Trojaner ?? USB496.dat gefunden / 2 Protokolle angefügt
#0
15.08.2006, 01:44
farmerboy
...neu hier

Beiträge: 4
#1 Hallo, meine Suche war hier nicht so erfolgreich, daher dieses Posting. Wusste garnicht das es solche geilen Foren gibt mit so fleißigen Helfern..

Nachdem ich mir durch meine AOL Mitgliedschaft gestern G Data Antivirus zugelegt habe, wurde das nette Tool auch gleich fündig.. Früher hatte ich mal Free AntiVir.

Vielleicht könnt ihr mir weiterhelfen.

Folgende Infos hatte er für mich:

C:\WINDOWS\system32\usb496.dat

Der Virus wurde benannt als: Trojan.Dropper.Delf.DG (BD-Engine)

Hier das G Data Protokoll:

-----------------

Virenprüfung mit G DATA AntiVirus präsentiert von AOL
Version 16.0.5
Virensignaturen vom 13.08.2006
Startzeit: 13.08.2006 16:57
Engine(s): KAV-Engine (AVK 16.9100), BD-Engine (BD 16.5438)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: [From MarcSeelen@t-online.de (partymusic-suederbrarup)][Date Sat, 1 Mar 2003 02:13:12 +0100]/UNNAMED html
In Archiv: C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\Identities\{2BD63891-D8A7-4C18-A1B7-F3B98AAB6804}\Microsoft\Outlook Express\Gelöschte Objekte.dbx
Status: Virenverdacht
Virus: Exploit.HTML.Iframe.FileDownload (KAV-Engine)
Objekt: [From MarcSeelen@t-online.de (partymusic-suederbrarup)][Date Sat, 1 Mar 2003 02:13:12 +0100]/UNNAMED fe.scr
In Archiv: C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\Identities\{2BD63891-D8A7-4C18-A1B7-F3B98AAB6804}\Microsoft\Outlook Express\Gelöschte Objekte.dbx
Status: Virus gefunden
Virus: Email-Worm.Win32.Klez.h (KAV-Engine)
Objekt: Gelöschte Objekte.dbx
Pfad: C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\Identities\{2BD63891-D8A7-4C18-A1B7-F3B98AAB6804}\Microsoft\Outlook Express
Status: Virus gefunden
Virus: Exploit.HTML.Iframe.FileDownload, Email-Worm.Win32.Klez.h (KAV-Engine)
Objekt: [From MarcSeelen@t-online.de (dj-bj)][Date Sat, 22 Feb 2003 06:03:53 +0100]/UNNAMED html
In Archiv: C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\Identities\{2BD63891-D8A7-4C18-A1B7-F3B98AAB6804}\Microsoft\Outlook Express\technoradio.info.dbx
Status: Virenverdacht
Virus: Exploit.HTML.Iframe.FileDownload (KAV-Engine)
Objekt: [From MarcSeelen@t-online.de (dj-bj)][Date Sat, 22 Feb 2003 06:03:53 +0100]/UNNAMED zur.pif
In Archiv: C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\Identities\{2BD63891-D8A7-4C18-A1B7-F3B98AAB6804}\Microsoft\Outlook Express\technoradio.info.dbx
Status: Virus gefunden
Virus: Email-Worm.Win32.Klez.h (KAV-Engine)
Objekt: technoradio.info.dbx
Pfad: C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\Identities\{2BD63891-D8A7-4C18-A1B7-F3B98AAB6804}\Microsoft\Outlook Express
Status: Virus gefunden
Virus: Exploit.HTML.Iframe.FileDownload, Email-Worm.Win32.Klez.h (KAV-Engine)
Objekt: WISE0025.BIN/data0001.cab VVSN.exe
In Archiv: C:\Programme\BSINSTALLDE502.exe
Status: Virus gefunden
Virus: not-a-virus:AdWare.Win32.SaveNow.z (KAV-Engine)
Objekt: BSINSTALLDE502.exe
Pfad: C:\Programme
Status: Virus gefunden
Virus: not-a-virus:AdWare.Win32.SaveNow.z (KAV-Engine)
Objekt: WISE0017.BIN cd_clint.dll
In Archiv: C:\Programme\flashget version 1.60 (2004.4) mutilanguage.exe
Status: Virus gefunden
Virus: not-a-virus:AdWare.Win32.Cydoor (KAV-Engine)
Objekt: flashget version 1.60 (2004.4) mutilanguage.exe
Pfad: C:\Programme
Status: Virus gefunden
Virus: not-a-virus:AdWare.Win32.Cydoor (KAV-Engine)
Objekt: LLFTPr1.exe
Pfad: C:\Programme\LapLink\LLFTP
Status: Datei in Quarantäne verschoben
Virus: not-a-virus:AdWare.Win32.TimeSink (KAV-Engine)
Objekt: A0087910.exe
Pfad: C:\System Volume Information\_restore{7DCDA70F-8ADA-4E32-865D-08FDE263104C}\RP820
Status: Virus gefunden
Virus: not-a-virus:AdWare.Win32.TimeSink (KAV-Engine)
Objekt: usb496.dat
Pfad: C:\WINDOWS\system32
Status: Virus gefunden
Virus: Trojan.Dropper.Delf.DG (BD-Engine)
Analyse vollständig durchgeführt: 14.08.2006 03:08
94773 Dateien überprüft
7 infizierte Dateien gefunden
0 verdächtige Dateien gefunden


--------------------------

In meiner Panik habe ich ihn nach etwas Google-Arbeit in Quarantäne legen lassen. Mit ad-aware 6 mal scannen lassen und auch Spybot bemüht. Da ich mir aber dachte, da isser nicht ganz weg, hab ich ihn aus G Data zurücklegen lassen und wollte ihn nun mit eurer Hilfe entfernen.

Oder genügt die Quarantäne ??

Hier auch ein Scan von Hijackthis, den ich nach dem Zurücklegen nochmal gemacht habe. Da seh ich ihn jetzt aber nicht mehr.


Ich hoffe ihr könnt mir helfen, ohne das ich mein System neu aufsetzen muss.
Das wäre für mich wirklich die absolute Katastrophe.

Gerne schaue ich auch nochmal wenn ihr noch Infos braucht.

Gruß
Farmerboy


------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 01:31:46, on 15.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKService.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKTray\AVKTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKWCtl.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {E04EAE82-14AD-41CB-BF5A-45556ABB8347} (WebCoachDownload Class) - http://esupport.aol.de/de/engine/aolcinst_de_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB2729F9-1448-4D11-8736-4337686CF7AF}: NameServer = 205.188.146.145
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKWCtl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--------------------- Bericht Ende


Hat keiner eine Idee ? Oder fehlen wichtige Infos / Logfiles ?

Gruß
Farmerboy
Dieser Beitrag wurde am 15.08.2006 um 15:57 Uhr von farmerboy editiert.
Seitenanfang Seitenende
15.08.2006, 18:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 farmerboy

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 20:43
farmerboy
...neu hier

Themenstarter

Beiträge: 4
#3 Hi Sabina !

Habe die Scans durchgeführt und hoffe du kannst damit etwas anfangen.

Die usb496.dat ist noch ganz normal im Windows Verzeichniss abgelegt momentan. G Data warnt mich aber davor. By the Way: Is G Data überhaupt so das richtige Tool ??

Danke für die Mühe!

So, here we go!



ComboFix

Start Time= 15.08.2006 20:22:33,53
Running from: C:\Programme

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-15 20:17:58 240 ( A.... ) "C:\Programme\datFind.zip"
2006-08-15 20:15:34 339257 ( A.... ) "C:\Programme\CleanUp452.exe"
2006-08-15 20:15:14 332286 ( A.... ) "C:\Programme\combofix.exe"
2006-08-15 01:31:48 6982 ( A.... ) "C:\Programme\hijackthis.log"
2006-08-15 01:11:16 212843 ( A.... ) "C:\Programme\hijackthis_199.zip"
2006-08-13 16:42:04 52858 ( A.... ) "C:\WINDOWS\system32\interceptor.sys"
2006-08-13 16:42:04 52858 ( A.... ) "C:\WINDOWS\system32\interceptor.sys"
2006-08-13 16:41:44 ( .D... ) "C:\Programme\CDRecordKit"
2006-08-13 16:41:34 ( .D... ) "C:\Programme\Gemeinsame Dateien\G DATA"
2006-08-13 16:41:32 ( .D... ) "C:\Programme\G DATA AntiVirus praesentiert von AOL"
2006-08-13 16:39:14 59666270 ( A.... ) "C:\Programme\Virenschutz.exe"
2006-08-02 22:59:18 ( .D... ) "C:\Programme\DIEUHR"
2006-08-02 22:57:56 377456 ( A.... ) "C:\WINDOWS\system32\ssgorgytim.scr"
2006-08-02 22:57:36 397049 ( A.... ) "C:\Programme\dieuhr.zip"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-06-19 16:20:42 702768 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll"
2006-06-16 14:34:44 48936 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll"
2006-06-06 23:11:30 15345448 ( A.... ) "C:\Programme\Install_Messenger_Beta.exe"
2006-06-06 23:09:48 9402056 ( A.... ) "C:\Programme\Install_MSN_Messenger.EXE"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-04-27 00:00:28 10814312 ( A.... ) "C:\Programme\WSFTP_ProT128g_Install.exe"
2005-08-22 00:39:00 3540800 ( A.... ) "C:\Programme\BSINSTALLDE502.exe"
2005-07-15 16:12:34 461424 ( A.... ) "C:\Programme\msgr6de.exe"
2005-02-16 11:06:16 218112 ( A.... ) "C:\Programme\HijackThis.exe"
2005-01-12 03:10:30 4354084 ( A.... ) "C:\Programme\spybotsd13.exe"
2005-01-12 03:08:40 242709 ( A.... ) "C:\Programme\xp-AntiSpy_deutsch.zip"
2004-10-27 10:15:48 147456 ( A.... ) "C:\Programme\xp-AntiSpy.exe"
2004-10-10 17:40:22 921031 ( A.... ) "C:\Programme\wrar300d.exe"
2004-09-01 12:10:48 199628 ( A.... ) "C:\Programme\xp-AntiSpy.chm"
2004-08-26 03:32:18 324608 ( A.... ) "C:\Programme\FreePDFXP1.2.EXE"
2004-08-26 03:24:42 7337472 ( A.... ) "C:\Programme\gs814w32.exe"
2004-08-21 12:27:14 1821147 ( A.... ) "C:\Programme\flashget version 1.60 (2004.4) mutilanguage.exe"
2004-01-20 14:54:06 8315 ( A.... ) "C:\Programme\snylcd41.cat"
2004-01-16 20:48:56 1599 ( A.... ) "C:\Programme\SnyLCD41.inf"
2003-04-22 21:02:14 135168 ( A.... ) "C:\Programme\AVIPreview.exe"
2003-04-22 21:00:46 4262 ( A.... ) "C:\Programme\ChangeLog.txt"
2003-03-05 22:34:34 1540293 ( A.... ) "C:\Programme\aaw6.exe"
2002-12-09 16:01:28 2158 ( A.... ) "C:\Programme\README.txt"
2002-07-08 09:51:06 27340 ( A.... ) "C:\Programme\README-E.RTF"
1998-10-19 03:18:16 1302 ( A.... ) "C:\Programme\Sony_l93.icm"
1998-10-19 03:18:16 1302 ( A.... ) "C:\Programme\Sony_l65.icm"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-15 00:49 49.250 C:\WINDOWS\system32\javaw.exe
2006-08-15 00:49 49.248 C:\WINDOWS\system32\java.exe
2006-08-15 00:49 127.078 C:\WINDOWS\system32\javaws.exe
2006-08-13 16:42 52.858 C:\WINDOWS\system32\interceptor.sys
2006-08-02 22:57 377.456 C:\WINDOWS\system32\ssgorgytim.scr


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LTSMMSG"="LTSMMSG.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet"
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"ezShieldProtector for Px"="C:\\WINDOWS\\System32\\ezSP_Px.exe"
"DeltTray"="DeltTray.exe"
"Nokia Tray Application"="C:\\Programme\\Gemeinsame Dateien\\Nokia\\NCLTools\\NclTray.exe"
"sys"=hex(2):72,65,67,65,64,69,74,20,2d,73,20,73,79,73,64,6c,6c,2e,72,65,67,00
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Realtime Audio Engine"="mmrtkrnl.exe"
"AVKTray"="\"C:\\Programme\\G DATA AntiVirus praesentiert von AOL\\AVKTray\\AVKTray.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="file:///C:/DOKUME~1/Marc/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOKUME~1/Marc/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg"
"FriendlyName"=""
"Flags"=dword:00002001
"Position"=hex:2c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:dc,ff,92,02,09,48,e7,77,c8,0d,e7,77,ff,ff,ff,ff,c4,e1,\
e5,77,c4,e1,e5,77

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,ea,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec Network Driver Update Warning"="C:\\PROGRA~1\\Symantec\\LIVEUP~1\\SNDWarn.EXE"
"Symantec NetDriver Warning"="C:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec Network Driver Update Warning"="C:\\PROGRA~1\\Symantec\\LIVEUP~1\\SNDWarn.EXE"
"Symantec NetDriver Warning"="C:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""




Contents of the 'Scheduled Tasks' folder

Completion time: 15.08.2006 20:22:48,54
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt

---------------------------------

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\system32

15.08.2006 20:29 1.158 wpa.dbl
15.08.2006 00:49 7.006 jupdate-1.5.0_06-b05.log
13.08.2006 16:42 52.858 interceptor.sys
09.08.2006 21:03 8.325.544 MRT.exe
02.08.2006 22:57 377.456 ssgorgytim.scr
14.07.2006 17:38 332.288 netapi32.dll
12.07.2006 19:07 40.972 perfc009.dat
12.07.2006 19:07 314.644 perfh009.dat
12.07.2006 19:07 49.372 perfc007.dat
12.07.2006 19:07 320.424 perfh007.dat
12.07.2006 19:07 732.166 PerfStringBackup.INI
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 14:34 48.936 sirenacm.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
03.04.2006 11:40 14.048 spmsg.dll


--------------------

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\DOKUME~1\Marc\LOKALE~1\Temp

15.08.2006 20:29 16.384 ~DF2413.tmp
15.08.2006 18:19 16.384 ~DFFC4C.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 10.861.674.496 Bytes frei

----------------------


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS

15.08.2006 20:27 1.938.090 WindowsUpdate.log
15.08.2006 20:23 6.340 setupact.log
15.08.2006 20:21 3.898 KB920214.log
15.08.2006 20:21 6.826 KB921398.log
15.08.2006 20:21 3.848 KB922616.log
15.08.2006 18:22 8.376 KB920683.log
15.08.2006 18:20 1.117 win.ini
15.08.2006 18:19 0 0.log
15.08.2006 18:19 157 wiadebug.log
15.08.2006 18:19 50 wiaservc.log
15.08.2006 18:19 2.048 bootstat.dat
15.08.2006 03:37 32.622 SchedLgU.Txt
15.08.2006 03:27 54.156 QTFont.qfn
15.08.2006 00:56 526 system.ini
14.08.2006 18:37 7.426 WgaNotify.log
14.08.2006 18:37 829.597 setupapi.log
13.08.2006 21:04 3.846 ModemLog_Lucent Technologies Soft Modem AMR.txt
13.08.2006 16:47 3.062 KB918899.log
13.08.2006 16:46 2.743 KB917422.log
13.08.2006 16:45 2.687 KB920670.log
10.08.2006 21:15 47.002 wmsetup.log
09.08.2006 00:54 121.970 iis6.log
09.08.2006 00:54 268.650 comsetup.log
09.08.2006 00:54 163.235 ntdtcsetup.log
09.08.2006 00:54 310.510 tsoc.log
09.08.2006 00:54 1.355 imsins.log
09.08.2006 00:54 37.857 ocmsn.log
09.08.2006 00:54 13.354 KB921883.log
09.08.2006 00:54 405.125 ocgen.log
09.08.2006 00:54 39.891 msgsocm.log
09.08.2006 00:54 773.769 FaxSetup.log
09.08.2006 00:54 36.804 updspapi.log
02.08.2006 23:00 139 control.ini
31.07.2006 23:33 1.409 QTFont.for
12.07.2006 19:04 1.374 imsins.BAK
12.07.2006 19:04 11.841 KB917159.log
12.07.2006 19:04 12.349 KB914388.log
12.07.2006 19:04 10.372 KB916595.log
14.06.2006 20:45 31.529 spupdsvc.log
14.06.2006 18:58 14.586 KB917734.log
14.06.2006 18:57 18.071 KB918439.log
14.06.2006 18:57 17.520 KB917344.log
14.06.2006 18:57 16.471 KB917953.log
14.06.2006 18:56 16.449 KB911280.log
14.06.2006 18:56 19.413 KB916281.log
14.06.2006 18:56 11.545 KB914389.log
15.05.2006 03:08 12.503 KB913580.log
02.05.2006 01:02 14.879 KB911562.log
02.05.2006 01:02 14.910 KB900485.log
02.05.2006 01:02 16.818 KB912812.log
02.05.2006 01:01 11.655 KB908531.log
02.05.2006 01:01 13.891 KB911565.log
02.05.2006 01:01 10.741 KB911567.log
27.04.2006 00:01 122 setup.log


-----------------------


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\

15.08.2006 20:34 0 sys.txt
15.08.2006 20:32 15.788 system.txt
15.08.2006 20:32 331 systemtemp.txt
15.08.2006 20:30 102.756 system32.txt
15.08.2006 20:29 268 sqmdata17.sqm
15.08.2006 20:29 244 sqmnoopt10.sqm
15.08.2006 20:22 9.130 ComboFix.txt
15.08.2006 18:19 1.073.319.936 hiberfil.sys
15.08.2006 18:19 402.653.184 pagefile.sys
15.08.2006 03:36 268 sqmdata16.sqm
15.08.2006 03:36 244 sqmnoopt09.sqm
15.08.2006 02:17 268 sqmdata15.sqm
15.08.2006 02:17 244 sqmnoopt08.sqm
14.08.2006 03:22 268 sqmdata14.sqm
14.08.2006 03:22 244 sqmnoopt07.sqm
12.08.2006 22:06 169 acb18367.txt
12.08.2006 17:54 268 sqmdata13.sqm
12.08.2006 17:54 244 sqmnoopt06.sqm
11.08.2006 19:03 268 sqmdata12.sqm
11.08.2006 19:03 244 sqmnoopt05.sqm
11.08.2006 00:56 268 sqmdata11.sqm
11.08.2006 00:56 244 sqmnoopt04.sqm
11.08.2006 00:55 169 ac9ee6b3.txt
10.08.2006 00:47 268 sqmdata10.sqm
10.08.2006 00:47 244 sqmnoopt03.sqm
10.08.2006 00:19 169 acb0c2d5.txt
07.08.2006 19:22 268 sqmdata09.sqm
07.08.2006 19:22 244 sqmnoopt02.sqm
07.08.2006 02:43 268 sqmdata08.sqm
07.08.2006 02:43 244 sqmnoopt01.sqm
03.08.2006 23:33 169 acb1561b.txt
03.08.2006 00:58 169 acaef620.txt
02.08.2006 01:57 268 sqmdata07.sqm
02.08.2006 01:57 244 sqmnoopt00.sqm
31.07.2006 02:02 268 sqmdata06.sqm
31.07.2006 02:02 244 sqmnoopt19.sqm
31.07.2006 00:46 169 acb2f4b6.txt
26.07.2006 20:28 169 acb05b65.txt
26.07.2006 02:34 268 sqmdata05.sqm
26.07.2006 02:34 244 sqmnoopt18.sqm
25.07.2006 22:31 129 acadc9b6.txt
24.07.2006 00:58 170 acb6c95d.txt
23.07.2006 22:52 129 ac9ef905.txt
21.07.2006 01:18 268 sqmdata04.sqm
21.07.2006 01:18 244 sqmnoopt17.sqm
14.07.2006 01:50 268 sqmdata03.sqm
14.07.2006 01:50 244 sqmnoopt16.sqm
14.07.2006 00:46 209 acd0363a.txt
13.07.2006 00:12 169 acb2e6f3.txt
12.07.2006 19:04 268 sqmdata02.sqm
12.07.2006 19:04 244 sqmnoopt15.sqm
12.07.2006 00:44 244 sqmnoopt14.sqm
12.07.2006 00:44 268 sqmdata01.sqm
11.07.2006 22:52 169 acb370c8.txt
07.07.2006 18:50 169 accea9d1.txt
07.07.2006 18:10 169 acae5ff6.txt
07.07.2006 02:14 759 winzip.log
03.07.2006 02:07 244 sqmnoopt13.sqm
03.07.2006 02:07 268 sqmdata00.sqm
30.06.2006 04:01 244 sqmnoopt12.sqm
29.06.2006 01:54 244 sqmnoopt11.sqm
28.06.2006 00:15 169 acb3761f.txt
24.06.2006 14:16 170 acb2eedc.txt
23.06.2006 17:57 169 acb36d53.txt
23.06.2006 00:19 129 acb2aba4.txt
21.06.2006 19:45 129 acb62c52.txt
16.06.2006 15:30 169 acb66d4b.txt
14.06.2006 22:11 129 ac9e1578.txt
13.06.2006 21:00 209 acae01ee.txt
12.06.2006 22:12 169 acd00c50.txt
11.06.2006 12:43 217 acb75e36.txt
08.06.2006 22:45 170 acb2ee9b.txt
07.06.2006 23:25 169 acd01e11.txt
06.06.2006 22:54 169 ac9e7939.txt
05.06.2006 22:38 169 acd036fd.txt
04.06.2006 20:22 169 acb38db4.txt
03.06.2006 02:33 170 acb39b1e.txt
31.05.2006 23:13 169 acb5a17a.txt
29.05.2006 00:30 170 acb62e76.txt
27.05.2006 19:25 169 acb5ff95.txt
26.05.2006 18:15 170 acd09cd9.txt
25.05.2006 23:41 169 acb33ec6.txt
25.05.2006 00:13 169 acd004a1.txt
22.05.2006 21:58 222 acb01b58.txt
21.05.2006 23:54 169 acae0b51.txt
19.05.2006 00:47 209 acb7ff5e.txt
17.05.2006 23:19 209 acb15ec2.txt
16.05.2006 23:14 209 acb1b2e4.txt
13.05.2006 18:02 168 acb2f54d.txt
05.05.2006 00:04 169 acd0a5bd.txt
04.05.2006 00:06 169 acb58fa5.txt
28.04.2006 01:19 170 acb77e0b.txt
27.04.2006 00:05 172 acb2c570.txt
25.04.2006 23:16 169 ac9ee019.txt
23.04.2006 03:11 169 acb00427.txt
19.04.2006 22:39 169 acb145b4.txt
18.04.2006 00:04 169 ac9e342d.txt
16.04.2006 21:34 169 acb7b43b.txt
13.04.2006 22:04 170 acb3d861.txt
13.04.2006 00:38 169 acb04303.txt
11.04.2006 22:40 169 acb05df2.txt
08.04.2006 18:33 169 acb3cbf4.txt
06.04.2006 00:28 169 acb19363.txt
01.04.2006 13:14 169 acb18d45.txt
Dieser Beitrag wurde am 15.08.2006 um 20:48 Uhr von farmerboy editiert.
Seitenanfang Seitenende
15.08.2006, 21:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 farmerboy

Troj/StartPa-AE - Information
http://www.sophos.de/security/analyses/trojstartpaae.html

-----------------
1.
Klicken in der Taskleiste auf Start|Ausführen. Geben "Regedit" ein und drücke Enter. Es öffnet sich der Registrierungseditor.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

loeschen:

"sys"=hex(2):72,65,67,65,64,69,74,20,2d,73,20,73,79,73,64,6c,6c,2e,72,65,67,00
sys = "regedit -s sysdll.reg"

Löschen den Eintrag, sofern er existiert.

Schließen den Registrierungseditor.


2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
PC neustarten

3.
C:\Windows\sysdll.reg löschen , falls es das gibt


4.
CWShredder - laden, scannen, poste den scanreport
http://virus-protect.org/antispytools.html

5.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/antispytools.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 22:32
farmerboy
...neu hier

Themenstarter

Beiträge: 4
#5 1. Erledigt

2. Erledigt für die Einträge R1 und R0, den 3. mit O4 gab es nicht.

3. C:\Windows\sysdll.reg löschen , falls es das gibt - Gab es nicht!


CWShredder

**** Run Keys ****

RUN: [LTSMMSG] LTSMMSG.exe
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
RUN: [nwiz] nwiz.exe /installquiet
RUN: [HTpatch] C:\WINDOWS\htpatch.exe
RUN: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
RUN: [DeltTray] DeltTray.exe
RUN: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
RUN: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
RUN: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
RUN: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
RUN: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
RUN: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
RUN: [Realtime Audio Engine] mmrtkrnl.exe
RUN: [AVKTray] "C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKTray\AVKTray.exe"
RUN: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
RUN: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
BHO: [] C:\PROGRA~1\SPYBOT~1\SDHelper.dll
BHO: [SSVHelper Class] C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
BHO: [IeCatch2 Class] C:\PROGRA~1\FlashGet\jccatch.dll


**** IE Toolbars ****

TOOLBAR: [FlashGet Bar] C:\PROGRA~1\FlashGet\fgiebar.dll


**** IE Extensions ****

IEExt: [Web Browser Applet Control] C:\WINDOWS\System32\msjava.dll
IEExt: [Recherchieren] C:\WINDOWS\System32\msjava.dll
IEExt: [FlashGet] C:\PROGRA~1\FlashGet\flashget.exe
IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe


**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

Default Page: http://www.club-vaio.sony-europe.com/
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\system32\blank.htm


**** IE Context Menu (Right click) ****

IEContext: [Alles mit FlashGet laden] C:\Programme\FlashGet\jc_all.htm
IEContext: [Mit FlashGet laden] C:\Programme\FlashGet\jc_link.htm
IEContext: [Nach Microsoft &Excel exportieren] res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IEContext: [Shorten URL] http://www.cjb.net/menuext.html


**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD RfComm [Bluetooth]
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9ACE293E-25B7-4E3F-9A6A-A62C2C285B0A}] SEQPACKET 9
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9ACE293E-25B7-4E3F-9A6A-A62C2C285B0A}] DATAGRAM 9
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B623502C-99D2-4A03-B2F0-AF6392A9BEAB}] SEQPACKET 8
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B623502C-99D2-4A03-B2F0-AF6392A9BEAB}] DATAGRAM 8
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A891796F-009A-4D4F-A0AD-8A97B02882C3}] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A891796F-009A-4D4F-A0AD-8A97B02882C3}] DATAGRAM 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8F2680D0-965D-4AB0-B2D8-CE24B7751BD8}] SEQPACKET 7
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8F2680D0-965D-4AB0-B2D8-CE24B7751BD8}] DATAGRAM 7
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ACD250E7-4B77-41AF-8F9F-969820B05F2C}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ACD250E7-4B77-41AF-8F9F-969820B05F2C}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0BDF209B-6E0C-488B-9AA1-C6AC74848865}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0BDF209B-6E0C-488B-9AA1-C6AC74848865}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D7A70524-55A7-4E38-BE73-E8C66388816A}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D7A70524-55A7-4E38-BE73-E8C66388816A}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2C01C10B-1062-4F56-A0BB-5500C047DE99}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2C01C10B-1062-4F56-A0BB-5500C047DE99}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F0374440-2C20-4D65-B855-708A499902BC}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F0374440-2C20-4D65-B855-708A499902BC}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB2729F9-1448-4D11-8736-4337686CF7AF}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB2729F9-1448-4D11-8736-4337686CF7AF}] DATAGRAM 5


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab]
Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]
{166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab]
{33564D57-0000-0010-8000-00AA00389B71} [http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab]
{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab]
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab]
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]
{E04EAE82-14AD-41CB-BF5A-45556ABB8347} [http://esupport.aol.de/de/engine/aolcinst_de_de.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AOL ACS] "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVKProxy] "C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"
[AVKService] C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKService.exe
[AVKWCtl] C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKWCtl.exe
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[BthServ] %SystemRoot%\system32\svchost.exe -k bthsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[ImapiService] C:\WINDOWS\System32\imapi.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\system32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[NVSvc] %SystemRoot%\System32\nvsvc32.exe
[ose] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[SPTISRV] C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{F87A4E3E-63BE-4E8D-9BB0-1C276CFBDFE5}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost -k DComLaunch
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[UMWdf] C:\WINDOWS\system32\wdfmgr.exe
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[usnsvc] C:\WINDOWS\system32\svchost.exe -k usnsvc
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WANMiniportService] "C:\WINDOWS\wanmpsvc.exe"
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Start Page] about:blank
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Use FormSuggest] no
IEOPT: [FormSuggest Passwords] yes
IEOPT: [FormSuggest PW Ask] yes
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] no
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] yes
IEOPT: [Save Directory] C:\Dokumente und Einstellungen\Marc\Eigene Dateien\maximal\
IEOPT: [IEWatsonDisabled]
IEOPT: [Force Offscreen Composition]
IEOPT: [Enable Browser Extensions] yes
IEOPT: [ShowGoButton] yes
IEOPT: [NoWebJITSetup]
IEOPT: [Friendly http errors] yes
IEOPT: [FavIntelliMenus] no
IEOPT: [NscSingleExpand]
IEOPT: [SmoothScroll]
IEOPT: [Page_Transitions]
IEOPT: [DisableScriptDebuggerIE] yes
IEOPT: [AllowWindowReuse]
IEOPT: [UseThemes]
IEOPT: [Print_Background] no
IEOPT: [Expand Alt Text] no
IEOPT: [Move System Caret] no
IEOPT: [Play_Animations] yes
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [Show image placeholders]
IEOPT: [Play_Background_Sounds] yes
IEOPT: [Display Inline Videos] yes
IEOPT: [AutoSearch]
IEOPT: [Default_Page_URL] http://www.club-vaio.sony-europe.com/
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.00.2800.1017
IEOPT: [FullScreen] no


Kaspersky


..läuft noch...



Was hat eigentlich diese Domain im IE (siehe CWShredder Logfile) zu tun:

IEContext: [Shorten URL] http://www.cjb.net/menuext.html

Wenn ich die Website anklicke bekomme ich auch immer eine Trojanerwarnung.
Dieser Beitrag wurde am 15.08.2006 um 22:40 Uhr von farmerboy editiert.
Seitenanfang Seitenende
15.08.2006, 22:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich denke, es muesste soweit o.k. sein, vielleicht findet der Kaspersky noch Dateien im Systemrestore..poste dann das Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 22:52
farmerboy
...neu hier

Themenstarter

Beiträge: 4
#7 OK, zu guter Letzt noch der kKspersky, zur Sicherheit:

Beim Scannen von usb496.dat im Windows Ordner gab G Data wieder Alarm, hab aber diesmal befohlen "Infizierte Datei löschen".


Was hat eigentlich diese Domain im IE (siehe CWShredder Logfile) zu tun:
IEContext: [Shorten URL] http://www.cjb.net/menuext.html
Wenn ich die Website anklicke bekomme ich auch immer eine Trojanerwarnung.

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 15. August 2006 22:48:47
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 15/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 202684
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\Marc\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24071
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:26:58

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{521273A4-1E25-42E2-AF69-7C30D2507560}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\tmp0000350b\tmp00000000 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\tmp00005565\tmp00000000 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Marc\LOKALE~1\Temp\~DF9A67.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


Vielen Dank für diese großartige Hilfe !!!
Seitenanfang Seitenende
16.08.2006, 23:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 +++
so kann man die Mails restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.

++
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

++
dann sollte wieder alles o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1