Tojaner in C:\windows\system32\ismini.exe Nicht Entfernbar!

#1 Wer kann helfen ??
Den o.g. Trojaner, der sich bei mir eingenistet hat, kann ich weder über Norton, noch über Adaware oder tuneup-cleaner entfernen oder in Quarantäne schicken. Wer hat einen Tip für mich (kein Computer-Fachmann sondern blutiger Laie !!!), wie ich den eliminiert kriege, ohne die gesamte Partition C formatieren und neu installieren zu müssen ?!?

#2 poste bitte folgende logs und wie heißt der trojaner?

http://board.protecus.de/t23187.htm

#3 Der Trojaner steckt in der Partition C\WINDOWS\System32\ismini.exe

Alle Arbeiten daran kann ich erst fürhestens heute abend vornehmen, da ich im Moment bei der Arbeit sitze und mein PC zuhause steht.

Danke zunächst mal für den ersten Hinweis. Ich versuch das mal später.

#4 nein der name des trojaners nicht der fundort

#5 Weiß ich nicht ! Wird mir nirgends angezeigt. Ich erhalte lediglich eine Meldung von Norton, daß an diesem Fundort ein Trojaner mit hoher Risiko Stufe gefunden wurde. Wie kann ich den Namen in Erfahrung bringen ?

#6 cyberanderas

arbeite smitfraudfix ab und poste die scanreporte von option 1 und 2
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Danke Sabina,

werde ich heute abend tun, wenn ich hoffentlich Zeit dazu finde.

mfG Andreas

#8 und bei der Gelegenheit poste mir auch folgende logs

««
Combofix
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

hier der Scan Rapport von smitfraud:

SmitFraudFix v2.105

Scan done at 19:02:40,98, 06.10.2006
Run from C:\Dokumente und Einstellungen\Andreas L�bke\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End







Andreas L�bke - 06-10-06 19:23:57,93 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{449E078F-0BB8-1031-1025-050509150031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-06 to 2006-10-06 ))))))))))))))))))))))))))))))))))


2006-10-06 18:50 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-10-06 18:50 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-06 18:50 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-10-06 18:50 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-09-22 11:43 94,208 --a------ C:\WINDOWS\system32\uhvjsul.dll
2006-09-22 11:43 18,944 --a------ C:\WINDOWS\system32\winrkq32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-06 19:24 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-05 20:26 -------- d-------- C:\Programme\Yahoo!
2006-10-05 20:26 -------- d-------- C:\Programme\ICQLite
2006-10-05 20:26 -------- d-------- C:\Programme\eBay
2006-10-05 20:26 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\ICQ Toolbar
2006-10-05 20:15 -------- d-------- C:\Programme\ICQToolbar
2006-10-05 20:13 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\WholeSecurity
2006-10-05 20:05 -------- d-------- C:\Programme\Norton Internet Security
2006-10-05 20:00 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-23 00:47 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-17 13:56 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\ICQLite
2006-09-14 07:58 -------- d---s---- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Microsoft
2006-09-04 13:23 -------- d-------- C:\Programme\CCleaner
2006-09-04 13:21 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-09-04 13:20 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-04 13:20 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\TuneUp Software
2006-09-04 12:04 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-08-21 14:44 -------- d-------- C:\Programme\Windows Defender
2006-08-21 14:44 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 14:19 -------- d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2006-08-21 13:06 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-14 15:01 -------- d-------- C:\Programme\Lavasoft
2006-08-14 15:01 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Lavasoft
2006-08-14 15:00 -------- d-------- C:\Programme\VideoLAN
2006-08-14 15:00 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\vlc
2006-08-14 14:59 100489 --a------ C:\WINDOWS\UninstallFirefox.exe
2006-08-14 14:59 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Mozilla
2006-08-14 10:05 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Ahead
2006-08-14 09:47 -------- d-------- C:\Programme\Nero
2006-08-14 09:47 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-08-14 09:31 -------- d-------- C:\Programme\Internet Explorer
2006-08-09 21:00 -------- d-------- C:\Programme\SymNetDrv
2006-08-09 21:00 -------- d-------- C:\Programme\Symantec
2006-08-08 17:05 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Help
2006-08-08 17:02 -------- d-------- C:\Programme\Realtek AC97
2006-08-08 17:02 -------- d-------- C:\Programme\AvRack
2006-08-08 17:01 -------- d-------- C:\Programme\ATI Technologies
2006-08-08 16:56 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Symantec
2006-08-07 14:33 -------- d-------- C:\Programme\Outlook Express
2006-08-07 13:30 -------- d-------- C:\Programme\Messenger
2006-08-07 13:26 -------- d-------- C:\Programme\Microsoft Office
2006-08-07 13:21 62 --ahs---- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\desktop.ini
2006-08-07 13:21 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-07 13:21 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-08-07 13:20 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Macromedia
2006-08-07 13:17 -------- d-------- C:\Programme\Snapshot Viewer
2006-08-07 13:17 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-07 13:13 -------- d-------- C:\Programme\Windows Media Player
2006-08-07 13:13 -------- d-------- C:\Programme\microsoft frontpage
2006-08-07 13:10 -------- d-------- C:\Programme\Microsoft Visual Studio
2006-08-07 13:10 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-08-07 13:05 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Microsoft Web Folders
2006-08-07 12:58 -------- d-------- C:\Programme\epson
2006-08-07 12:55 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-07 12:49 -------- d-------- C:\Programme\Adobe
2006-08-07 12:49 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\InterTrust
2006-08-07 12:49 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Adobe
2006-08-07 12:41 -------- d-------- C:\Programme\ULi5287
2006-08-07 12:39 -------- d-------- C:\Programme\Realtek Sound Manager
2006-08-07 12:37 -------- d--h----- C:\Programme\Uninstall Information
2006-08-07 12:37 -------- d-------- C:\Dokumente und Einstellungen\Andreas L�bke\Anwendungsdaten\Identities
2006-08-07 12:31 0 -rahs---- C:\MSDOS.SYS
2006-08-07 12:31 0 -rahs---- C:\IO.SYS
2006-08-07 12:31 0 --a------ C:\CONFIG.SYS
2006-08-07 12:31 0 --a------ C:\AUTOEXEC.BAT
2006-08-07 12:31 -------- d-------- C:\Programme\xerox
2006-08-07 12:29 -------- d--h----- C:\Programme\WindowsUpdate
2006-08-07 12:29 -------- d-------- C:\Programme\Online-Dienste
2006-08-07 12:28 -------- d-------- C:\Programme\NetMeeting
2006-08-07 12:28 -------- d-------- C:\Programme\Movie Maker
2006-08-07 12:28 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-07 12:28 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-08-07 12:27 -------- d-------- C:\Programme\Online Services
2006-08-07 12:27 -------- d-------- C:\Programme\MSN Gaming Zone
2006-08-07 12:27 -------- d-------- C:\Programme\ComPlus Applications
2006-08-07 12:26 -------- d-------- C:\Programme\Windows NT
2006-08-07 12:26 -------- d-------- C:\Programme\MSN
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-12 15:46 638976 --a------ C:\WINDOWS\system32\mgxoschk.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ULiRaid"="C:\\Programme\\ULi5287\\ULi5287.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SoundMan"="SOUNDMAN.EXE"
"EPSON Stylus DX3800 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 \"EPSON Stylus DX3800 Series\" /O6 \"USB001\" /M \"Stylus DX3800\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"uhvjsul.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\uhvjsul.dll,mrpmvyf"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\eBayToolbar]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="eBayTBDaemon"
"hkey"="HKLM"
"command"="C:\\Programme\\eBay\\eBay Toolbar2\\eBayTBDaemon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkq32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Norton AntiVirus - Scan my computer - Andreas L�bke.job

Completion time: 06.10.2006 19:24:27.68
ComboFix.txt









Erste Log:
06.10.2006 19:40 13.754 wpa.dbl
22.09.2006 11:43 94.208 uhvjsul.dll
22.09.2006 11:43 18.944 winrkq32.dll
11.09.2006 19:37 8.960.936 MRT.exe
29.08.2006 19:43 135.168 swreg.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
08.08.2006 17:10 22 ati64hlp.stb
08.08.2006 17:06 22 ati64hl2.stb
07.08.2006 13:32 311.740 perfh009.dat
07.08.2006 13:32 40.128 perfc009.dat
07.08.2006 13:32 48.354 perfc007.dat
07.08.2006 13:32 316.924 perfh007.dat
07.08.2006 13:32 723.744 PerfStringBackup.INI
07.08.2006 13:30 271.784 FNTCACHE.DAT
07.08.2006 13:25 0 h323log.txt
07.08.2006 12:36 13.696 wpa.bak
07.08.2006 12:33 261 $winnt$.inf
07.08.2006 12:31 2.951 CONFIG.NT
07.08.2006 12:30 16.832 amcompat.tlb
07.08.2006 12:30 23.392 nscompat.tlb
07.08.2006 12:29 488 logonui.exe.manifest
07.08.2006 12:29 488 WindowsLogon.manifest
07.08.2006 12:29 749 wuaucpl.cpl.manifest
07.08.2006 12:29 749 sapi.cpl.manifest
07.08.2006 12:29 749 cdplayer.exe.manifest
07.08.2006 12:29 749 nwc.cpl.manifest
07.08.2006 12:29 749 ncpa.cpl.manifest
07.08.2006 12:27 21.740 emptyregdb.dat
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
25.07.2006 18:03 466.944 capicom.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
12.07.2006 15:46 638.976 mgxoschk.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 12:47 181.248 rasmans.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll



2. Log:
Datentr„ger in Laufwerk C: ist Systemdateien
Volumeseriennummer: 449E-078F

Verzeichnis von C:\DOKUME~1\ANDREA~1\LOKALE~1\Temp



3. Log

Datentr„ger in Laufwerk C: ist Systemdateien
Volumeseriennummer: 449E-078F

Verzeichnis von C:\WINDOWS

06.10.2006 20:00 1.531.910 WindowsUpdate.log
06.10.2006 19:40 159 wiadebug.log
06.10.2006 19:40 50 wiaservc.log
06.10.2006 19:39 0 0.log
06.10.2006 19:39 2.048 bootstat.dat
06.10.2006 19:39 23.320 SchedLgU.Txt
06.10.2006 19:08 126.586 ntbtlog.txt
06.10.2006 19:03 360 setupact.log
06.10.2006 19:01 0 setuperr.log
01.10.2006 11:51 116 NeroDigital.ini
24.09.2006 21:51 403 ODBC.INI
23.09.2006 10:18 227 system.ini
23.09.2006 10:18 573 win.ini
21.08.2006 14:18 6.537 mgxoschk.ini
21.08.2006 12:43 3.242 mozver.dat
15.08.2006 23:53 12.862 EPISMG00.SWB
14.08.2006 14:59 0 nsreg.dat
14.08.2006 14:59 100.489 UninstallFirefox.exe
08.08.2006 16:59 3.678 Ascd_tmp.ini
07.08.2006 13:23 0 Sti_Trace.log
07.08.2006 13:11 59 vbaddin.ini
07.08.2006 12:58 31 EPSMTL32.TXT
07.08.2006 12:57 25 CDE DX3800EFGIPSD.ini
07.08.2006 12:34 8.192 REGLOCS.OLD
07.08.2006 12:31 0 control.ini
07.08.2006 12:30 316.640 WMSysPr9.prx
07.08.2006 12:30 4.161 ODBCINST.INI
07.08.2006 12:29 749 WindowsShell.Manifest
07.08.2006 12:27 36 vb.ini

4. Log:

Datentr„ger in Laufwerk C: ist Systemdateien
Volumeseriennummer: 449E-078F

Verzeichnis von C:\WINDOWS\Temp

06.10.2006 20:17 0 win26E.tmp
06.10.2006 20:17 0 win26D.tmp
06.10.2006 20:15 0 win26A.tmp
06.10.2006 20:15 0 win269.tmp
06.10.2006 20:13 0 win267.tmp
06.10.2006 20:13 0 win268.tmp
06.10.2006 20:11 0 win263.tmp
06.10.2006 20:11 0 win262.tmp
06.10.2006 20:09 0 win226.tmp
06.10.2006 20:09 0 win225.tmp
06.10.2006 20:09 0 win224.tmp
06.10.2006 20:07 0 win1C7.tmp
06.10.2006 20:07 0 win1C8.tmp
06.10.2006 20:05 0 win131.tmp
06.10.2006 20:05 0 win132.tmp
06.10.2006 20:03 0 winF3.tmp
06.10.2006 20:03 0 winF4.tmp
06.10.2006 20:01 0 win78.tmp
06.10.2006 20:01 0 win79.tmp
06.10.2006 20:00 658 MpCmdRun.log
06.10.2006 20:00 255 WGAErrLog.txt
06.10.2006 19:59 0 win1E.tmp
06.10.2006 19:59 0 win1D.tmp
06.10.2006 19:57 0 win1C.tmp
06.10.2006 19:57 0 win1B.tmp
06.10.2006 19:55 0 win19.tmp
06.10.2006 19:55 0 win1A.tmp
06.10.2006 19:53 0 win18.tmp
06.10.2006 19:53 0 win17.tmp
06.10.2006 19:51 0 win16.tmp
06.10.2006 19:51 0 win15.tmp
06.10.2006 19:49 0 win13.tmp
06.10.2006 19:49 0 win14.tmp
06.10.2006 19:47 0 win12.tmp
06.10.2006 19:47 0 win11.tmp
06.10.2006 19:47 0 win10.tmp
06.10.2006 19:45 0 winF.tmp
06.10.2006 19:45 0 winE.tmp
06.10.2006 19:45 0 winD.tmp
06.10.2006 19:43 0 winB.tmp
06.10.2006 19:43 0 winA.tmp
06.10.2006 19:43 0 winC.tmp
06.10.2006 19:41 0 win7.tmp
06.10.2006 19:41 0 win8.tmp
06.10.2006 19:41 0 win9.tmp
06.10.2006 19:40 409 WGANotify.settings
06.10.2006 19:39 0 win2.tmp
06.10.2006 19:39 0 win3.tmp
06.10.2006 19:39 0 win1.tmp
06.10.2006 19:37 0 win5B.tmp
06.10.2006 19:37 0 win5C.tmp
06.10.2006 19:35 0 win57.tmp
06.10.2006 19:35 0 win58.tmp
06.10.2006 19:33 0 win55.tmp
06.10.2006 19:33 0 win56.tmp
06.10.2006 19:31 0 win53.tmp
06.10.2006 19:31 0 win54.tmp
06.10.2006 19:29 0 win4D.tmp
06.10.2006 19:29 0 win4E.tmp
06.10.2006 19:27 0 win49.tmp
06.10.2006 19:27 0 win4A.tmp
06.10.2006 19:25 0 win47.tmp
06.10.2006 19:25 0 win48.tmp
63 Datei(en) 1.322 Bytes
0 Verzeichnis(se), 9.513.205.760 Bytes frei

5. Log:

Datentr„ger in Laufwerk C: ist Systemdateien
Volumeseriennummer: 449E-078F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.08.2006 12:29 65 desktop.ini
22.06.2006 11:41 5.032 swflash.inf
26.05.2005 04:19 293 muweb.inf
3 Datei(en) 5.390 Bytes
0 Verzeichnis(se), 9.513.205.760 Bytes frei


6. Log:

Datentr„ger in Laufwerk C: ist Systemdateien
Volumeseriennummer: 449E-078F

Verzeichnis von C:\

06.10.2006 20:19 0 sys.txt
06.10.2006 20:19 392 down.txt
06.10.2006 20:18 3.207 tmp.txt
06.10.2006 20:17 3.699 system.txt
06.10.2006 20:16 136 systemtemp.txt
06.10.2006 20:12 88.991 system32.txt
06.10.2006 19:39 1.509.949.440 pagefile.sys
06.10.2006 19:24 11.542 ComboFix.txt
06.10.2006 19:08 887 rapport.txt
23.09.2006 10:18 211 boot.ini
07.08.2006 12:31 0 IO.SYS
07.08.2006 12:31 0 AUTOEXEC.BAT
07.08.2006 12:31 0 CONFIG.SYS
07.08.2006 12:31 0 MSDOS.SYS

Hallo Sabina,

mir sagt das alles garnichts. Kannst Du damit wirklich etwas anfangen ?

Mit freundlichem Gruß und vielen Dank für Deine Mühe

Andreas

Ps.: Die Ismini.exe habe ich bereits mit Smitfraud im abgesichertem Modus entfernen können.

Hier noch der Report von Norton nach einem gerade durchgeführten System Scan:

The file C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\winE.tmp.exe is a Adware threat

nächster Fund:

The file C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZG72FIT\wlzip32[1].exe is a Adware threat.


Ich bin dann auf die Auswahl "delete" gegangen und habe die beiden Funde eliminiert.

Und hier noch ein dritter Fund der automatisch deleted wurde. Felix ist übrigens mein Sohn, der den PC ohne mein Einverständnis benutzt hat !!!

The file C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8T8VE5KL\anti4[1].exe is infected with the Trojan.Adclicker virus.

#10 1.
gehe in die registry
Start - Ausfuehren - regedit
bearbeiten - suchen - uhvjsul.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
uhvjsul.dll -> loeschen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkq32

Files to delete:
C:\WINDOWS\system32\uhvjsul.dll
C:\WINDOWS\system32\winrkq32.dll
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\winE.tmp.exe

Folders to delete:
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8T8VE5KL
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZG72FIT

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter c:\Avenger\backup.zip

-----------------------------------

**
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

------------------------------------

««
C:\WINDOWS\Temp
loesche alle tmp....
06.10.2006 20:17 0 win26E.tmp
06.10.2006 20:17 0 win26D.tmp
06.10.2006 20:15 0 win26A.tmp
06.10.2006 20:15 0 win269.tmp
usw.
usw.

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

was bitte meinst Du mit "Avenger"? Ist das ein Ausführungsbefehl oder eine Datei?
Wo genau soll ich den Text reinkopieren ?

Ich weiß, ich bin blutiger Laie - aber ich versuche mein Bestes....

Nochmals vielen herzlichen Dank für Deine Geduld und Ausdauer mit mir!!!

mfG
Andreas

#12 oops, link vergessen
http://virus-protect.org/artikel/tools/avenger.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Alles klar !

Habe alles wie gesagt ausgeführt und es scheint wunderbar geklappt zu haben.

Zu guter Letzt kannst Du mir vielleicht noch einen Tip geben: Welche Antiviren Programme sind für mich sinnvoll auf dem PC zu haben und welche sollte ich besser deinstallieren ?

Momentan habe ich den Norton Antivirus, Adaware und CCleaner drauf. Ich möchte vermeiden, daß sich die Programme gegenseitig behindern.

Da ich über einen Router in´s Netz gehe, habe ich durch diesen auch eine Firewall, aber wie kann ich mich effektiver schützen, zumal wenn mein Sohn an meinen PC geht und dort unkontrolliert durch Netz surft und runterlädt ?

Darf ich mich mal wieder an Dich wenden, falls ich nochmal ein ähnliches Problem haben sollte ?

Mit freundlichen Grüßen
Andreas

Hab übrigens grad nochmal mit Adaware einen "Smart System Scan vorgenommen und folgendes Ergebnis erhalten:

Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 16

01:25:11 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:00:58.47
Objects scanned:83265
Objects identified:2
Objects ignored:0
New critical objects:2


Hab die beiden critical Objekts entfernt/gelöscht.

#14 Tipp 1:
Browser Firefox - sicher - schnell
http://virus-protect.org/firefox.html

Tipp 2:
eingeschränktes Benutzerkonto
http://virus-protect.org/administrator.html

Tipp 3 :
http://virus-protect.org/artikel/tools/sandboxie.html
Der Vorteil: Viren,bösartiger Code ,jede andere Art bleiben vollkommen isoliert und können keinen wirklichen Schaden anrichten. Sandboxie bringt eine solch abgeschottete Umgebung im kleineren Stil auf Windows-Rechner.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hab ich alles gemacht !

Besten Dank !

Andreas