TR/Vundo.Gen und zugleich weitere Trojanische Pferde

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.10.2006, 09:31
...neu hier

Beiträge: 5
#1 Guten Morgen zusammen,
auf meinem Rechner unter XP hat sich vorgestern TR/Vundo.Gen in c:/windows/system32/is941.exe eingenistet. Symptome: Internet extrem verlangsamt, arbeiten sehr schwer. Seit gestern sind zwei weitere hinzugekommen:
TR/Dldr.Adload.FU.18 in c:/windows/system32/wu.exe
und
TR/ LowZones.bh.14 in C/windows.../mediagateway.dll

Ist Hilfe möglich?
Anbei Logfile Hijackthis. Clean up sowie combofix und datfindbat liefere ich spfort nach neustart nach.
Vielen Dank!!
Frank

Logfile of HijackThis v1.99.1
Scan saved at 09:24:49, on 09.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRAY.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\winIogon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
c:\windows\algs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\System32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c415.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/026cb6408c9607397622/netzip/RdxIE601_de.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136753542857
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing)
O21 - SSODL: yuWTJLSThq - {5858285D-F2F2-82F7-541F-D64A75C21700} - C:\WINDOWS\System32\hhix.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

----
Seitenanfang Seitenende
09.10.2006, 09:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 10:27
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina,

clean up gemacht nach Vorgabe (110.00o Dateien)
hier combofix, danach die 6 datfindbat logs:

Frank - 06-10-09 10:07:16,75 Service Pack 1
ComboFix 06.09.28 - Running from: "C:\Programme"

((((((((((((((((((((((((((((((( Files Created from 2006-09-09 to 2006-10-09 ))))))))))))))))))))))))))))))))))


2006-10-08 21:58 57,344 --a------ C:\WINDOWS\uneng.exe
2006-10-08 18:57 8,012 --a------ C:\WINDOWS\algs.exe
2006-10-03 20:16 156,160 --a------ C:\WINDOWS\system32\drivers\b57xp32.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-09 09:40 289 --a------ C:\Programme\datFind.zip
2006-10-09 09:36 276526 --a------ C:\Programme\combofix.exe
2006-10-08 22:43 212849 --a------ C:\Programme\hijackthis.zip
2006-10-08 21:58 30630 --a------ C:\WINDOWS\system32\drivers\Mmc_2k.sys
2006-10-08 21:58 25898 --a------ C:\WINDOWS\system32\drivers\Dvd_2k.sys
2006-10-08 21:58 206464 --a------ C:\WINDOWS\system32\drivers\udfreadr_xp.sys
2006-10-08 21:58 143834 --a------ C:\WINDOWS\system32\drivers\pwd_2K.sys
2006-10-08 21:58 -------- d-------- C:\Programme\Roxio
2006-10-08 21:58 -------- d-------- C:\Programme\Gemeinsame Dateien\Adaptec Shared
2006-10-08 21:58 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-07 22:55 -------- d-------- C:\Programme\CleanUp!
2006-10-07 22:54 339257 --a------ C:\Programme\CleanUp452.exe
2006-10-03 20:16 -------- d-------- C:\Programme\Broadcom
2006-09-19 09:46 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-08-24 15:11 -------- d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Help
2006-08-10 23:40 23944 --a------ C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-07-21 20:45 4489784 --a------ C:\Programme\pdfmailer3stdde.exe
2006-07-21 17:38 2846357 --a------ C:\Programme\ad302en[1].sit.hqx
2006-07-10 17:45 73 --a------ C:\WINDOWS\system32\ssprs.dll
2006-07-10 17:45 205 --a------ C:\WINDOWS\system32\lsprst7.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell Wireless Manager UI"="C:\\WINDOWS\\System32\\WLTRAY"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Windows Logon Application"="C:\\WINDOWS\\System32\\winIogon.exe"
"AdaptecDirectCD"="\"C:\\Programme\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"yuWTJLSThq"="{5858285D-F2F2-82F7-541F-D64A75C21700}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\INTERV~1\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 09.10.2006 10:07:41.17
ComboFix.txt

------------------------------------
die 6 Datfindbat Dateien (geordnet nach Anleitung):

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5858-285C

Verzeichnis von C:\WINDOWS\system32

03.10.2006 20:20 48.552 perfc007.dat
03.10.2006 20:20 317.168 perfh007.dat
03.10.2006 20:20 40.326 perfc009.dat
03.10.2006 20:20 311.938 perfh009.dat
03.10.2006 20:20 723.744 PerfStringBackup.INI
03.10.2006 12:02 2.206 wpa.dbl
29.07.2006 13:53 465 Datei6
29.07.2006 13:53 469 Datei5
29.07.2006 13:53 467 Datei9
29.07.2006 13:53 467 Datei8
29.07.2006 13:53 469 Datei7
29.07.2006 13:53 467 Datei10
29.07.2006 13:53 471 Datei2
29.07.2006 13:53 470 Datei1
29.07.2006 13:53 471 Datei4
29.07.2006 13:53 470 Datei3
29.07.2006 13:53 468 Datei0
22.07.2006 01:16 130.096 FNTCACHE.DAT
10.07.2006 17:45 87 ssprs.tgz
10.07.2006 17:45 73 ssprs.dll
10.07.2006 17:45 219 lsprst7.tgz
10.07.2006 17:45 205 lsprst7.dll
23.06.2006 10:29 57.384 avsda.dll
19.01.2006 16:29 82.944 usbkt1x1.dll
-----

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5858-285C

Verzeichnis von C:\DOKUME~1\Frank\LOKALE~1\Temp

----
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5858-285C

Verzeichnis von C:\WINDOWS

09.10.2006 10:03 8.012 algs.exe
09.10.2006 10:02 0 0.log
09.10.2006 10:02 1.699.149 WindowsUpdate.log
09.10.2006 10:02 2.048 bootstat.dat
09.10.2006 10:01 32.642 SchedLgU.Txt
08.10.2006 21:58 57.344 uneng.exe
08.10.2006 21:57 316.640 WMSysPr9.prx
08.10.2006 21:57 790.569 setupapi.log
04.10.2006 16:00 82.573 wmsetup.log
03.10.2006 20:19 883 nsw.log
29.09.2006 21:49 54.156 QTFont.qfn
27.08.2006 23:04 6.275 KB893803v2.log
27.08.2006 23:03 54.406 iis6.log
27.08.2006 23:03 18.173 comsetup.log
27.08.2006 23:03 13.014 tsoc.log
27.08.2006 23:03 9.328 ntdtcsetup.log
27.08.2006 23:03 1.374 imsins.log
27.08.2006 23:03 1.668 tabletoc.log
27.08.2006 23:03 7.038 KB898461.log
27.08.2006 23:03 3.560 netfxocm.log
27.08.2006 23:03 18.590 ocgen.log
27.08.2006 23:03 1.277 ocmsn.log
27.08.2006 23:03 1.177 msgsocm.log
27.08.2006 23:03 17.720 FaxSetup.log
27.08.2006 23:03 11.896 msmqinst.log
27.08.2006 13:06 227 system.ini
27.08.2006 13:06 745 win.ini
27.08.2006 00:41 1.409 QTFont.for
24.08.2006 23:23 50 wiaservc.log
24.08.2006 23:23 214 wiadebug.log
24.03.2006 21:55 252 cdplayer.ini
---------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5858-285C

Verzeichnis von C:\WINDOWS\Temp

---------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5858-285C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.08.2005 16:48 495 LegitCheckControl.inf
26.07.2005 22:57 65 desktop.ini
26.05.2005 05:19 293 muweb.inf
03.06.2004 10:04 524.445 RdxIE.dll
27.01.2004 19:14 2.299 mp43dmo.inf
08.12.2003 13:58 3.759 swflash.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
8 Datei(en) 533.215 Bytes
0 Verzeichnis(se), 12.555.595.776 Bytes frei
---------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5858-285C

Verzeichnis von C:\

09.10.2006 10:14 0 sys.txt
09.10.2006 10:14 688 down.txt
09.10.2006 10:13 117 temp.txt
09.10.2006 10:13 117 tmp.txt
09.10.2006 10:13 1.623 windows.txt
09.10.2006 10:12 5.186 system.txt
09.10.2006 10:12 133 systemtemp.txt
09.10.2006 10:11 1.248 system32.txt
09.10.2006 10:08 6.855 ComboFix Scan 09102006.txt
09.10.2006 10:07 6.855 ComboFix.txt
09.10.2006 10:02 1.073.741.824 pagefile.sys
28.09.2006 09:50 697.886 Bild Feier Herr K”hler 09-2006
27.08.2006 13:06 304 boot.ini
24.07.2006 10:50 128.000 Text Frank Habann 2.0.doc
24.07.2006 09:58 74.752 Fragen Examen End WS 2006.doc
24.07.2006 08:53 24.064 Review_Frank Habann.doc
21.07.2006 13:21 77.824 Fragen Examen WS 2006.doc
07.04.2006 17:07 121.344 Text Frank Habann.doc
12.12.2005 19:20 137.728 Literaturliste Aufsatz Dal Zotto Kranenburg.doc
03.12.2005 17:49 8.704 MyGraph.grf
26.07.2005 22:58 0 AUTOEXEC.BAT
26.07.2005 22:58 0 MSDOS.SYS
26.07.2005 22:58 0 IO.SYS
26.07.2005 22:58 0 CONFIG.SYS
11.09.2002 17:11 235.296 ntldr
11.09.2002 17:11 47.580 NTDETECT.COM
11.09.2002 16:57 4.952 bootfont.bin
27 Datei(en) 1.075.323.080 Bytes
0 Verzeichnis(se), 12.555.591.680 Bytes frei
----

Vielen Dank für deine Hilfe im Voraus!!
Frank
Seitenanfang Seitenende
09.10.2006, 10:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\algs.exe

poste die reporte

______

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 14:06
...neu hier

Themenstarter

Beiträge: 5
#5 Hallo Sabina, danke.
servicefilter s. unten.

bei virustotal nach 2 Stunden keine response auf die 2 Dateien. Es gibt die Option, sie ihnen per email zuzuschicken: aber sie geben keine Email Adr an. alternativen?

------------------
The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 1
Okt 9, 2006 11:40:07


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1816
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: Echtzeit Virenschutz durch H+BEDV AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1828
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #4
Service Name: iPodService
Display Name: iPodService
Start Mode: Manual
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Running
Process ID: 2020
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #5
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{af635e81-58af-44da-94a4-a6f8e78b45a7}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: wltrysvc
Display Name: Dell Wireless WLAN Tray Service
Start Mode: Auto
Start Name: LocalSystem
Description: Provides automatic configuration for the 802.11 adapter using the Broadcom ...
Service Type: Own Process
Path: c:\windows\system32\wltrysvc.exe c:\windows\system32\bcmwltry.exe
State: Running
Process ID: 1488
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

---> End Service Listing <---

There are 85 Win32 services on this machine.
6 were unrecognized.

Script Execution Time: 1,804688 seconds.
----

Danke und Gruss
Frank
Seitenanfang Seitenende
09.10.2006, 14:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 der Rechner ist verseucht....

versuche es mit Einzelne Dateien scannen (siehe unten auf der Seite)
http://virus-protect.org/onlinescan.html

virusscan.jotti
sandbox.norman
kaspersky

C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\algs.exe


---------------------

Start > Ausfuehren --> reinschreiben
--> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\winIogon*.*" > c:\find.txt & start notepad c:\find.txt

__________________

Information:
http://virus-protect.org/artikel/spyware/winlogonexe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 14:30
...neu hier

Themenstarter

Beiträge: 5
#7 Sabina, danke.
Das klingt nicht gut. Soll ich einfach den Rechner neu aufsetzen und Mozilla Firefox installieren? Scheint mir die sauberste Lösung.

Gruss und vielen Dank Frank
Seitenanfang Seitenende
09.10.2006, 14:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ja, das waere das beste ;)
und unbedingt die Windowsupdates machen - SP2 !!!!!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 13:30
...neu hier

Themenstarter

Beiträge: 5
#9 Hallo Sabina,
habe neuaufgesetzt, Firefox und SP2 . Läuft wieder sehr gut. Vielen Dank!!

PS Der Trojaner wurde mir von einem IT-Experten übrigens als der bekannte sasser-Virus benannt. Der versuchte sich ohne SP2 nach wenigen Sekunden wieder einzunisten. Also ist es wichtig, SP2 vorher von CD einzuladen.

PS II: zur guten vollständigkeit noch der Scan der 2 Dateien von norman Sandbox:

Your message ID (for later reference): 20061009-1422

Hello,

Thanks for taking the time to submit your samples to the Norman
Sandbox Information Center. Customer delight is our top priority at
Norman. With that in mind we have developed Sandbox Solutions for
organizations that are committed to speedy analysis and debugging.


algs.exe : W32/Downloader (Signature: NO_VIRUS)

[ General information ]
* File length: 8012 bytes.
* MD5 hash: 92850f7b07bd6279a8e1b4206de7964f.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\wu.exe.
* Creates file C:\WINDOWS\is941.exe.

[ Network services ]
* Opens URL: http://promo.dollarrevenue.com/webmasterexe/drsmartload114a.exe.
* Opens URL: http://71.18.116.75/is941.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Signature Scanning ]
* C:\WINDOWS\wu.exe (4096 bytes) : no signature detection.
* C:\WINDOWS\is941.exe (4096 bytes) : no signature detection.

(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.

Sent by rivegauche@swissonline.ch. Received 9.Oct 2006 at 15.04 - processed 9.Oct 2006 at 15.02.

winIogon.exe : Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* File length: 51068 bytes.
* MD5 hash: 893fe125e53b7c8486320326c129b1aa.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM32\lssas.exe.
* Creates file C:\WINDOWS\SYSTEM32\lssas.exe.
* Deletes file luaz.bat.
* Creates file C:\\luaz.bat.
* Deletes file ioav.bat.
* Creates file C:\WINDOWS\SYSTEM32\ioav.bat.

[ Changes to registry ]
* Deletes value "Windows DLL Loader" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Creates a mutex EE00912D0000000015AE5E4E3AFFF23D56D019285DE.
* Attemps to open luaz.bat NULL.
* Attemps to open ioav.bat NULL.

[ Signature Scanning ]
* C:\WINDOWS\SYSTEM32\lssas.exe (51068 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\ioav.bat (117 bytes) : no signature detection.

(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.

Sent by rivegauche@swissonline.ch. Received 9.Oct 2006 at 15.03 - processed 9.Oct 2006 at 15.03.
----
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: