Trojaner Pipas.A

#1

Zitat

Hallo Sabrina!
Seit einigen Tagen kämpfe ich mit dem Trojaner Pipas.A und bekomme ihn nicht weg! Adaware und avast finden ihn gar nicht, Spybot hingegen schon, kann ihn aber nur temporär entfernen! Außerdem dauert jetzt ein Scan mit Spybot ca.40 Minuten, mit avast auch wesentlich länger! Im abgesicherten Modus lässt sich der Trojaner auch nicht entfernen!

Meine Hijackthis Logfile habe ich gesäubert nachdem ich anfangs Einträge drinnen hatte, die da nicht reingehören:

Logfile of HijackThis v1.99.1
Scan saved at 12:54:24, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avast\aswUpdSv.exe
D:\Avast\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Avast\ashMaiSv.exe
D:\Avast\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
D:\ZoneAlarm\zlclient.exe
D:\Avast\ashDisp.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
D:\WinTV\Ir.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Avast\ashSimpl.exe
D:\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\The Bat!\thebat.exe
D:\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "D:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] D:\Avast\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Restart IR.lnk = D:\WinTV\Ir.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B43D2C82-A322-4472-A89A-80AC971CF49D}: NameServer = 192.168.2.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ich habe ein bisschen gegoogelt und mir schließlich fsecure blacklight runtergeladen, was dann schließlich auch eine Datei entfernt hat (mit <---- markiert), die andere konnte nicht entfernt werden:

10/17/06 21:09:34 [Info]: BlackLight Engine 1.0.47 initialized
10/17/06 21:09:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/17/06 21:09:35 [Note]: 7019 4
10/17/06 21:09:35 [Note]: 7005 0
10/17/06 21:09:38 [Note]: 7006 0
10/17/06 21:09:38 [Note]: 7011 2016
10/17/06 21:09:39 [Note]: 7026 0
10/17/06 21:09:39 [Note]: 7026 0
10/17/06 21:09:43 [Note]: FSRAW library version 1.7.1020
10/17/06 21:27:49 [Info]: Hidden file: c:\WINDOWS\system32\cswdk.exe
10/17/06 21:27:49 [Note]: 7002 32
10/17/06 21:27:49 [Note]: 7003 1
10/17/06 21:27:49 [Note]: 10002 1
10/17/06 21:28:50 [Info]: Hidden file: c:\WINDOWS\system32\dmpqh.exe <----
10/17/06 21:28:50 [Note]: 7002 32
10/17/06 21:28:50 [Note]: 7003 1
10/17/06 21:28:50 [Note]: 10002 1
10/17/06 21:46:15 [Note]: 2000 1012
10/17/06 21:47:54 [Note]: 7007 0

Kann sein, dass ich ihn hiemit gekillt habe, spybot ist aber immernoch sehr langsam.
Schließlich habe ich mir auch noch RootkitRevealer geholt, womit ich aber nicht viel anfangen kann:

HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 19.10.2006 12:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 19.10.2006 12:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 19.10.2006 12:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf43 13.08.2006 14:01 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\default.dk6\Cache\8487BE68d01 19.10.2006 13:00 23.24 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\bat21.tmp 19.10.2006 12:59 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{D239B7EB-A106-46E7-8ED4-C1E036262176}\RP5\A0002117.INI 18.10.2006 13:14 783 bytes Hidden from Windows API.
C:\System Volume Information\_restore{D239B7EB-A106-46E7-8ED4-C1E036262176}\RP5\A0002118.CFG 18.10.2006 13:14 27 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 30.07.2006 21:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 30.07.2006 21:58 111.50 KB Visible in Windows API, but not in MFT or directory index.

Habe jetzt gerade nochmal spybot durchlaufen lassen und der hat Pipas.A nicht mehr gefunden, allerdings hat der Scan nach wie vor sehr lange gedauert, scheint also doch noch irgendwie da zu sein.
Wäre toll, wenn du mir helfen könntest, ich weiß echt langsam nicht mehr weiter...

__________
MfG Sabina

rund um die PC-Sicherheit

#2 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\bat21.tmp
c:\WINDOWS\system32\cswdk.exe
c:\WINDOWS\system32\dmpqh.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für die schnelle Antwort, aber es hat nicht geklappt...

C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\bat21.tmp und
c:\WINDOWS\system32\cswdk.exe
finde ich nicht, wobei cswdk.exe sich nach jedem Neustart umzubenennen scheint, da fesucre immer eine andere Datei mit "c" am Anfang findet. Jetzt heißt sie cskak.exe, ich kann sie aber im system32 Ordner nicht finden.
c:\WINDOWS\system32\dmpqh.exe konnte mit avenger nicht ausgeführt werden, daraufhin habe ich die Datei gelöscht und finde sie seit dem letzten Neustart nicht mehr.

Woran könnte das liegen?
mfg- Matthias

#4 ich weiss, dass sich die exe umbenennt.
mache es mal so: arbeite alles ab, wie beschrieben, poste das log von fixwareout ...und die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#5 OK hier sind die Dateien:


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSPEV.EXE 51.757 2006-10-11

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


datFind.bat:

Winsystem32 habe ich als Anhang angefügt, da es sehr groß ist,

Datentr„ger in Laufwerk C: ist WindowsXP
Volumeseriennummer: FC9B-542F

Verzeichnis von C:\DOKUME~1\Matthias\LOKALE~1\Temp

22.10.2006 20:26 318 c9584034724007794a176606f5b6b477.html
22.10.2006 13:17 16.384 ~DF2FC5.tmp
21.10.2006 13:05 2.080 java_install_reg.log
20.10.2006 16:02 10.538 control.xml
19.10.2006 13:04 8.091 sarscan.log
18.10.2006 13:24 25.214 dat1.tmp
18.10.2006 13:19 104.213 samples.sar
18.10.2006 13:11 0 aax2C.tmp
18.10.2006 13:10 16.384 Perflib_Perfdata_7e8.dat
16.10.2006 10:20 0 qsk26.tmp
16.10.2006 09:57 16.384 ~DF8CF8.tmp
11.10.2006 22:26 179.096 tmp.xpi
11.10.2006 14:38 103 xgo4C.tmp
09.10.2006 20:12 16.384 ~DF7C48.tmp
09.10.2006 10:42 16.384 ~DF3CBC.tmp
06.10.2006 23:40 16.384 Perflib_Perfdata_ac8.dat
06.10.2006 21:45 16.384 ~DF1E23.tmp
26.09.2006 12:05 16.384 ~DF3239.tmp
25.09.2006 18:31 198 buy.gif
25.09.2006 18:21 16.384 ~DF438F.tmp
25.09.2006 10:19 16.384 ~DF4C0B.tmp
24.09.2006 12:36 16.384 ~DF8957.tmp
22.09.2006 11:20 16.384 ~DFC933.tmp
21.09.2006 12:49 16.384 ~DF924C.tmp
20.09.2006 11:18 16.384 ~DFDE0A.tmp
18.09.2006 21:33 45.056 gtapi.dll
16.09.2006 11:30 16.384 ~DFC57C.tmp


Datentr„ger in Laufwerk C: ist WindowsXP
Volumeseriennummer: FC9B-542F

Verzeichnis von C:\WINDOWS

23.10.2006 14:17 94.645 WindowsUpdate.log
23.10.2006 14:17 159 wiadebug.log
23.10.2006 14:17 50 wiaservc.log
23.10.2006 14:17 0 0.log
23.10.2006 14:17 2.048 bootstat.dat
23.10.2006 14:16 32.626 SchedLgU.Txt
22.10.2006 22:59 32 HCWBTDLG.INI
22.10.2006 22:59 930 HCWPNP.INI
20.10.2006 16:02 1.366 wmsetup.log
20.10.2006 13:48 227 system.ini
16.10.2006 10:15 54.156 QTFont.qfn
13.10.2006 16:47 686 win.ini
13.10.2006 16:47 5.028 mailremv.log
13.10.2006 16:47 217 INST_TSP.LOG
13.10.2006 16:47 23.465 ESCAN.LOG
13.10.2006 16:42 462 frights.log
11.10.2006 21:39 438 general.log
11.10.2006 21:36 0 Sti_Trace.log
11.10.2006 21:35 589 MAILINST.LOG
11.10.2006 21:33 4.226.929 REGBK00.ZIP
11.10.2006 21:28 166.566 winsbak2.reg
11.10.2006 21:28 19.606 winsbak.reg
16.09.2006 11:37 1.374 imsins.BAK
31.07.2006 03:52 40.448 inst_tsp.exe
31.07.2006 03:28 41.984 killproc.exe
28.07.2006 13:48 380 SIERRA.INI
30.06.2006 11:25 1.409 QTFont.for
24.06.2006 13:56 19 SoundConverter.INI
30.05.2006 18:02 0 nsreg.dat
30.05.2006 18:02 12.869 mozver.dat
07.05.2006 12:19 400 ODBC.INI
05.02.2006 14:29 3.056.370 setupapi.log.1.old



Datentr„ger in Laufwerk C: ist WindowsXP
Volumeseriennummer: FC9B-542F

Verzeichnis von C:\WINDOWS\Temp

23.10.2006 14:17 16.384 Perflib_Perfdata_24c.dat
23.10.2006 14:17 256 ZLT068b7.TMP
23.10.2006 14:17 256 ZLT068a7.TMP
23.10.2006 11:56 256 ZLT07ce4.TMP
22.10.2006 20:20 16.384 Perflib_Perfdata_2ac.dat
22.10.2006 20:20 256 ZLT02fe1.TMP
22.10.2006 20:19 256 ZLT02fc6.TMP
19.10.2006 12:21 16.384 Perflib_Perfdata_7fc.dat
18.10.2006 18:39 16.384 Perflib_Perfdata_7f4.dat
18.10.2006 18:39 256 ZLT02aab.TMP
18.10.2006 18:39 256 ZLT02a97.TMP
14.10.2006 20:14 256 ZLT03abe.TMP
13.10.2006 20:17 255 WGAErrLog.txt
13.10.2006 16:43 409 WGANotify.settings
13.10.2006 16:42 16.384 Perflib_Perfdata_2e0.dat
12.10.2006 11:13 16.384 Perflib_Perfdata_2f8.dat
11.10.2006 20:02 16.384 Perflib_Perfdata_2e4.dat
11.10.2006 19:14 256 ZLT02269.TMP
11.10.2006 17:11 16.384 Perflib_Perfdata_278.dat
11.10.2006 13:39 16.384 Perflib_Perfdata_40c.dat
09.10.2006 19:50 16.384 Perflib_Perfdata_314.dat
06.10.2006 23:40 16.384 Perflib_Perfdata_488.dat
06.10.2006 23:40 256 ZLT066c9.TMP
06.10.2006 23:40 256 ZLT066c6.TMP
15.09.2006 20:23 256 ZLT067ee.TMP
06.09.2006 22:49 256 ZLT017ca.TMP
04.09.2006 20:35 256 ZLT01517.TMP
03.09.2006 19:28 16.384 Perflib_Perfdata_4c8.dat
22.08.2006 19:34 16.384 Perflib_Perfdata_dac.dat
22.08.2006 14:59 16.384 Perflib_Perfdata_2a0.dat
17.08.2006 21:21 16.384 Perflib_Perfdata_28c.dat
17.08.2006 21:20 256 ZLT039a6.TMP
15.08.2006 16:08 16.384 Perflib_Perfdata_294.dat
12.08.2006 17:04 16.384 Perflib_Perfdata_7a8.dat
12.08.2006 16:00 16.384 Perflib_Perfdata_264.dat
12.08.2006 16:00 256 ZLT03dcc.TMP
23.07.2006 18:25 256 ZLT011e3.TMP
23.07.2006 18:25 256 ZLT011cc.TMP
23.07.2006 18:10 256 ZLT0063d.TMP
23.07.2006 18:09 256 ZLT00623.TMP
22.07.2006 15:23 256 ZLT038f1.TMP
22.07.2006 15:23 256 ZLT038d6.TMP
10.07.2006 19:48 256 ZLT059bf.TMP
10.07.2006 19:48 256 ZLT059a5.TMP
03.07.2006 19:32 256 ZLT02a9f.TMP
22.06.2006 14:49 256 ZLT076fe.TMP
22.06.2006 14:35 256 ZLT06bba.TMP
22.06.2006 14:29 256 ZLT06788.TMP
12.06.2006 12:05 256 ZLT06c27.TMP
06.06.2006 21:13 256 ZLT03ab4.TMP
03.06.2006 10:52 256 ZLT074f2.TMP
30.05.2006 11:31 256 ZLT05a50.TMP
30.05.2006 11:25 256 ZLT05539.TMP
30.05.2006 01:36 256 ZLT012b3.TMP
29.05.2006 18:09 256 ZLT03caf.TMP
22.05.2006 18:48 256 ZLT0376f.TMP
09.05.2006 22:19 256 ZLT060d1.TMP
09.05.2006 16:52 256 ZLT066cc.TMP
23.04.2006 18:54 256 ZLT06235.TMP
02.04.2006 18:51 256 ZLT0770e.TMP
21.02.2006 21:21 256 ZLT03471.TMP
15.01.2006 22:23 256 ZLT018cb.TMP
25.12.2005 12:48 256 ZLT07866.TMP
09.12.2005 19:49 256 ZLT05891.TMP
08.12.2005 15:29 256 ZLT04308.TMP
03.11.2005 20:35 256 ZLT07ef9.TMP
02.11.2005 21:07 256 ZLT048f3.TMP
02.11.2005 00:03 256 ZLT00202.TMP
01.11.2005 18:54 256 ZLT01513.TMP
29.10.2005 18:47 256 ZLT02531.TMP
28.10.2005 21:44 256 ZLT05ea4.TMP
28.10.2005 18:30 256 ZLT049f5.TMP
28.10.2005 12:11 256 ZLT02888.TMP
27.10.2005 23:30 256 ZLT06169.TMP
27.10.2005 23:13 256 ZLT054ec.TMP
25.10.2005 21:24 256 ZLT064f6.TMP
22.10.2005 01:10 256 ZLT0593d.TMP
17.10.2005 22:32 256 ZLT027d1.TMP
16.10.2005 19:42 256 ZLT057f0.TMP
14.10.2005 10:51 256 ZLT02505.TMP
09.10.2005 12:37 256 ZLT06f96.TMP
06.10.2005 17:52 256 ZLT07634.TMP
05.10.2005 16:19 256 ZLT06142.TMP
01.10.2005 17:23 256 ZLT059a6.TMP
30.09.2005 17:59 256 ZLT02728.TMP
23.09.2005 16:21 256 ZLT0392b.TMP
18.08.2005 12:46 256 ZLT01789.TMP
15.08.2005 19:27 256 ZLT06047.TMP
15.08.2005 16:02 256 ZLT042e4.TMP
13.08.2005 01:39 256 ZLT0124d.TMP
06.08.2005 14:56 256 ZLT0515c.TMP
04.08.2005 21:41 256 ZLT06af7.TMP
04.08.2005 12:59 256 ZLT05b9f.TMP
01.08.2005 21:16 256 ZLT06d65.TMP
01.08.2005 12:28 256 ZLT059d4.TMP
30.07.2005 20:16 256 ZLT0231e.TMP
27.07.2005 14:10 256 ZLT02110.TMP
12.07.2005 22:17 256 ZLT00197.TMP
03.07.2005 20:00 256 ZLT059f5.TMP
16.06.2005 23:46 256 ZLT0568e.TMP
16.06.2005 23:44 256 ZLT0549a.TMP
15.06.2005 19:27 256 ZLT04220.TMP
14.06.2005 23:03 256 ZLT01933.TMP
13.06.2005 15:32 256 ZLT071ab.TMP
12.06.2005 16:33 256 ZLT05259.TMP
10.06.2005 23:31 256 ZLT0761f.TMP
06.06.2005 19:44 256 ZLT01008.TMP
05.06.2005 00:23 256 ZLT048f5.TMP
05.06.2005 00:01 256 ZLT03829.TMP
30.05.2005 15:01 256 ZLT013fd.TMP
30.05.2005 14:29 256 ZLT07c16.TMP
23.05.2005 14:52 256 ZLT06a18.TMP
16.05.2005 18:26 256 ZLT06b04.TMP
13.05.2005 22:27 256 ZLT038ee.TMP
07.05.2005 15:12 256 ZLT0178e.TMP
07.05.2005 15:10 256 ZLT01641.TMP
07.05.2005 14:47 256 ZLT00489.TMP
04.05.2005 20:55 256 ZLT033a7.TMP
01.05.2005 18:01 256 ZLT04476.TMP
30.04.2005 14:25 256 ZLT050b4.TMP
28.04.2005 22:27 256 ZLT02579.TMP
24.04.2005 13:01 256 ZLT03bbe.TMP
23.04.2005 17:24 256 ZLT036c6.TMP
23.04.2005 15:44 256 ZLT069da.TMP
23.04.2005 15:40 256 ZLT06785.TMP
22.04.2005 16:38 256 ZLT0451a.TMP
21.04.2005 20:22 256 ZLT0228d.TMP
18.04.2005 14:40 256 ZLT032d1.TMP
16.04.2005 15:37 256 ZLT04206.TMP
11.04.2005 19:25 256 ZLT06a21.TMP
11.04.2005 18:33 256 ZLT041f0.TMP
09.04.2005 10:08 256 ZLT02346.TMP
06.04.2005 00:41 256 ZLT006d5.TMP
03.04.2005 18:03 256 ZLT0399b.TMP
02.04.2005 01:56 256 ZLT007eb.TMP
02.04.2005 00:07 256 ZLT03475.TMP
29.03.2005 22:59 256 ZLT01603.TMP
22.03.2005 13:11 256 ZLT03096.TMP
20.03.2005 17:58 256 ZLT07029.TMP
19.03.2005 01:55 256 ZLT040d5.TMP
13.03.2005 17:01 256 ZLT02162.TMP
05.03.2005 18:38 256 ZLT07ad8.TMP
04.03.2005 15:14 256 ZLT010bd.TMP
03.03.2005 20:43 256 ZLT03e49.TMP
27.02.2005 20:46 256 ZLT00834.TMP
27.02.2005 14:53 256 ZLT07995.TMP
25.02.2005 13:19 256 ZLT015ba.TMP
02.02.2005 20:25 256 ZLT05686.TMP
26.01.2005 11:40 256 ZLT021d7.TMP
13.01.2005 13:00 256 ZLT0679b.TMP
28.12.2004 20:42 256 ZLT0669c.TMP
20.12.2004 20:26 256 ZLT069c5.TMP
152 Datei(en) 329.368 Bytes
0 Verzeichnis(se), 3.778.494.464 Bytes frei


Datentr„ger in Laufwerk C: ist WindowsXP
Volumeseriennummer: FC9B-542F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.06.2006 11:09 1.249 erma.inf
24.05.2006 01:00 32 virscant.dat
24.05.2006 01:00 2.504 catalog.dat
24.05.2006 01:00 3.277.917 virscan9.dat
24.05.2006 01:00 1.538.993 virscan8.dat
24.05.2006 01:00 6.899 ecbootil.vxd
24.05.2006 01:00 3.604.698 virscan7.dat
24.05.2006 01:00 288.424 ecmsvr32.dll
24.05.2006 01:00 592.884 tcscan9.dat
24.05.2006 01:00 388.723 virscan6.dat
24.05.2006 01:00 2.397.070 virscan5.dat
24.05.2006 01:00 320.105 virscan4.dat
24.05.2006 01:00 124.584 naveng32.dll
24.05.2006 01:00 837.288 navex32a.dll
24.05.2006 01:00 97.488 scrauth.dat
24.05.2006 01:00 8.145 symaveng.cat
24.05.2006 01:00 901 symaveng.inf
24.05.2006 01:00 46.940 tcdefs.dat
24.05.2006 01:00 752.028 tcscan7.dat
24.05.2006 01:00 293.466 tcscan8.dat
24.05.2006 01:00 224 zdone.dat
24.05.2006 01:00 453 tinf.dat
24.05.2006 01:00 148 tinfidx.dat
24.05.2006 01:00 1.957 tinfl.dat
24.05.2006 01:00 53.855 tscan1.dat
24.05.2006 01:00 1.237 tscan1hd.dat
24.05.2006 01:00 5.516 v.grd
24.05.2006 01:00 2.249 v.sig
24.05.2006 01:00 106.244 virscan.inf
24.05.2006 01:00 954.097 virscan1.dat
24.05.2006 01:00 569.514 virscan2.dat
24.05.2006 01:00 145.964 virscan3.dat
16.03.2006 17:52 537.704 AXXPEE.dll
24.06.2005 12:29 198.256 avsniffdlgs.dll
24.06.2005 12:24 6.850 navapi.vxd
24.06.2005 12:24 201.896 navapi32.dll
24.06.2005 12:23 42.112 ecmldr32.dll
26.05.2005 04:19 291 wuweb.inf
12.12.2004 22:37 65 desktop.ini
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 19:52 697 DirectAnimation Java Classes.osd
41 Datei(en) 17.410.829 Bytes
0 Verzeichnis(se), 3.778.490.368 Bytes frei



Datentr„ger in Laufwerk C: ist WindowsXP
Volumeseriennummer: FC9B-542F

Verzeichnis von C:\

23.10.2006 14:25 0 sys.txt
23.10.2006 14:24 2.290 down.txt
23.10.2006 14:24 8.046 tmp.txt
23.10.2006 14:24 6.003 system.txt
23.10.2006 14:23 2.509 systemtemp.txt
23.10.2006 14:23 105.019 system32.txt
23.10.2006 14:17 1.073.270.784 hiberfil.sys
23.10.2006 14:17 805.306.368 pagefile.sys
20.10.2006 12:52 404 avenger.txt
13.10.2006 16:47 0 23990098.$$$
11.10.2006 22:10 203 bootini.uns
19.09.2006 22:21 0 AILog.txt
18.09.2006 11:06 211 boot.ini
07.08.2006 19:07 7 AUTOEXEC.BAT
15.06.2006 18:54 1.724 Prodinfo.txt
12.10.2005 14:20 184.897 hcwclear.txt
07.05.2005 16:09 20.470 ZbThumbnail.info
13.03.2005 19:19 47.564 NTDETECT.COM
13.03.2005 19:19 251.184 ntldr
12.12.2004 22:38 0 CONFIG.SYS
12.12.2004 22:38 0 IO.SYS
12.12.2004 22:38 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin
23 Datei(en) 1.879.212.635 Bytes
0 Verzeichnis(se), 3.778.326.528 Bytes frei


Verzeichnis von C:\WINDOWS\system32

23.10.2006 14:17 54.112 vsconfig.xml
21.10.2006 15:49 10.022 KGyGaAvL.sys
20.10.2006 12:52 468 errorlog.txt
18.10.2006 13:16 5.828.608 NXAPDMT
13.10.2006 16:43 13.646 wpa.dbl
11.10.2006 14:38 51.757 cspev.exe
05.10.2006 18:37 4.212 zllictbl.dat
05.10.2006 12:04 2.983 CONFIG.NT
25.09.2006 17:45 666.240 aswBoot.exe
25.09.2006 17:37 90.112 AVASTSS.scr

#6 1.
Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke uf "yes"
reinkopieren: ......

C:\WINDOWS\system32\cspev.exe

PC neustarten

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
Download f-secure-Beta Trial
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Result: 1 malware found
W32/Keylog.AYS (virus)

* C:\WINDOWS\SYSTEM32\BASS.DLL (Submitted)

Statistics
Scanned:

* Files: 23781
* System: 3824
* Not scanned: 7

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 1
* Submitted: 1

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\09B5CA19B31B57005C078BDB360CEF28_0E73BBE6-6360-46DF-BE34-E567F183F461
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\3E20D96FC5E1D1CB6B455B5123C2302F_0E73BBE6-6360-46DF-BE34-E567F183F461
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\F1E47BECA4AEC7166607467E5F2E0D60_0E73BBE6-6360-46DF-BE34-E567F183F461
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\F7A7B061844053F1DF6AA8D0FC71656B_0E73BBE6-6360-46DF-BE34-E567F183F461


Ist der Trojaner weg? Spybot läuft wieder in der gewohnten Geschwindigtkeit, avast ist n bisschen langsam, kann aber auch nur Einbildung sein

#8 C:\WINDOWS\SYSTEM32\BASS.DLL - ueberpruefe, ob die dll noch da ist.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Finde sie nicht, scheint weg zu sein
Habe gerade nochmal fsecure drüberlaufen lassen und das findet auch nix!

#10 dann sollte wieder alles o.k sein

dennoch: mache einen Onlinescan mit panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Der sacn mit Panda funktioniert nicht, habe alles soweit gemacht nur er fängt nicht an zu scannen. Vielleicht liegt es daran, dass avast beim Download der ActiveX Elemente diese Meldung gebracht hat:

24.10.2006 11:06:34 Matthias 616 Sign of "Win32:CTX" has been found in "C:\WINDOWS\system32\ActiveScan\pskavs.dll" file.

#12 lasse diese datei zu, heisst, icht loeschen lassen vom avast, sondern ignorieren
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Ich habs jetzt nochmal nach nem Neustart probiert und er zeigt beim scannen keinen Fortschritt an (0 Files scannes), jedoch steht nach einer halben Std. da, dass er fertig ist und nichts gefunden hat...