"Warning: System Security Alert" u.ä. in Taskbar

#0
26.10.2006, 07:13
Member

Beiträge: 14
#1 Ich habe mir vorgestern wohl das volle Trojaner Programm eingefangen.
Neben den nervigen Popups in der Taskbar und den Redirects auf das System Security Center oder http://antispyweb.net, meldet Adware u.a.
2020Search
ClientMan
Coolwebsearch
Dialerplatform
Submithook.BHO
Surfsidekick
ToolbarCC
Win32.Trojandownloader.zlob
WinRes Hijacker
Win32.Trojandownloader.Delf

CleanUp habe ich schon ausgeführt und danach folgendes HijackThis Log erstellt (anonymisiert):

Logfile of HijackThis v1.99.1
Scan saved at 05:47:53, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\basfipm.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\Novell\XTAgent.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msmapi32.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\dpmw32.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\virus_found\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*****/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://******.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-i.*****/proxy.pac
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file)
O2 - BHO: (no name) - {11904ce8-632a-4856-a7cc-00b33fe71bd8} - (no file)
O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file)
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - (no file)
O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file)
O2 - BHO: (no name) - {1b68470c-2def-493b-8a4a-8e2d81be4ea5} - (no file)
O2 - BHO: (no name) - {1c4da27d-4d52-4465-a089-98e01bb725ca} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file)
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file)
O2 - BHO: (no name) - {2e246fae-8420-11d9-870d-000c2917de7f} - (no file)
O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file)
O2 - BHO: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - (no file)
O2 - BHO: (no name) - {7070a8f9-08a4-ca47-0ab0-1eb9e4ee1f3b} - (no file)
O2 - BHO: (no name) - {746455fe-d059-47e7-af0e-140e03f5a447} - (no file)
O2 - BHO: (no name) - {7a7e6d97-b492-4884-9abb-c31281dcc4f2} - (no file)
O2 - BHO: (no name) - {860c2f6b-ca82-4282-9187-beccbb66f0af} - (no file)
O2 - BHO: (no name) - {87185e78-a61b-4db3-965a-3235bbd7a622} - (no file)
O2 - BHO: ASGP32.ASGP - {89923A78-1DEA-41DC-A323-88DA2DE7B5AE} - C:\WINDOWS\system32\asgp32.dll
O2 - BHO: (no name) - {8dc8f96d-34f7-1501-a2a4-631341aa3ac1} - (no file)
O2 - BHO: (no name) - {9c5875b8-93f3-429d-ff34-660b206d897a} - (no file)
O2 - BHO: (no name) - {a2595f37-48d0-46a1-9b51-478591a97764} - (no file)
O2 - BHO: (no name) - {a6f42cad-2559-48df-af30-89e480af5dfa} - (no file)
O2 - BHO: (no name) - {b212d577-05b7-4963-911e-4a8588160dfa} - (no file)
O2 - BHO: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file)
O2 - BHO: (no name) - {d1ac752e-883f-4ed8-8828-b618c3a72152} - (no file)
O2 - BHO: (no name) - {e2b2b5a1-b48c-4886-a318-723916a01024} - (no file)
O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file)
O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file)
O2 - BHO: (no name) - {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} - (no file)
O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file)
O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file)
O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file)
O2 - BHO: (no name) - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)
O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file)
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\system32\zentray.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe"

/startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: NetScreen-Remote.lnk = C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file

missing)
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} -

C:\Programme\Novell\ZENworks\AxNalServer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.*****
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5F2194-9FF2-44EB-857F-9372711F690E}: NameServer = *****
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = *****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = *****
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = *****
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINDOWS\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec

AntiVirus\DefWatch.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Oracle9iHOMEClientCache - Unknown owner - c:\oracle\9i\BIN\ONRSD.EXE
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORACLE\805CLNT\BIN\ONRSD80.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. -

C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec

Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec

Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware

Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware

Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINDOWS\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe

Ich hoffe auf Eure Hilfe.

Granny
Dieser Beitrag wurde am 27.10.2006 um 17:28 Uhr von Granny editiert.
Seitenanfang Seitenende
26.10.2006, 11:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2006, 08:04
Member

Themenstarter

Beiträge: 14
#3 Hi Sabina,

erstmal vielen Dank, dass Du dich mit unerschöpflicher Geduld auch der 4711ten Infizierung dieser Art annimmst!

Bevor ich die Ergebnisse poste, muss ich sagen, dass ich die Anweisungen mit dem infizierten Rechner gemacht habe. Währenddessen kamen halt dauernd die Popups.

1. Clean-Up ausgeführt
2. Combofix Log (anonymisiert):

**** - 06-10-27 7:22:20,72 Service Pack 2
ComboFix 06.10.19 - Running from: "E:\virus_found"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\vxgamet1.exe


((((((((((((((((((((((((((((((( Files Created from 2006-09-27 to 2006-10-27 ))))))))))))))))))))))))))))))))))


2006-10-24 23:35 9,472 --a------ C:\WINDOWS\waol.exe
2006-10-24 23:35 8,960 --a------ C:\WINDOWS\users32.exe
2006-10-24 23:35 8,704 --a------ C:\WINDOWS\olehelp.exe
2006-10-24 23:35 8,448 --a------ C:\WINDOWS\SYSTEM32\netstat2.exe
2006-10-24 23:35 32,000 --a------ C:\WINDOWS\winmgnt.exe
2006-10-24 23:35 31,744 --a------ C:\WINDOWS\systemcritical.exe
2006-10-24 23:35 31,744 --a------ C:\WINDOWS\dialup.exe
2006-10-24 23:35 31,488 --a------ C:\WINDOWS\SYSTEM32\mpsegment.exe
2006-10-24 23:35 31,232 --a------ C:\WINDOWS\wininet32.exe
2006-10-24 23:35 30,464 --a------ C:\WINDOWS\SYSTEM32\VXH8JKDQ2.EXE
2006-10-24 23:35 29,952 --a------ C:\WINDOWS\win32e.exe
2006-10-24 23:35 29,440 --a------ C:\WINDOWS\SYSTEM32\msmsn.exe
2006-10-24 23:35 29,184 --a------ C:\WINDOWS\runwin32.exe
2006-10-24 23:35 28,672 --a------ C:\WINDOWS\window.exe
2006-10-24 23:35 28,160 --a------ C:\WINDOWS\SYSTEM32\POPCORN72.EXE
2006-10-24 23:35 27,904 --a------ C:\WINDOWS\SYSTEM32\iewd.exe
2006-10-24 23:35 27,648 --a------ C:\WINDOWS\SYSTEM32\winmuse.exe
2006-10-24 23:35 26,880 --a------ C:\WINDOWS\systeem.exe
2006-10-24 23:35 26,112 --a------ C:\WINDOWS\accesss.exe
2006-10-24 23:35 25,088 --a------ C:\WINDOWS\SYSTEM32\proqlaim.exe
2006-10-24 23:35 24,832 --a------ C:\WINDOWS\cpan.dll
2006-10-24 23:35 24,064 --a------ C:\WINDOWS\SYSTEM32\kernels64.exe
2006-10-24 23:35 22,528 --a------ C:\WINDOWS\avpcc.dll
2006-10-24 23:35 22,272 --a------ C:\WINDOWS\SYSTEM32\performent202.dll
2006-10-24 23:35 22,016 --a------ C:\WINDOWS\SYSTEM32\VXH8JKDQ6.EXE
2006-10-24 23:35 21,760 --a------ C:\WINDOWS\SYSTEM32\win32hp.dll
2006-10-24 23:35 21,760 --a------ C:\WINDOWS\SYSTEM32\perfont.exe
2006-10-24 23:35 21,504 --a------ C:\WINDOWS\SYSTEM32\vxgamet1.exe
2006-10-24 23:35 19,712 --a------ C:\WINDOWS\x.exe
2006-10-24 23:35 18,688 --a------ C:\WINDOWS\y.exe
2006-10-24 23:35 18,432 --a------ C:\WINDOWS\notepad32.exe
2006-10-24 23:35 17,664 --a------ C:\WINDOWS\xplugin.dll
2006-10-24 23:35 17,408 --a------ C:\WINDOWS\mtwirl32.dll
2006-10-24 23:35 14,848 --a------ C:\WINDOWS\winajbm.dll
2006-10-24 23:35 14,848 --a------ C:\WINDOWS\inetdctr.dll
2006-10-24 23:35 14,592 --a------ C:\WINDOWS\win64.exe
2006-10-24 23:35 13,056 --a------ C:\WINDOWS\SYSTEM32\dload.exe
2006-10-24 23:35 12,544 --a------ C:\WINDOWS\SYSTEM32\anti_troj.exe
2006-10-24 23:35 12,032 --a------ C:\WINDOWS\SYSTEM32\ace16win.dll
2006-10-24 23:35 11,264 --a------ C:\WINDOWS\spp3.dll
2006-10-24 23:35 10,496 --a------ C:\WINDOWS\clrssn.exe
2006-10-24 23:35 10,240 --a------ C:\WINDOWS\time.exe
2006-10-24 23:34 9,216 --a------ C:\WINDOWS\SYSTEM32\hsxrvell.exe
2006-10-24 23:34 8,192 --a------ C:\WINDOWS\SYSTEM32\sklmnf.exe
2006-10-24 23:34 45,056 --a------ C:\WINDOWS\SYSTEM32\msmapi32.exe
2006-10-24 23:34 18,432 --a------ C:\WINDOWS\SYSTEM32\asgp32.dll
2006-10-24 23:34 13,824 --a------ C:\WINDOWS\SYSTEM32\intr32.dll
2006-10-24 23:34 10,752 --a------ C:\WINDOWS\SYSTEM32\instreg_tmp.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-27 07:16 -------- d-------- C:\Programme\Symantec AntiVirus
2006-10-26 05:16 -------- d-------- C:\Programme\CleanUp!
2006-10-25 18:41 -------- d--h----- C:\Programme\WindowsUpdate
2006-10-24 18:52 -------- d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\VMware
2006-08-27 17:33 -------- d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\dvdcss


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet"
"Apoint"="C:\\Programme\\Apoint\\Apoint.exe"
"bascstray"="BascsTray.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"Dell QuickSet"="C:\\Programme\\Dell\\QuickSet\\quickset.exe"
"DVDSentry"="C:\\WINDOWS\\System32\\DSentry.exe"
"NDPS"="C:\\WINDOWS\\System32\\dpmw32.exe"
"NWTRAY"="NWTRAY.EXE"
"FreePDFAssistent"="C:\\Programme\\FreePDF\\FreePDFA.exe"
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"ZENRC Tray Icon"="C:\\WINDOWS\\system32\\zentray.exe"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_06\\bin\\jusched.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -onlytray"
"T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\""
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,20,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{763370C4-268E-4308-A60C-D8DA0342BE32}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"CompatibleRUPSecurity"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWindowsUpdate"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NetIdentity Notification
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-27 7:23:57.76
C:\ComboFix.txt ... 06-10-27 07:23

***********************
3. Datfind.bat Logs:

****************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\SYSTEM32

27.10.2006 07:23 21.504 vxgamet1.exe
27.10.2006 07:16 45.136 nvModes.001
27.10.2006 07:13 12.598 WPA.DBL
27.10.2006 06:56 4 stfv.bin
27.10.2006 06:52 12 oiso.bin
27.10.2006 06:52 0 lfd.dat
27.10.2006 06:52 0 pcf.pdf
26.10.2006 05:39 29.952 ncompat.tlb
25.10.2006 18:46 45.136 nvModes.dat
24.10.2006 23:35 29.440 msmsn.exe
24.10.2006 23:35 27.648 winmuse.exe
24.10.2006 23:35 21.760 perfont.exe
24.10.2006 23:35 8.448 netstat2.exe
24.10.2006 23:35 24.064 kernels64.exe
24.10.2006 23:35 12.544 anti_troj.exe
24.10.2006 23:35 28.160 POPCORN72.EXE
24.10.2006 23:35 25.088 proqlaim.exe
24.10.2006 23:35 31.488 mpsegment.exe
24.10.2006 23:35 22.272 performent202.dll
24.10.2006 23:35 27.904 iewd.exe
24.10.2006 23:35 13.056 dload.exe
24.10.2006 23:35 21.760 win32hp.dll
24.10.2006 23:35 30.464 VXH8JKDQ2.EXE
24.10.2006 23:35 22.016 VXH8JKDQ6.EXE
24.10.2006 23:35 28.672 ts.ico
24.10.2006 23:35 9.728 ot.ico
24.10.2006 23:35 25.344 msvol.tlb
24.10.2006 23:35 12.032 ace16win.dll
24.10.2006 23:34 18.432 asgp32.dll
24.10.2006 23:34 10.752 instreg_tmp.exe
24.10.2006 23:34 8.192 sklmnf.exe
24.10.2006 23:34 607 msmapi32.exe.MANIFEST
24.10.2006 23:34 45.056 msmapi32.exe
24.10.2006 23:34 13.824 intr32.dll
24.10.2006 23:34 9.216 hsxrvell.exe
23.07.2006 18:21 41 Filzip.ini

************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\Temp

27.10.2006 07:16 16.384 ~DF466E.tmp
27.10.2006 07:16 32.768 ~DFE4A7.tmp
2 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 1.218.908.160 Bytes frei

*************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS

27.10.2006 07:53 399.169 pfirewall.log
27.10.2006 07:52 41 Filzip.ini
27.10.2006 07:20 410.389 WindowsUpdate.log
27.10.2006 07:13 32.572 SchedLgU.Txt
27.10.2006 07:13 0 0.LOG
27.10.2006 07:13 2.048 BOOTSTAT.DAT
26.10.2006 05:02 195.398 Windows Update.log
25.10.2006 12:10 1.048.624 pfirewall.log.old
24.10.2006 23:35 11.264 spp3.dll
24.10.2006 23:35 31.232 wininet32.exe
24.10.2006 23:35 29.184 runwin32.exe
24.10.2006 23:35 31.744 dialup.exe
24.10.2006 23:35 18.688 y.exe
24.10.2006 23:35 17.664 xplugin.dll
24.10.2006 23:35 19.712 x.exe
24.10.2006 23:35 32.000 winmgnt.exe
24.10.2006 23:35 28.672 window.exe
24.10.2006 23:35 14.848 winajbm.dll
24.10.2006 23:35 14.592 win64.exe
24.10.2006 23:35 29.952 win32e.exe
24.10.2006 23:35 9.472 waol.exe
24.10.2006 23:35 8.960 users32.exe
24.10.2006 23:35 10.240 time.exe
24.10.2006 23:35 31.744 systemcritical.exe
24.10.2006 23:35 26.880 systeem.exe
24.10.2006 23:35 8.704 olehelp.exe
24.10.2006 23:35 18.432 notepad32.exe
24.10.2006 23:35 17.408 mtwirl32.dll
24.10.2006 23:35 24.832 cpan.dll
24.10.2006 23:35 10.496 clrssn.exe
24.10.2006 23:35 22.528 avpcc.dll
24.10.2006 23:35 23.296 astctl32.ocx
24.10.2006 23:35 26.112 accesss.exe
24.10.2006 23:35 14.848 inetdctr.dll
24.10.2006 23:04 168.490 wmsetup.log
24.10.2006 14:53 530 WIASERVC.LOG
24.10.2006 14:53 159 WIADEBUG.LOG
23.10.2006 13:19 662.939 setupapi.log
20.10.2006 20:04 109 cdlli41.INI
20.09.2006 15:10 754 WORDPAD.INI
01.09.2006 09:48 231.759 SETUPACT.LOG
08.06.2006 13:37 54.156 QTFont.qfn

**************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\Temp

27.10.2006 07:17 16.384 Perflib_Perfdata_6ac.dat
27.10.2006 07:16 16.384 Perflib_Perfdata_fc.dat
27.10.2006 07:14 85 vmware-vmount.log
3 Datei(en) 32.853 Bytes
0 Verzeichnis(se), 1.218.777.088 Bytes frei

****************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.09.2002 13:20 65 DESKTOP.INI
20.01.2000 17:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 20:52 697 DirectAnimation Java Classes.osd
3 Datei(en) 1.924 Bytes
0 Verzeichnis(se), 1.218.711.552 Bytes frei

*******************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\

27.10.2006 08:02 0 sys.txt
27.10.2006 07:12 2.146.435.072 pagefile.sys
23.10.2006 07:35 39 .bash_history
04.10.2006 09:23 668 datFind.bat
19.09.2006 17:32 600 winscp.RND
21.06.2006 15:57 600 PUTTY.RND
04.05.2006 05:58 3.885 TDSLCheck.txt
23 Datei(en) 2.682.881.573 Bytes
0 Verzeichnis(se), 1.218.707.456 Bytes frei

Vielen Dank für die Hilfe,
Granny

Hier nochmal ne blöde Frage:
Bei mir ist die Systemwiederherstellung aktiviert (für alle Laufwerke) und ich bekomme einen Wiederherstellungspunkt vom 24.10. 08:51.22 (Systemprüfpunkt) angezeigt.
Manuelle Wiederherstellungspunkte habe ich nie erzeugt.
Eigentlich habe ich das Feature nie benutzt.

Ich habe keine Ahnung wie zuverlässig es arbeitet.
Der Zeitpunkt würde aber passen. Außer Mails sollten keine aktuelleren Dinge in den Filesystemen passiert sein.

Wie man ja im Log sieht, gibt es in C:\Windows jede Menge Files vom 24.10. Uhr 23:35 - und ungefähr seit der Zeit habe ich die Probleme.
Würde es also Sinn machen, auf den 24.10. zurückzusetzen? Bin ich dann meine Probleme los?

*fragend* Granny

*********
Edit: 27.10. 11:36
(schon gewöhnungsbedürftig, dass man nicht auf seinen eigenen Beitrag antworten darf)

Ich habe mittlerweile etwas weiter geforscht und "probiert".

Habe den Online Scan von Pandasoft versucht. ActiveX Control installiert uns scannen lassen; leider ist mir kurz vor Ende die Verbindung unterbrochen worden und beim Restart hat er mir verschiedene Optionen angeboten (My Computer, etc) (war beim 1. Mal nicht so). Außerdem bezog er sich nur auf Viren, nicht "andere Schädlinge". Symantec mit der neuesten Signatur findet schon nix. Da hab ich mir Panda lieber gespart.

Smitfraudfix habe ich laufen lassen. Hier das Log vor dem Clean. Allerdings findet Adaware nach dem Reboot wieder die üblichen Verdächtigen, die Popups sind auch noch da.

Sagt mal, kann es sein, dass virus-protect.org down ist oder ist das schon Teil meines Problems...?

Viele Grüße,
Granny

**********

SmitFraudFix v2.114

Scan done at 10:31:08,93, 27.10.2006
Run from E:\virus_found\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\kernels64.exe FOUND !
C:\WINDOWS\system32\lfd.dat FOUND !
C:\WINDOWS\system32\msvol.tlb FOUND !
C:\WINDOWS\system32\ncompat.tlb FOUND !
C:\WINDOWS\system32\oiso.bin FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\vxgamet?.exe FOUND !
C:\WINDOWS\system32\vxh8jkdq?.exe FOUND !
C:\WINDOWS\system32\winmuse.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\****


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\****\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\****\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Dieser Beitrag wurde am 27.10.2006 um 11:45 Uhr von Granny editiert.
Seitenanfang Seitenende
27.10.2006, 13:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 meine seite war down, im Rechenzentrum gab es wohl einen Stromausfall ;)

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\vxgamet1.exe
C:\WINDOWS\system32\stfv.bin
C:\WINDOWS\system32\oiso.bin
C:\WINDOWS\system32\lfd.dat
C:\WINDOWS\system32\pcf.pdf
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvModes.dat
C:\WINDOWS\system32\msmsn.exe
C:\WINDOWS\system32\winmuse.exe
C:\WINDOWS\system32\perfont.exe
C:\WINDOWS\system32\netstat2.exe
C:\WINDOWS\system32\kernels64.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\POPCORN72.EXE
C:\WINDOWS\system32\proqlaim.exe
C:\WINDOWS\system32\mpsegment.exe
C:\WINDOWS\system32\performent202.dll
C:\WINDOWS\system32\iewd.exe
C:\WINDOWS\system32\dload.exe
C:\WINDOWS\system32\win32hp.dll
C:\WINDOWS\system32\VXH8JKDQ2.EXE
C:\WINDOWS\system32\VXH8JKDQ6.EXE
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ace16win.dll
C:\WINDOWS\system32\asgp32.dll
C:\WINDOWS\system32\instreg_tmp.exe
C:\WINDOWS\system32\sklmnf.exe
C:\WINDOWS\system32\msmapi32.exe.MANIFEST
C:\WINDOWS\system32\msmapi32.exe
C:\WINDOWS\system32\intr32.dll
C:\WINDOWS\system32\hsxrvell.exe
C:\WINDOWS\pfirewall.log
C:\WINDOWS\pfirewall.log.old
C:\WINDOWS\spp3.dll
C:\WINDOWS\wininet32.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\dialup.exe
C:\WINDOWS\y.exe
C:\WINDOWS\xplugin.dll
C:\WINDOWS\x.exe
C:\WINDOWS\winmgnt.exe
C:\WINDOWS\window.exe
C:\WINDOWS\winajbm.dll
C:\WINDOWS\win64.exe
C:\WINDOWS\win32e.exe
C:\WINDOWS\waol.exe
C:\WINDOWS\users32.exe
C:\WINDOWS\time.exe
C:\WINDOWS\systemcritical.exe
C:\WINDOWS\systeem.exe
C:\WINDOWS\olehelp.exe
C:\WINDOWS\notepad32.exe
C:\WINDOWS\mtwirl32.dll
C:\WINDOWS\cpan.dll
C:\WINDOWS\clrssn.exe
C:\WINDOWS\avpcc.dll
C:\WINDOWS\astctl32.ocx
C:\WINDOWS\accesss.exe
C:\WINDOWS\inetdctr.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****

O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file)


7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file)
O2 - BHO: (no name) - {11904ce8-632a-4856-a7cc-00b33fe71bd8} - (no file)
O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file)
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - (no file)
O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file)
O2 - BHO: (no name) - {1b68470c-2def-493b-8a4a-8e2d81be4ea5} - (no file)
O2 - BHO: (no name) - {1c4da27d-4d52-4465-a089-98e01bb725ca} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file)
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file)
O2 - BHO: (no name) - {2e246fae-8420-11d9-870d-000c2917de7f} - (no file)
O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file)
O2 - BHO: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - (no file)
O2 - BHO: (no name) - {7070a8f9-08a4-ca47-0ab0-1eb9e4ee1f3b} - (no file)
O2 - BHO: (no name) - {746455fe-d059-47e7-af0e-140e03f5a447} - (no file)
O2 - BHO: (no name) - {7a7e6d97-b492-4884-9abb-c31281dcc4f2} - (no file)
O2 - BHO: (no name) - {860c2f6b-ca82-4282-9187-beccbb66f0af} - (no file)
O2 - BHO: (no name) - {87185e78-a61b-4db3-965a-3235bbd7a622} - (no file)
O2 - BHO: ASGP32.ASGP - {89923A78-1DEA-41DC-A323-88DA2DE7B5AE} - C:\WINDOWS\system32\asgp32.dll
O2 - BHO: (no name) - {8dc8f96d-34f7-1501-a2a4-631341aa3ac1} - (no file)
O2 - BHO: (no name) - {9c5875b8-93f3-429d-ff34-660b206d897a} - (no file)
O2 - BHO: (no name) - {a2595f37-48d0-46a1-9b51-478591a97764} - (no file)
O2 - BHO: (no name) - {a6f42cad-2559-48df-af30-89e480af5dfa} - (no file)
O2 - BHO: (no name) - {b212d577-05b7-4963-911e-4a8588160dfa} - (no file)
O2 - BHO: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file)
O2 - BHO: (no name) - {d1ac752e-883f-4ed8-8828-b618c3a72152} - (no file)
O2 - BHO: (no name) - {e2b2b5a1-b48c-4886-a318-723916a01024} - (no file)
O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file)
O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file)
O2 - BHO: (no name) - {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} - (no file)
O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file)
O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file)
O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file)
O2 - BHO: (no name) - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)
O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file)
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - (no file)
PC neustarten

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

««
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2006, 13:46
Member

Beiträge: 3716
#5 hallo, du kannst schon mal die ganzen o1-einträge fixen.
weiterhin:
stelle deine ordneroptionen ein:
arbeitsplatz öffnen das menü extras öffnen dann auf ordneroptionen. dort die registerkarte ansicht wählen.
stelle dort folgendes ein:
dateinamenerweiterungen bei bekannten Dateitypen ausblenden off
Inhalte von systemordnern ausblenden off
Geschützte Systemdateien ausblenden off
Und bei versteckte Dateien alle einblenden on.
lade dir nun bitte die filelist.zip runter:
http://members.linzag.net/680262/filelist.zip
entpacke sie auf deinem Desktop.
öffne nun die filelist.bat.
Nun öffnet sich dein editor, dort wirst du mehrere verzeichnisse sehen. Kopiere nun von jedem dieser Verzeichnisse die jeweils letzten 30 tage hier her.
Seitenanfang Seitenende
27.10.2006, 14:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo virenfinder
ein bisschen verpaetet, siehst du nicht auch ? ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2006, 14:18
Member

Beiträge: 3716
#7 sorry, als ich angefangen hatte zu schreiben war dein beitrag noch nicht da... ich wurde auch zwischendurch "aufgehalten".
ich hoffe tipps etc. sind hier erwünscht und nicht störend?
Seitenanfang Seitenende
27.10.2006, 17:18
Member

Themenstarter

Beiträge: 14
#8 Hallo Sabina, hallo Virenfinder,

ich hatte dann noch ein wenig weitergeforscht und experimentiert.

Ja, es ist ein Dienstlaptop und ich musste so schnell wie möglich wieder arbeitsfähig sein.
Ich habe derzeit keine Gelegenheit, den Rechner wieder komplett aufzubauen.

Probiert hatte ich noch Vundofix, hat aber nichts gefunden.

Dann habe ich roguescanfix benutzt und danach war alles weg!! Die Popups und die Trojaner, Dialer, etc.
Seit dem findet Adaware nichts mehr.
Na ja stimmt nicht ganz: gerade hat es ein Trackig Cookie von doubleclick.net gefunden... (aber die hat's immer, die finde ich und lösche sie aber beim nächsten Scan sind wieder Tracking Cookies da).

Ich möchte nun aber einigermassen sicher gehen, dass der Rechner wieder sauber ist (wie gesagt dienstlich genutzt, ein wenig Home Banking, Ebay, all diese gefährlichen Sachen...)

Habe gerade nochmal Cleanup und Smitfraudfix laufen lassen. Komisch finde ich wieder diese Files gefunden und durch Smitfraudfix Clean gelöscht wurden:
C:\WINDOWS\system32\kernels64.exe Deleted
C:\WINDOWS\system32\lfd.dat Deleted
C:\WINDOWS\system32\msvol.tlb Deleted
C:\WINDOWS\system32\oiso.bin Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\vxgamet?.exe Deleted
C:\WINDOWS\system32\vxh8jkdq?.exe Deleted
C:\WINDOWS\system32\winmuse.exe Deleted


So, habe dann angefangen Sabina's Tips abzuarbeiten.

In Avenger habe ich Deine Liste einkopiert, wobei schon einige Files entfernt waren. Ebenso bei der Liste von HiJackThis.
Schließlich noch die Hosts umgesetzt.

Hier nun ein aktuelles HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:15:22, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\basfipm.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\Novell\XTAgent.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
E:\virus_found\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://***********
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\system32\zentray.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [wixtfgaa] C:\gckbniva.bat
O4 - Global Startup: NetScreen-Remote.lnk = C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *****
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5F2194-9FF2-44EB-857F-9372711F690E}: NameServer = *********
O17 - HKLM\System\CCS\Services\Tcpip\..\{88FA1535-810B-4186-89A1-0BDDC5201473}: NameServer = ********
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = *****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ****
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ****
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINDOWS\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Oracle9iHOMEClientCache - Unknown owner - c:\oracle\9i\BIN\ONRSD.EXE
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORACLE\805CLNT\BIN\ONRSD80.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINDOWS\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe

*******
Hier noch die Datfind.bat Logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\SYSTEM32

27.10.2006 17:03 45.136 nvModes.001
27.10.2006 17:01 45.136 nvModes.dat
27.10.2006 10:01 2.550 Uninstall.ico
27.10.2006 10:01 1.406 Help.ico
27.10.2006 10:01 30.590 pavas.ico
27.10.2006 07:13 12.598 WPA.DBL
02.08.2006 12:39 73.728 asuninst.exe
23.07.2006 18:21 41 Filzip.ini

********

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\Temp

27.10.2006 17:15 16.384 ~DF95B4.tmp
27.10.2006 17:11 40.960 ~WRS0000.tmp
27.10.2006 17:11 512 ~DFC04F.tmp
27.10.2006 17:03 16.384 ~DFF904.tmp
4 Datei(en) 74.240 Bytes
0 Verzeichnis(se), 1.153.798.144 Bytes frei

************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS

27.10.2006 17:21 10.102 pfirewall.log
27.10.2006 17:07 423.801 WindowsUpdate.log
27.10.2006 17:00 0 0.LOG
27.10.2006 16:59 2.048 BOOTSTAT.DAT
27.10.2006 16:58 32.572 SchedLgU.Txt
27.10.2006 16:32 41 Filzip.ini
27.10.2006 15:50 232.119 SETUPACT.LOG
27.10.2006 15:44 109 cdlli41.INI
27.10.2006 13:45 147.452 Windows Update.log
27.10.2006 10:43 771.794 ntbtlog.txt
27.10.2006 10:39 50 WIASERVC.LOG
27.10.2006 10:39 216 WIADEBUG.LOG
27.10.2006 10:17 546 WIN.INI
27.10.2006 10:17 32 pavsig.txt
27.10.2006 10:05 684.577 setupapi.log
27.10.2006 07:58 19.456 xxxvideo.hta
24.10.2006 23:04 168.490 wmsetup.log
20.09.2006 15:10 754 WORDPAD.INI
08.06.2006 13:37 54.156 QTFont.qfn

***********

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\Temp

27.10.2006 17:03 16.384 Perflib_Perfdata_d20.dat
27.10.2006 17:02 16.384 Perflib_Perfdata_4a0.dat
27.10.2006 17:01 85 vmware-vmount.log
27.10.2006 13:10 16.384 Perflib_Perfdata_f38.dat
27.10.2006 13:09 16.384 Perflib_Perfdata_634.dat
27.10.2006 13:08 85 vmware-vmount-1.log
6 Datei(en) 65.706 Bytes
0 Verzeichnis(se), 1.153.785.856 Bytes frei

***********

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
11.09.2002 13:20 65 DESKTOP.INI
20.01.2000 17:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 20:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 143.885 Bytes
0 Verzeichnis(se), 1.153.785.856 Bytes frei

*************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\

27.10.2006 17:23 0 sys.txt
27.10.2006 17:23 533 down.txt
27.10.2006 17:23 587 tmp.txt
27.10.2006 17:22 9.438 system.txt
27.10.2006 17:21 416 systemtemp.txt
27.10.2006 17:20 112.817 system32.txt
27.10.2006 16:59 2.146.435.072 pagefile.sys
27.10.2006 16:59 34.410 avenger.txt
27.10.2006 15:53 8.050 ComboFix.txt
27.10.2006 15:51 1.206 rapport.txt
27.10.2006 12:08 186 VundoFix.txt
23.10.2006 07:35 39 .bash_history
04.10.2006 09:23 668 datFind.bat
19.09.2006 17:32 600 winscp.RND
21.06.2006 15:57 600 PUTTY.RND


Was braucht Ihr noch, um Euch ein Bild zu machen? Bin ich wieder sauber?

Lieben Dank,
Granny
Dieser Beitrag wurde am 27.10.2006 um 17:27 Uhr von Granny editiert.
Seitenanfang Seitenende
27.10.2006, 17:24
Member

Beiträge: 3716
#9 poste doch mal wie von mir gewünscht die filelist. du bist dir auch sicher, das die o17-einträge alle zu dir gehören? weil du sie editirt hast meine ich...
Seitenanfang Seitenende
27.10.2006, 17:41
Member

Themenstarter

Beiträge: 14
#10 Hallo Virenfinder,

sorry hatte die Filelist vergessen.
Die O17 Einträge gehören zu mir, ebenso wie die Hosts, die ich editiert hatte. Die müssen auch irgendwann wieder in das Hosts File rein...

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\

27.10.2006 17:33 43 filelist.txt
27.10.2006 17:23 1.762 sys.txt
27.10.2006 17:23 533 down.txt
27.10.2006 17:23 587 tmp.txt
27.10.2006 17:22 9.438 system.txt
27.10.2006 17:21 416 systemtemp.txt
27.10.2006 17:20 112.817 system32.txt
27.10.2006 16:59 2.146.435.072 pagefile.sys
27.10.2006 16:59 34.410 avenger.txt
27.10.2006 15:53 8.050 ComboFix.txt
27.10.2006 15:51 1.206 rapport.txt
27.10.2006 12:08 186 VundoFix.txt
23.10.2006 07:35 39 .bash_history
04.10.2006 09:23 668 datFind.bat

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS

27.10.2006 17:33 12.367 pfirewall.log
27.10.2006 17:07 423.801 WindowsUpdate.log
27.10.2006 17:00 0 0.LOG
27.10.2006 16:59 2.048 BOOTSTAT.DAT
27.10.2006 16:58 32.572 SchedLgU.Txt
27.10.2006 16:32 41 Filzip.ini
27.10.2006 15:50 232.119 SETUPACT.LOG
27.10.2006 15:44 109 cdlli41.INI
27.10.2006 13:45 147.452 Windows Update.log
27.10.2006 10:43 771.794 ntbtlog.txt
27.10.2006 10:39 50 WIASERVC.LOG
27.10.2006 10:39 216 WIADEBUG.LOG
27.10.2006 10:17 546 WIN.INI
27.10.2006 10:17 32 pavsig.txt
27.10.2006 10:05 684.577 setupapi.log
27.10.2006 07:58 19.456 xxxvideo.hta
24.10.2006 23:04 168.490 wmsetup.log
20.09.2006 15:10 754 WORDPAD.INI


----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\system

04.08.2004 00:58 146.944 winspool.drv
04.08.2004 00:37 69.632 mmsystem.dll
29.08.2002 07:00 109.504 AVIFILE.DLL
... (und älter)
45 Datei(en) 3.417.897 Bytes
0 Verzeichnis(se), 1.153.536.000 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\system32

27.10.2006 17:03 45.136 nvModes.001
27.10.2006 17:01 45.136 nvModes.dat
27.10.2006 10:01 2.550 Uninstall.ico
27.10.2006 10:01 1.406 Help.ico
27.10.2006 10:01 30.590 pavas.ico
27.10.2006 07:13 12.598 WPA.DBL
02.08.2006 12:39 73.728 asuninst.exe

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\Prefetch

27.10.2006 17:33 10.406 FIND.EXE-0EEAD1A7.pf
27.10.2006 17:33 19.624 CMD.EXE-034B0549.pf
27.10.2006 17:33 77.542 IEXPLORE.EXE-360BBB5C.pf
27.10.2006 17:31 25.922 FILZIP.EXE-044A902A.pf
27.10.2006 17:29 13.260 NOTEPAD.EXE-2F2D61E1.pf
27.10.2006 17:15 13.280 HIJACKTHIS.EXE-32D3D015.pf
27.10.2006 17:11 44.466 WINWORD.EXE-39A7680E.pf
27.10.2006 17:10 76.278 EXPLORER.EXE-02121B1A.pf
27.10.2006 17:08 11.346 HOSTER.EXE-193B30C0.pf
27.10.2006 17:07 21.252 WORDPAD.EXE-159A81F2.pf
27.10.2006 17:07 28.772 RUNDLL32.EXE-6DCE48DE.pf
27.10.2006 17:06 23.902 NLNHOOK.EXE-32E5C275.pf
27.10.2006 17:05 13.118 TELNET.EXE-151A63B2.pf
27.10.2006 17:05 10.792 VPN.EXE-27677D17.pf
27.10.2006 17:03 29.744 EPMWORKER.EXE-2F955D77.pf
27.10.2006 17:03 36.844 GENERIC.EXE-0D0328B3.pf
27.10.2006 17:03 16.832 CONNECTIONWIZARD.EXE-2D7F07D6.pf
27.10.2006 17:03 20.872 WMIPRVSE.EXE-0D449B4F.pf
27.10.2006 17:03 17.688 WMIAPSRV.EXE-02740A4B.pf
27.10.2006 17:03 8.788 SERVIC~1.EXE-11356F7E.pf
27.10.2006 17:03 60.524 CAPABILITYMANAGER.EXE-15EE2405.pf
27.10.2006 17:03 11.310 REGEDIT.EXE-2AE3423E.pf
27.10.2006 17:03 18.980 REGSVR32.EXE-396DEA2C.pf
27.10.2006 17:03 27.586 VPTRAY.EXE-34C1F6CD.pf
27.10.2006 17:03 9.646 FPASSIST.EXE-0FA62707.pf
27.10.2006 17:03 7.102 APNTEX.EXE-2C8A001B.pf
27.10.2006 17:03 12.764 NWTRAY.EXE-311F94A6.pf
27.10.2006 17:03 14.458 DPMW32.EXE-1B8B3356.pf
27.10.2006 17:03 6.412 DSENTRY.EXE-28A3C4CF.pf
27.10.2006 17:03 15.828 QUICKSET.EXE-0836EF39.pf
27.10.2006 17:03 18.786 APOINT.EXE-1ACC1F58.pf
27.10.2006 17:03 9.824 ATIPTAXX.EXE-105D301A.pf
27.10.2006 17:03 3.406 ZENTRAY.EXE-2F1F0722.pf
27.10.2006 17:03 3.468 ATI2MDXX.EXE-2A5FBD2A.pf
27.10.2006 17:03 13.862 PRONOMGR.EXE-198A99D4.pf
27.10.2006 17:03 11.260 NWIZ.EXE-2D374245.pf
27.10.2006 17:03 13.380 USERINIT.EXE-0743FDA9.pf
27.10.2006 17:03 14.270 RUNDLL32.EXE-4DED6A50.pf
27.10.2006 17:03 15.970 1XCONFIG.EXE-23EC3955.pf
27.10.2006 17:03 24.408 ZCFGSVC.EXE-38074293.pf
27.10.2006 17:03 7.726 WSCNTFY.EXE-0B14C27D.pf
27.10.2006 17:03 14.878 ALG.EXE-275708CF.pf
27.10.2006 17:02 48.786 XTAGENT.EXE-07BF47D4.pf
27.10.2006 17:02 19.080 MPNOTIFY.EXE-240461D6.pf
27.10.2006 17:02 23.272 WUAUCLT.EXE-1360D60A.pf
27.10.2006 17:02 482.742 NTOSBOOT-B00DFAAD.pf
27.10.2006 15:47 11.610 DUMPREP.EXE-0AF2BF67.pf
27.10.2006 15:47 5.902 ATI2EVXX.EXE-07A42849.pf
48 Datei(en) 1.447.968 Bytes
0 Verzeichnis(se), 1.153.421.312 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\tasks

27.10.2006 17:00 6 SA.DAT
29.08.2002 07:00 65 DESKTOP.INI
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 1.153.421.312 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\WINDOWS\Temp

27.10.2006 17:03 16.384 Perflib_Perfdata_d20.dat
27.10.2006 17:02 16.384 Perflib_Perfdata_4a0.dat
27.10.2006 17:01 85 vmware-vmount.log
27.10.2006 13:10 16.384 Perflib_Perfdata_f38.dat
27.10.2006 13:09 16.384 Perflib_Perfdata_634.dat
27.10.2006 13:08 85 vmware-vmount-1.log
6 Datei(en) 65.706 Bytes
0 Verzeichnis(se), 1.153.421.312 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E888-99CD

Verzeichnis von C:\Temp

27.10.2006 17:15 16.384 ~DF95B4.tmp
27.10.2006 17:03 16.384 ~DFF904.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 1.153.417.216 Bytes frei


Viele Grüße,
Granny
Seitenanfang Seitenende
27.10.2006, 17:55
Member

Themenstarter

Beiträge: 14
#11 was meinst Du mit 18k und 20k?

*blödfrag*,
Granny

*grins*
Ich hab's - die sind aus google mitkopiert
Dieser Beitrag wurde am 27.10.2006 um 18:00 Uhr von Granny editiert.
Seitenanfang Seitenende
27.10.2006, 18:00
Member

Beiträge: 3716
#12 der ganze link hat nicht auf die zeile gepasst ;-) ist aber net weiter schlimm müsst auch so gehen...
Seitenanfang Seitenende
27.10.2006, 20:06
Member

Themenstarter

Beiträge: 14
#13 so, mittlerweile habe ich den Rechner scannen lassen:

Panda:

Adware:Adware/SpySheriff Nicht desinfiziert C:\Avenger\backup.zip[avenger/hsxrvell.exe]
Adware:Adware/AntispywareSoldier Nicht desinfiziert C:\Avenger\backup.zip[avenger/instreg_tmp.exe]
Adware:Adware/SecurityError Nicht desinfiziert C:\Avenger\backup.zip[avenger/intr32.dll]
Adware:Adware/AntispywareSoldier Nicht desinfiziert C:\Avenger\backup.zip[avenger/msmapi32.exe]
Adware:Adware/AntispywareSoldier Nicht desinfiziert C:\Avenger\backup.zip[avenger/sklmnf.exe]
Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\*****\Cookies\**********@as1.falkag[2].txt
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\****\Cookies\*****@doubleclick[2].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\Roguescanfix\Process.exe
Mögliches Virus. Nicht desinfiziert E:\****\ttt_Temp\UFS\Lostech_DigiCorder_Rip_Pack_V28.zip[Ping.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert E:\virus_found\SmitfraudFix\Process.exe
Mögliches Virus. Nicht desinfiziert E:\virus_found\SmitfraudFix\swsc.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert E:\virus_found\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Mögliches Virus. Nicht desinfiziert E:\virus_found\SmitfraudFix.zip[SmitfraudFix/swsc.exe] Ich glaube, dass ist nicht so schlimm.
Die backup.zip vom Avenger habe ich gelöscht?

Kaspersky:

hänge ich an

Habe ich noch Probleme?

Sabina, was meinst Du?

Viele Grüße,
Granny

Seitenanfang Seitenende
28.10.2006, 08:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 http://virus-protect.org/artikel/tools/agentransack.html
suche: xxxvideo - poste, was du findest.

--------------------------------------------------
C:\WINDOWS\system32\xxxvideo.hta
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.10.2006, 09:50
Member

Themenstarter

Beiträge: 14
#15 Hallo Sabina,

gefunden wurde nur xxxvideo.hta in C:\WINDOWS.

Soll ich die löschen (kann ih das überhaupt einfach so?)?

Viele Grüße,
Granny
Seitenanfang Seitenende