Home » Spyware & Browser Hijacker Support Forum » Surveil Keylogger Hkey_classes_root\.zlg » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Surveil Keylogger Hkey_classes_root\.zlg

Thema ist geschlossen!

28.10.2006, 18:57

noo444

...neu hier

Beiträge: 5

#1 hi,

es gab mal einen post von 2005 , der half mir aber leider nicht weiter.

ich habe einen surveil keylogger auf meinem pc.
weiß jemand wie ich das ding endgültig entfernen kann ?
bei jedem neustart ist er wieder da.
mit Malware kann ich ihn immer nur für die Sitzung löschen.
Hijack findet nichts, jedenfalls erkenne ich nichts.

Hier mein Hijack-Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 18:56:18, on 28.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MalwareSweeper.com\MalwareSweeper\MalSwep.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.malwaresweeper.com/install-success.html
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Malware Sweeper] C:\Programme\MalwareSweeper.com\MalwareSweeper\MalSwep.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

vielen dank.

28.10.2006, 19:01

virenfinder

Member

Beiträge: 3716

#2 hallo und willkomen an board
1.
combofix downloaden log posten:
www.virus-protect.org/artikel/tools/combofix.html - 10k -
2.
filelist:
http://members.linzag.net/680262/filelist.zip
auf dem desktop entpacken filelist.bat anklicken. nun öffnet sich dein editor von jedem verzeichniss die jeweils letzten 30 tage

28.10.2006, 19:43

noo444

...neu hier

Themenstarter

Beiträge: 5

#3 20:12 Uhr noch mal ein Nach-Nachtrag:
Kann es sein , dass winpcap den Surveil-Alarm auslöst ? winpcap brauche ich nämlich für Snort unter Windows ???

!!! Achtung Nachtrag von mir siehe ganz unten, unter Nachtrag !!!

Vielen Dank für die schnelle Antwort.

Also hier ist die combofix datei.
Soll ich die filelist auch hier posten, die ist verdammt lang - noch länger als combofix.txt
zum Glück nur alle Verzeichnisse von heute, weil ich heute meinen PC neu formaiterte.

Kann man anhand der filelist sehen, ob Surveil (mein Problemchen) aus dem internen WLAN-Netz bei mir installiert wurde ?
Ich bin gerade dabei, bei mir Snort einzurichten, dauert aber noch und wäre ja in diesem Falle auch zu spät.

Also hier die combofix.txt

Sam - 06-10-28 19:34:03,35 Service Pack 2
ComboFix 06.10.19 - Running from: "F:\tools\surveil keylogger killer"

((((((((((((((((((((((((((((((( Files Created from 2006-09-28 to 2006-10-28 ))))))))))))))))))))))))))))))))))

2006-10-28 10:32 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2006-10-28 10:32 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2006-10-28 10:32 38,912 --------- C:\WINDOWS\system32\picn20.dll
2006-10-28 10:32 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2006-10-28 10:32 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2006-10-28 10:32 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2006-10-28 10:32 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2006-10-28 10:31 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2006-10-28 09:24 809,984 -ra------ C:\WINDOWS\system32\sisgrv.dll
2006-10-28 09:24 7,168 -ra------ C:\WINDOWS\system32\instFunc.dll
2006-10-28 09:24 49,152 -ra------ C:\WINDOWS\system32\SiSBase.dll
2006-10-28 09:24 258,048 -ra------ C:\WINDOWS\system32\SiSParse.dll
2006-10-28 09:24 24,576 -ra------ C:\WINDOWS\system32\SiSPInst.dll
2006-10-28 09:24 220,672 -ra------ C:\WINDOWS\system32\drivers\sisgrp.sys
2006-10-28 09:24 180,224 -ra------ C:\WINDOWS\system32\SiSInst.dll
2006-10-28 09:24 12,416 -ra------ C:\WINDOWS\system32\drivers\srvkp.sys
2006-10-28 09:24 1,864,425 -ra------ C:\WINDOWS\system32\sisgl.dll
2006-10-28 09:23 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2006-10-28 09:23 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2006-10-28 09:23 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2006-10-28 09:23 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2006-10-28 09:23 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2006-10-28 09:23 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2006-10-28 09:23 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2006-10-28 09:23 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2006-10-28 09:23 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2006-10-28 09:23 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-10-28 09:23 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2006-10-28 09:23 171,776 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2006-10-28 09:23 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2006-10-28 09:23 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2006-10-28 09:22 7,509,504 --a------ C:\WINDOWS\system32\RTLCPL.EXE
2006-10-28 09:22 67,584 --a------ C:\WINDOWS\SOUNDMAN.EXE
2006-10-28 09:22 65,536 --a------ C:\WINDOWS\system32\Audio3D.dll
2006-10-28 09:22 65,536 --a------ C:\WINDOWS\system32\a3d.dll
2006-10-28 09:22 626,977 --a------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2006-10-28 09:22 400,384 --a------ C:\WINDOWS\system32\drivers\ALCXSENS.SYS
2006-10-28 09:22 40,448 --------- C:\WINDOWS\system32\ChCfg.exe
2006-10-28 09:22 208,896 --------- C:\WINDOWS\alcupd.exe
2006-10-28 09:22 155,648 --a------ C:\WINDOWS\system32\RTLCPAPI.dll
2006-10-28 09:22 139,264 --------- C:\WINDOWS\alcrmv.exe
2006-10-28 09:14 512,688 --a------ C:\WINDOWS\system32\XceedCry.dll
2006-10-28 09:14 423,784 --a------ C:\WINDOWS\system32\XceedBkp.dll
2006-10-28 09:14 118,784 --a------ C:\WINDOWS\system32\msstdfmt.dll
2006-10-28 09:14 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2006-10-28 09:14 10,752 --a------ C:\WINDOWS\system32\md5.dll
2006-10-28 08:56 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-10-28 08:56 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-10-28 08:56 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-10-28 08:50 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2006-10-28 08:48 96,256 --a------ C:\WINDOWS\system32\drivers\sptd3341.sys
2006-10-28 08:48 642,560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-10-28 08:38 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-10-27 22:04 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2006-10-27 22:03 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2006-10-27 22:03 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2006-10-27 22:02 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2006-10-27 22:02 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2006-10-27 22:02 44,672 --a------ C:\WINDOWS\system32\drivers\UAGP35.SYS
2006-10-27 22:02 32,768 --a------ C:\WINDOWS\system32\drivers\sisnic.sys
2006-10-27 22:01 6,144 -ra------ C:\WINDOWS\system32\kbdtuq.dll
2006-10-27 22:01 6,144 -ra------ C:\WINDOWS\system32\kbdtuf.dll
2006-10-27 22:01 5,632 -ra------ C:\WINDOWS\system32\kbdazel.dll
2006-10-27 22:00 86,556 --a------ C:\WINDOWS\system32\dgsetup.dll
2006-10-27 22:00 8,704 --a------ C:\WINDOWS\system32\batt.dll
2006-10-27 22:00 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll
2006-10-27 22:00 76,288 --a------ C:\WINDOWS\system32\storprop.dll
2006-10-27 22:00 70,144 --a------ C:\WINDOWS\NOTEPAD.EXE
2006-10-27 22:00 7,168 -ra------ C:\WINDOWS\system32\kbdcz.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdycl.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdsl1.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdsl.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdpl.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdhu.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdhela3.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdcz2.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdcz1.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\kbdcr.dll
2006-10-27 22:00 6,656 -ra------ C:\WINDOWS\system32\KBDAL.DLL
2006-10-27 22:00 6,144 -ra------ C:\WINDOWS\system32\kbdlv1.dll
2006-10-27 22:00 6,144 -ra------ C:\WINDOWS\system32\kbdlv.dll
2006-10-27 22:00 6,144 -ra------ C:\WINDOWS\system32\kbdhela2.dll
2006-10-27 22:00 6,144 -ra------ C:\WINDOWS\system32\kbdgkl.dll
2006-10-27 22:00 6,144 -ra------ C:\WINDOWS\system32\kbdest.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdycc.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbduzb.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdur.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdtat.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdru1.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdru.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdro.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdpl1.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdmon.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdlt1.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdlt.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdkyr.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdkaz.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdhu1.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdhe319.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdhe220.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdhe.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdbu.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdblr.dll
2006-10-27 22:00 5,632 -ra------ C:\WINDOWS\system32\kbdaze.dll
2006-10-27 22:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2006-10-27 22:00 176,157 --a------ C:\WINDOWS\system32\dgrpsetu.dll
2006-10-27 22:00 15,872 --a------ C:\WINDOWS\TASKMAN.EXE
2006-10-27 22:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2006-10-27 22:00 11,264 --a------ C:\WINDOWS\system32\drivers\irenum.sys
2006-10-27 22:00 103,936 --a------ C:\WINDOWS\system32\EqnClass.Dll
2006-10-27 21:12 112,128 --a------ C:\WINDOWS\system32\mapi32.dll
2006-10-27 21:12 0 -rahs---- C:\MSDOS.SYS
2006-10-27 21:12 0 -rahs---- C:\IO.SYS
2006-10-27 21:12 0 --a------ C:\CONFIG.SYS
2006-10-27 21:12 0 --a------ C:\AUTOEXEC.BAT
2006-10-27 21:10 70,144 --a------ C:\WINDOWS\system32\acctres.dll
2006-10-27 21:10 16,384 --a------ C:\WINDOWS\system32\icfgnt5.dll
2006-10-27 21:10 12,288 --a------ C:\WINDOWS\system32\nmevtmsg.dll
2006-10-27 21:10 11,264 --a------ C:\WINDOWS\system32\atrace.dll
2006-10-27 21:09 86,016 --a------ C:\WINDOWS\system32\isign32.dll
2006-10-27 21:09 81,920 --a------ C:\WINDOWS\system32\ils.dll
2006-10-27 21:09 8,192 --a------ C:\WINDOWS\system32\bitsprx2.dll
2006-10-27 21:09 73,728 --a------ C:\WINDOWS\system32\icwdial.dll
2006-10-27 21:09 73,472 --a------ C:\WINDOWS\system32\drivers\sr.sys
2006-10-27 21:09 7,168 --a------ C:\WINDOWS\system32\bitsprx3.dll
2006-10-27 21:09 69,632 --a------ C:\WINDOWS\system32\msconf.dll
2006-10-27 21:09 678,400 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-10-27 21:09 67,584 --a------ C:\WINDOWS\system32\srclient.dll
2006-10-27 21:09 65,536 --a------ C:\WINDOWS\system32\icwphbk.dll
2006-10-27 21:09 6,656 --a------ C:\WINDOWS\system32\wuauserv.dll
2006-10-27 21:09 51,712 --a------ C:\WINDOWS\system32\inetres.dll
2006-10-27 21:09 45,568 --a------ C:\WINDOWS\system32\safrslv.dll
2006-10-27 21:09 44,032 --a------ C:\WINDOWS\system32\racpldlg.dll
2006-10-27 21:09 431,616 --a------ C:\WINDOWS\system32\wuapi.dll
2006-10-27 21:09 43,520 --a------ C:\WINDOWS\system32\safrcdlg.dll
2006-10-27 21:09 382,464 --a------ C:\WINDOWS\system32\qmgr.dll
2006-10-27 21:09 36,864 --a------ C:\WINDOWS\system32\wups.dll
2006-10-27 21:09 34,560 --a------ C:\WINDOWS\system32\mnmdd.dll
2006-10-27 21:09 32,768 --a------ C:\WINDOWS\system32\mnmsrvc.exe
2006-10-27 21:09 32,768 --a------ C:\WINDOWS\system32\isrdbg32.dll
2006-10-27 21:09 29,696 --a------ C:\WINDOWS\system32\safrdm.dll
2006-10-27 21:09 282,624 --a------ C:\WINDOWS\system32\inetcfg.dll
2006-10-27 21:09 280,064 --a------ C:\WINDOWS\system32\mstask.dll
2006-10-27 21:09 28,672 --a------ C:\WINDOWS\system32\nmmkcert.dll
2006-10-27 21:09 252,928 --a------ C:\WINDOWS\system32\msoeacct.dll
2006-10-27 21:09 242,176 --a------ C:\WINDOWS\system32\srrstr.dll
2006-10-27 21:09 22,528 --a------ C:\WINDOWS\system32\fltMc.exe
2006-10-27 21:09 192,000 --a------ C:\WINDOWS\system32\schedsvc.dll
2006-10-27 21:09 183,808 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-10-27 21:09 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-10-27 21:09 171,008 --a------ C:\WINDOWS\system32\srsvc.dll
2006-10-27 21:09 168,448 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-10-27 21:09 16,896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-10-27 21:09 124,800 --a------ C:\WINDOWS\system32\drivers\fltMgr.sys
2006-10-27 21:09 120,320 --a------ C:\WINDOWS\system32\wuweb.dll
2006-10-27 21:09 12,288 --a------ C:\WINDOWS\system32\mstinit.exe
2006-10-27 21:09 113,664 --a------ C:\WINDOWS\system32\wucltui.dll
2006-10-27 21:09 111,616 --a------ C:\WINDOWS\system32\wuauclt.exe
2006-10-27 21:09 105,984 --a------ C:\WINDOWS\system32\msoert2.dll
2006-10-27 21:09 1,134,592 --a------ C:\WINDOWS\system32\wuaueng.dll
2006-10-27 21:08 73,216 --a------ C:\WINDOWS\system32\avwav.dll
2006-10-27 21:08 5,632 --a------ C:\WINDOWS\system32\write.exe
2006-10-27 21:08 44,544 --a------ C:\WINDOWS\system32\hticons.dll
2006-10-27 21:08 16,384 --a------ C:\WINDOWS\system32\avmeter.dll
2006-10-27 21:08 139,776 --a------ C:\WINDOWS\system32\sndvol32.exe
2006-10-27 21:07 949,248 --a------ C:\WINDOWS\system32\msdtctm.dll
2006-10-27 21:07 94,720 --a------ C:\WINDOWS\system32\tscfgwmi.dll
2006-10-27 21:07 90,112 --a------ C:\WINDOWS\system32\mtxoci.dll
2006-10-27 21:07 87,176 --a------ C:\WINDOWS\system32\rdpwsx.dll
2006-10-27 21:07 85,504 --a------ C:\WINDOWS\system32\catsrvps.dll
2006-10-27 21:07 82,432 --a------ C:\WINDOWS\system32\comrepl.dll
2006-10-27 21:07 80,896 --a------ C:\WINDOWS\system32\charmap.exe
2006-10-27 21:07 683,520 --a------ C:\WINDOWS\system32\getuname.dll
2006-10-27 21:07 67,072 --a------ C:\WINDOWS\system32\rdshost.exe
2006-10-27 21:07 655,360 --a------ C:\WINDOWS\system32\mstscax.dll
2006-10-27 21:07 628,224 --a------ C:\WINDOWS\system32\catsrvut.dll
2006-10-27 21:07 62,464 --a------ C:\WINDOWS\system32\rdpclip.exe
2006-10-27 21:07 62,464 --a------ C:\WINDOWS\system32\colbact.dll
2006-10-27 21:07 61,440 --a------ C:\WINDOWS\system32\remotepg.dll
2006-10-27 21:07 6,144 --a------ C:\WINDOWS\system32\msdtc.exe
2006-10-27 21:07 58,880 --a------ C:\WINDOWS\system32\msdtclog.dll
2006-10-27 21:07 58,880 --a------ C:\WINDOWS\system32\licwmi.dll
2006-10-27 21:07 57,344 --a------ C:\WINDOWS\system32\sol.exe
2006-10-27 21:07 56,320 --a------ C:\WINDOWS\system32\servdeps.dll
2006-10-27 21:07 55,808 --a------ C:\WINDOWS\system32\freecell.exe
2006-10-27 21:07 540,160 --a------ C:\WINDOWS\system32\comuid.dll
2006-10-27 21:07 54,272 --a------ C:\WINDOWS\system32\stclient.dll
2006-10-27 21:07 539,136 --a------ C:\WINDOWS\system32\spider.exe
2006-10-27 21:07 501,248 --a------ C:\WINDOWS\system32\clbcatq.dll
2006-10-27 21:07 5,120 --a------ C:\WINDOWS\system32\dcomcnfg.exe
2006-10-27 21:07 44,544 --a------ C:\WINDOWS\system32\tscupgrd.exe
2006-10-27 21:07 425,472 --a------ C:\WINDOWS\system32\msdtcprx.dll
2006-10-27 21:07 412,672 --a------ C:\WINDOWS\system32\mstsc.exe
2006-10-27 21:07 40,840 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2006-10-27 21:07 4,608 --a------ C:\WINDOWS\system32\rdpcfgex.dll
2006-10-27 21:07 4,096 --a------ C:\WINDOWS\system32\mtxex.dll
2006-10-27 21:07 39,424 --a------ C:\WINDOWS\system32\cfgbkend.dll
2006-10-27 21:07 354,304 --a------ C:\WINDOWS\system32\hypertrm.dll
2006-10-27 21:07 35,840 --a------ C:\WINDOWS\system32\winchat.exe
2006-10-27 21:07 346,624 --a------ C:\WINDOWS\system32\mspaint.exe
2006-10-27 21:07 33,792 --a------ C:\WINDOWS\system32\regini.exe
2006-10-27 21:07 297,472 --a------ C:\WINDOWS\system32\termsrv.dll
2006-10-27 21:07 25,600 --a------ C:\WINDOWS\system32\comaddin.dll
2006-10-27 21:07 25,088 --a------ C:\WINDOWS\system32\mtxlegih.dll
2006-10-27 21:07 232,960 --a------ C:\WINDOWS\system32\avtapi.dll
2006-10-27 21:07 229,888 --a------ C:\WINDOWS\system32\catsrv.dll
2006-10-27 21:07 22,528 --a------ C:\WINDOWS\system32\qwinsta.exe
2006-10-27 21:07 22,528 --a------ C:\WINDOWS\system32\msg.exe
2006-10-27 21:07 21,896 --a------ C:\WINDOWS\system32\drivers\tdtcp.sys
2006-10-27 21:07 20,480 --a------ C:\WINDOWS\system32\qprocess.exe
2006-10-27 21:07 20,480 --a------ C:\WINDOWS\system32\mtxdm.dll
2006-10-27 21:07 196,864 --a------ C:\WINDOWS\system32\drivers\rdpdr.sys
2006-10-27 21:07 19,968 --a------ C:\WINDOWS\system32\rdpsnd.dll
2006-10-27 21:07 189,440 --a------ C:\WINDOWS\system32\cmprops.dll
2006-10-27 21:07 188,416 --a------ C:\WINDOWS\system32\accwiz.exe
2006-10-27 21:07 17,920 --a------ C:\WINDOWS\system32\tsshutdn.exe
2006-10-27 21:07 17,920 --a------ C:\WINDOWS\system32\mmfutil.dll
2006-10-27 21:07 17,408 --a------ C:\WINDOWS\system32\qappsrv.exe
2006-10-27 21:07 161,280 --a------ C:\WINDOWS\system32\msdtcuiu.dll
2006-10-27 21:07 16,384 --a------ C:\WINDOWS\system32\tskill.exe
2006-10-27 21:07 16,384 --a------ C:\WINDOWS\system32\rwinsta.exe
2006-10-27 21:07 15,872 --a------ C:\WINDOWS\system32\logoff.exe
2006-10-27 21:07 15,872 --a------ C:\WINDOWS\system32\cdmodem.dll
2006-10-27 21:07 15,360 --a------ C:\WINDOWS\system32\tsdiscon.exe
2006-10-27 21:07 15,360 --a------ C:\WINDOWS\system32\tscon.exe
2006-10-27 21:07 15,360 --a------ C:\WINDOWS\system32\shadow.exe
2006-10-27 21:07 147,968 --a------ C:\WINDOWS\system32\rdchost.dll
2006-10-27 21:07 147,456 --a------ C:\WINDOWS\system32\comsnap.dll
2006-10-27 21:07 142,848 --a------ C:\WINDOWS\system32\sessmgr.exe
2006-10-27 21:07 139,400 --a------ C:\WINDOWS\system32\drivers\rdpwd.sys
2006-10-27 21:07 133,120 --a------ C:\WINDOWS\system32\sndrec32.exe
2006-10-27 21:07 13,824 --a------ C:\WINDOWS\system32\rdsaddin.exe
2006-10-27 21:07 128,000 --a------ C:\WINDOWS\system32\mshearts.exe
2006-10-27 21:07 124,928 --a------ C:\WINDOWS\system32\mplay32.exe
2006-10-27 21:07 120,320 --a------ C:\WINDOWS\system32\winmine.exe
2006-10-27 21:07 12,040 --a------ C:\WINDOWS\system32\drivers\tdpipe.sys
2006-10-27 21:07 114,688 --a------ C:\WINDOWS\system32\calc.exe
2006-10-27 21:07 110,080 --a------ C:\WINDOWS\system32\clbcatex.dll
2006-10-27 21:07 11,776 --a------ C:\WINDOWS\system32\xolehlp.dll
2006-10-27 21:07 11,264 --a------ C:\WINDOWS\system32\icaapi.dll
2006-10-27 21:07 104,448 --a------ C:\WINDOWS\system32\clipbrd.exe
2006-10-27 21:07 10,240 --a------ C:\WINDOWS\system32\reset.exe
2006-10-27 21:07 1,251,840 --a------ C:\WINDOWS\system32\comsvcs.dll
2006-10-27 21:07 1,237 --a------ C:\WINDOWS\system32\usrlogon.cmd

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-10-28 19:29 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-28 12:02 -------- d-------- C:\Dokumente und Einstellungen\Sam\Anwendungsdaten\Macromedia
2006-10-28 11:01 -------- d-------- C:\Programme\Macromedia
2006-10-28 11:00 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-10-28 10:54 -------- d---s---- C:\Dokumente und Einstellungen\Sam\Anwendungsdaten\Microsoft
2006-10-28 10:54 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-28 10:36 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-10-28 10:32 -------- d-------- C:\Programme\Ahead
2006-10-28 10:28 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-28 10:28 -------- d-------- C:\Programme\QuickTime
2006-10-28 10:26 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-28 10:17 -------- d-------- C:\Programme\Microsoft Office
2006-10-28 10:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-28 10:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-10-28 10:05 -------- d-------- C:\Programme\WinRAR
2006-10-28 09:24 -------- d-------- C:\Programme\SiS VGA Utilities V3.61
2006-10-28 09:22 -------- d-------- C:\Programme\Realtek Sound Manager
2006-10-28 09:22 -------- d-------- C:\Programme\AvRack
2006-10-28 09:21 -------- d-------- C:\Programme\Home Cinema
2006-10-28 09:21 -------- d-------- C:\Programme\CyberLink
2006-10-28 09:14 -------- d-------- C:\Programme\MalwareSweeper.com
2006-10-28 09:14 -------- d-------- C:\Programme\Bazooka Scanner
2006-10-28 09:13 -------- d-------- C:\Programme\WinPcap
2006-10-28 08:56 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-10-28 08:53 -------- d-------- C:\Dokumente und Einstellungen\Sam\Anwendungsdaten\Mozilla
2006-10-28 08:50 -------- d-------- C:\Programme\DAEMON Tools
2006-10-28 08:46 -------- d-------- C:\Programme\DVD Shrink DE
2006-10-28 08:42 -------- d-------- C:\Programme\xp-AntiSpy
2006-10-28 08:38 -------- d-------- C:\Programme\Zone Labs
2006-10-27 22:01 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-10-27 22:01 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-10-27 22:00 62 --ahs---- C:\Dokumente und Einstellungen\Sam\Anwendungsdaten\desktop.ini
2006-10-27 21:18 -------- d--h----- C:\Programme\Uninstall Information
2006-10-27 21:18 -------- d-------- C:\Dokumente und Einstellungen\Sam\Anwendungsdaten\Identities
2006-10-27 21:13 -------- d-------- C:\Programme\xerox
2006-10-27 21:13 -------- d-------- C:\Programme\microsoft frontpage
2006-10-27 21:12 -------- d-------- C:\Programme\Windows Media Player
2006-10-27 21:11 -------- d--h----- C:\Programme\WindowsUpdate
2006-10-27 21:11 -------- d-------- C:\Programme\Internet Explorer
2006-10-27 21:10 -------- d-------- C:\Programme\Outlook Express
2006-10-27 21:10 -------- d-------- C:\Programme\Online-Dienste
2006-10-27 21:10 -------- d-------- C:\Programme\NetMeeting
2006-10-27 21:10 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-10-27 21:09 -------- d-------- C:\Programme\Movie Maker
2006-10-27 21:09 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-27 21:09 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-10-27 21:09 -------- d-------- C:\Programme\ComPlus Applications
2006-10-27 21:08 -------- d-------- C:\Programme\Windows NT
2006-10-27 21:08 -------- d-------- C:\Programme\Online Services
2006-10-27 21:08 -------- d-------- C:\Programme\MSN Gaming Zone
2006-10-27 21:08 -------- d-------- C:\Programme\Messenger
2006-10-27 21:07 -------- d-------- C:\Programme\MSN

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Malware Sweeper"="C:\\Programme\\MalwareSweeper.com\\MalwareSweeper\\MalSwep.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SoundMan"="SOUNDMAN.EXE"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,de,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,8c,04,00,00,e2,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,8c,04,00,00,e2,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-28 19:34:57.34
C:\ComboFix.txt ... 06-10-28 19:34

Vielen Dank nochmals.

Nachtrag:

Ich habe vielleicht einen Fehler gemacht.
Ich habe combofix laufen gehabt, nachdem ich Surveil bereits mal wieder mit Malware gelöscht habe. Könnte das ein Problem sein und die oben gezeigte log file beeinträchtigen ?

Dieser Beitrag wurde am 28.10.2006 um 20:13 Uhr von noo444 editiert.

28.10.2006, 20:13

virenfinder

Member

Beiträge: 3716

#4 hallo, womit hast du den gefunden? in dem beitrag damals handelte es sich ja auch um einen fehlalarm... außerdem müsstest du den selbst instaliert haben...

28.10.2006, 20:19

noo444

...neu hier

Themenstarter

Beiträge: 5

#5 Ich habe

Surveil HKEY_CLASSES_ROOT\.zlg
bzw.
Surveil HKEY_CLASSES_ROOT\.zlg=Original Extension

mit Malware Sweeper gefunden.
Damit lösche ich es auch immer, aber wie gesagt beim Neustart wieder da.

Ich habe oben nachgetragen und fragte , ob der Alarm sich auf WinPcap beziehen könnte. Das brauche ich für Snort unter Windows.

Tja , ich habe gelesen , dass ich das Ding selber installiert haben müsste.
Wenn dann weiß ich es nicht. Eine andere Möglichkeit ist, dass Nachbarn die über meinen WLAN-Router ins Netz gehen , dass Surveil irgendwie installiert haben.
Könnte das auch möglich sein ?
Habe nicht viel Ahnung von Netzwerken, sondern einfach nur den Router mit WPA verschlüsselt. Meine Nachbanr kennen natrülich das Passwort.
Sonst habe ich nichts gesichert, da ich noch zu wenig Ahnung habe - Noch ;-)

Weiß jemand oder evtl. du nochmal Virenfinder Rat ???

herzlichen Dank nochmal.

---------

Nachtrag 20:34 Uhr

An WinPcap konnte es nicht liegen, habe es deinstalliert und alles mit dem Namen gelöscht.

Ich finde dieses Mist Surveil nirgends auf meinem PC.
Könnte es sein, dass es in meiner neuen Firmware dd-wrt für einen Linksys-Router WRT54G-D2 drinsteckt. Glaube ich aber eher nicht. WLAN ist auch aus. Also woran könnte es liegen. AntiVir findet auch nix.
Sorry, aber bin echt ein wenig unerfahren, und weiß echt nicht mehr weiter.
Vielleicht gehört das Teil ja auch zum Betriebssystem , was ich allerdings bezweifle.

Dieser Beitrag wurde am 28.10.2006 um 20:35 Uhr von noo444 editiert.

28.10.2006, 20:33

virenfinder

Member

Beiträge: 3716

#6 hallo, lösche folgende registrieinträge:
lege vorher ne sicherungskopie der registri an:
geh auf start ausführen geb regedit ein suche nach folgenden schlüsseln und lösche:
HKEY_LOCAL_MACHINE\SOFTWARE\SurveilleTech\e-Surveiller
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Uninstall\e-Surveiller
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\e-Surveiller.Logfile
HKEY_CLASSES_ROOT\Software\SurveilleTech\e-Surveiller
Navigiere zu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run
auf der rechten seite löschen:
"e-Surveiller Station"="%ProgramFiles%\e-Surveiller\estation.exe"
dann zu
HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\ RunOnce
navigiren und auf der rechten seite
"e-Surveiller Station"="%ProgramFiles%\e-Surveiller\estation.exe"
löschen.
dann neu starten und nochmal scannen.

28.10.2006, 21:44

noo444

...neu hier

Themenstarter

Beiträge: 5

#7 Hallo nochmal.

Hier gibt es nichts:

HKEY_LOCAL_MACHINE\SOFTWARE\SurveilleTech\e-Surveiller
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Uninstall\e-Surveiller
HKEY_CLASSES_ROOT\e-Surveiller.Logfile
HKEY_CLASSES_ROOT\Software\SurveilleTech\e-Surveiller
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run
HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\ RunOnce

Hier 2 Treffer:

HKEY_CLASSES_ROOT\.zlg

hier habe ich 2 gefunden und gelöscht.
(Standard) ; REG_SZ ; ZAMailSafe
Original Extension ; REG_SZ ; LNK

Jetzt Malware Sweeper findet nur noch 1 Eintrag.
Bei erneuter Prüfung mit Malware Sweeper findet Malware noch einen Eintrag , ebenfalls unter:
HKEY_CLASSES_ROOT\.zlg

aber da gibt es nichts mehr, außer
(Standard) ; REG_SZ ; (Wert nicht gesetzt)
kann ich aber nicht löschen.

Wenn ich jetzt neustarte, dann habe ich wieder 3 Einträge

Malware Sweeper zeigt wieder 3 an , wobei 2 den gleichen Namen haben wie vorher:
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\.zlg=Original Extension

Wo versteckt sich also die dritte Datei ???

lg

28.10.2006, 21:50

virenfinder

Member

Beiträge: 3716

#8 ich gehe davon aus, dass diese einträge zu deiner firewall gehören. war ja in dem anderen tread auch so...
mache mal onlinescans mit
www.ewido.net/de/onlinescan/ - 12k -
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php
www.pandasoftware.com/activescan/ de/activescan_principal.htm - 20k -
schalte dafür dein antivirenprogramm ab.
wenn du mit dem scan fertig bist und das ergebniss postest, wieder einschalten.

28.10.2006, 22:47

noo444

...neu hier

Themenstarter

Beiträge: 5

#9 Vielen Dank nochmals für alles.

Nachdem ich sämtliche Scan-Programme durch habe,
habe ich ZoneAlarm deinstalliert und siehe da das Programm war weg.
Gehörte also wirklich zu der Firewall.

Sorry nochmals für die Umstände.

Dieser Beitrag wurde am 29.10.2006 um 02:34 Uhr von noo444 editiert.

29.10.2006, 09:34

virenfinder

Member

Beiträge: 3716

#10 Danke für das Featback... Kein problem ;-)

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1