VirusBurst und Haxdoor - Logger.Goldun.nc

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.10.2006, 13:39
...neu hier

Beiträge: 8
#1 Habe mir auch den VirusBurst eingefangen
Ja ich weiß man soll nicht unüberlegt Videocodec von Dubiosen Anbietren herunterladen :-(

Wer kann mir helfen " vieleicht auch Sabrina :-) "

Habe gerade gelesen was man alles machen muß ...

Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:59:39, on 30.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\VideoKeyCodec\isamonitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VideoKeyCodec\isamini.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\thorsten\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VideoKeyCodec\isaddon.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\VideoKeyCodec\iesplugin.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: lanmui - C:\WINDOWS\SYSTEM32\lanmui.dll
O21 - SSODL: contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4} - C:\WINDOWS\system32\dpfwu.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

so den find text

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC

Verzeichnis von c:\WINDOWS\Prefetch

25.10.2006 12:03 22.436 SVCHOST.EXE-3530F672.pf
1 Datei(en) 22.436 Bytes

Verzeichnis von c:\WINDOWS\system32

31.12.2002 13:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

31.12.2002 13:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 51.108 Bytes
0 Verzeichnis(se), 6.830.231.552 Bytes frei
so den den combo fix text

thorsten - 06-10-30 13:10:06.68 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\thorsten\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-30 to 2006-10-30 ))))))))))))))))))))))))))))))))))


2006-10-28 12:26 106,496 --a------ C:\WINDOWS\system32\dpfwu.dll
2006-10-23 12:26 56,251 --a------ C:\WINDOWS\system32\62970.exe
2006-10-20 14:29 368,912 -ra------ C:\WINDOWS\system32\VBAR332.DLL
2006-10-20 14:29 1,039,360 -ra------ C:\WINDOWS\system32\MSJET35.DLL
2006-10-20 14:28 607,744 --------- C:\WINDOWS\system32\Decslib.dll
2006-10-20 14:26 909,312 --------- C:\WINDOWS\system32\qd3d.dll
2006-10-20 14:26 70,656 --------- C:\WINDOWS\system32\3dviewer.dll
2006-10-20 14:26 553,984 --------- C:\WINDOWS\system32\rave.dll
2006-10-20 14:26 245,760 --------- C:\WINDOWS\system32\Sccomp91.dll
2006-10-20 14:26 225,280 --------- C:\WINDOWS\system32\Scint91.dll
2006-10-20 14:26 168,448 --------- C:\WINDOWS\system32\Awrtl30.dll
2006-10-20 14:26 112,688 --------- C:\WINDOWS\system32\shw32.dll
2006-10-20 14:26 110,592 --------- C:\WINDOWS\system32\Sccres91.dll
2006-10-20 14:26 100,864 --------- C:\WINDOWS\system32\awpe.dll
2006-10-03 10:22 53,760 --a------ C:\WINDOWS\system32\sw_wheel.dll
2006-10-03 10:22 41,472 --a------ C:\WINDOWS\system32\sw_effct.dll
2006-10-03 10:22 35,200 --a------ C:\WINDOWS\system32\drivers\msgame.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-30 11:48 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-28 12:56 -------- d-------- C:\Programme\VideoKeyCodec
2006-10-28 12:36 -------- d-------- C:\Programme\VirusBurster
2006-10-28 12:27 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-22 12:45 -------- d-------- C:\Programme\ANSTOSS 4
2006-10-20 14:26 -------- d-------- C:\Programme\Corel
2006-10-20 13:48 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Macromedia
2006-10-03 10:24 -------- d-------- C:\Programme\Rockstar Games
2006-10-03 10:24 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\InstallShield Installation Information
2006-10-03 10:23 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-30 08:50 -------- d-------- C:\Programme\eMule
2006-09-29 12:20 16368 --a------ C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-29 10:37 -------- d-------- C:\Programme\Microsoft Office
2006-09-29 10:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-29 10:31 -------- d---s---- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Microsoft
2006-09-27 13:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-25 10:31 -------- d-------- C:\Programme\Symantec
2006-09-24 11:12 -------- d-------- C:\Programme\Windows Media Player
2006-09-19 14:53 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\NeroVision
2006-09-19 12:59 -------- d-------- C:\Programme\Ahead
2006-09-19 12:57 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-09-19 12:27 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\AdobeUM
2006-09-19 12:26 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Adobe
2006-09-19 12:22 869 --a------ C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\AdobeDLM.log
2006-09-19 12:22 0 --a------ C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\dm.ini
2006-09-19 12:22 -------- d-------- C:\Programme\Adobe
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-15 14:37 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Ahead
2006-09-15 13:55 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\vlc
2006-09-15 13:49 -------- d-------- C:\Programme\VideoLAN
2006-09-14 13:54 -------- d-------- C:\Programme\Messenger


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\VideoKeyCodec\\isamonitor.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"contrabandists"="{dfa61db1-388e-4c87-8d56-540fa229bcb4}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lanmui

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lanmui.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lannui.sys

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-10-30 13:12:01.44
C:\ComboFix.txt ... 06-10-30 13:12
C:\ComboFix2.txt ... 06-10-30 13:08

so den cleanupfix text

Windows CleanUp! 4.5.2

Platform: Windows 95, 98, NT 4.0, ME, 2000 or XP.

Windows CleanUp! is freeware. If you find it useful, please consider making a donation to support on-going development.

CleanUp! is a powerful and easy-to-use application that removes temporary files created while surfing the web, empties the Recycle Bin, deletes files from your temporary folders and much more. CleanUp! frees disk space and reduces the "clutter" on your computer helping it to run more efficiently. It also can be used as a way to protect your privacy on the Internet. You can even instruct CleanUp! to securely delete files making it impossible to retrieve their contents using lower-level disk tools.

For more information, refer to the CleanUp! web site:

http://cleanup.stevengould.org/

Copyright 1998-2006 Steven R. Gould, All rights reserved.

den system32 text

Windows CleanUp! 4.5.2

Platform: Windows 95, 98, NT 4.0, ME, 2000 or XP.

Windows CleanUp! is freeware. If you find it useful, please consider making a donation to support on-going development.

CleanUp! is a powerful and easy-to-use application that removes temporary files created while surfing the web, empties the Recycle Bin, deletes files from your temporary folders and much more. CleanUp! frees disk space and reduces the "clutter" on your computer helping it to run more efficiently. It also can be used as a way to protect your privacy on the Internet. You can even instruct CleanUp! to securely delete files making it impossible to retrieve their contents using lower-level disk tools.

For more information, refer to the CleanUp! web site:

http://cleanup.stevengould.org/

Copyright 1998-2006 Steven R. Gould, All rights reserved.


der system temp text

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC

Verzeichnis von C:\DOKUME~1\thorsten\LOKALE~1\Temp

der system text

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC

Verzeichnis von C:\WINDOWS

30.10.2006 11:48 0 0.log
30.10.2006 11:48 159 wiadebug.log
30.10.2006 11:48 50 wiaservc.log
30.10.2006 11:48 2.048 bootstat.dat
29.10.2006 22:19 32.644 SchedLgU.Txt
29.10.2006 22:19 21.448 WindowsUpdate.log
28.10.2006 12:33 109.410 ntbtlog.txt
23.10.2006 11:24 11.151 wmsetup.log
03.10.2006 10:32 994 DirectX.log
03.10.2006 10:22 488.608 setupapi.log
21.09.2006 15:46 39.068 wmsetup10.log
21.09.2006 15:45 316.640 WMSysPr9.prx
17.09.2006 18:19 116 NeroDigital.ini


so der temp text

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC

Verzeichnis von C:\WINDOWS\Temp

der text doun

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 10:41 5.032 swflash.inf
02.05.2002 15:50 65 desktop.ini
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 8.341.733.376 Bytes frei

und zum schluß der sys text
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC

Verzeichnis von C:\

30.10.2006 13:18 0 sys.txt
30.10.2006 13:18 345 down.txt
30.10.2006 13:17 117 tmp.txt
30.10.2006 13:17 4.485 system.txt
30.10.2006 13:17 136 systemtemp.txt
30.10.2006 13:17 93.316 system32.txt
30.10.2006 13:12 8.653 ComboFix.txt
30.10.2006 13:08 138 ComboFix2.txt
30.10.2006 13:05 670 find.txt
30.10.2006 11:48 536.449.024 hiberfil.sys
30.10.2006 11:48 804.569.088 pagefile.sys
29.09.2006 10:36 13.030 PDOXUSRS.NET
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 251.184 ntldr
31.12.2002 13:00 4.952 bootfont.bin
02.05.2002 15:52 0 MSDOS.SYS
02.05.2002 15:52 0 CONFIG.SYS
02.05.2002 15:52 0 IO.SYS
02.05.2002 15:52 0 AUTOEXEC.BAT
02.05.2002 15:44 211 boot.ini
20 Datei(en) 1.341.442.913 Bytes
0 Verzeichnis(se), 8.341.991.424 Bytes frei

so Ihr netten helfenden und Wissenden

wer kann mir dabei Helfen :-)

tausend dank im vorraus Thorsten
Dieser Beitrag wurde am 31.10.2006 um 14:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.10.2006, 13:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 auf dem rechner ist ein Haxdoor (Rootkit)

1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
poste das log

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | pmsngr.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run | VirusBurster

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lanmui
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lanmui.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lannui.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | pmsngr.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run | VirusBurster
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBurst
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7b4d79df-9ef0-429d-a0e9-d9b138c6a53b}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VideoKeyCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoKeyCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBurst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBurst
HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmui
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmui
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmui
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmui

Files to delete:
C:\WINDOWS\system32\dpfwu.dll
C:\WINDOWS\system32\62970.exe
C:\WINDOWS\system32\lanmui.dll
C:\WINDOWS\system32\lannui.sys
C:\WINDOWS\system32\stt82.ini
c:\WINDOWS\system32\racpldlg.dll
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
c:\WINDOWS\system32\klgcptini.dat

Folders to delete:
C:\Programme\VideoKeyCodec
C:\Programme\VirusBurster
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste hier das log vom avenger nach neustart

««
mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen

**
scanne und berichte, ob der Rootkit gefunden + entfernt wurde
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.10.2006 um 14:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.10.2006, 14:31
...neu hier

Themenstarter

Beiträge: 8
#3 schritt 1

log von F-secure Blacklight

10/30/06 14:21:35 [Info]: BlackLight Engine 1.0.47 initialized
10/30/06 14:21:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/30/06 14:21:35 [Note]: 7019 4
10/30/06 14:21:35 [Note]: 7005 0
10/30/06 14:21:39 [Note]: 7006 0
10/30/06 14:21:40 [Note]: 7027 1
10/30/06 14:21:40 [Note]: 7027 0
10/30/06 14:21:40 [Note]: 7026 0
10/30/06 14:21:41 [Note]: 7026 0
10/30/06 14:21:41 [Note]: 7024 3
10/30/06 14:21:41 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
10/30/06 14:21:41 [Note]: 7024 3
10/30/06 14:21:41 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE
10/30/06 14:21:41 [Note]: FSRAW library version 1.7.1020
10/30/06 14:24:38 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat
10/30/06 14:24:38 [Note]: 10002 1
10/30/06 14:24:39 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll
10/30/06 14:24:39 [Note]: 10002 1
10/30/06 14:24:40 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys
10/30/06 14:24:40 [Note]: 10002 1
10/30/06 14:24:44 [Info]: Hidden file: c:\WINDOWS\system32\stt82.ini
10/30/06 14:24:44 [Note]: 10002 1
10/30/06 14:24:47 [Info]: Hidden file: c:\WINDOWS\system32\lanmui.dll
10/30/06 14:24:47 [Note]: 10002 1
10/30/06 14:24:47 [Info]: Hidden file: c:\WINDOWS\system32\lannui.sys
10/30/06 14:24:47 [Note]: 10002 1
10/30/06 14:24:48 [Info]: Hidden file: c:\WINDOWS\system32\racpldlg.dll
10/30/06 14:24:48 [Note]: 10002 2
10/30/06 14:25:12 [Note]: 7002 0
10/30/06 14:25:12 [Note]: 7003 1
10/30/06 14:27:34 [Note]: 7007 0

ich bin jetzt mal eine Stunde gassie mit den Hunden :-)

Schritt 2 dann gleich und tausend Dank :-)

lG Thorsten
Seitenanfang Seitenende
30.10.2006, 14:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten.

doppelklick: blbeta.exe
nach dem Check klicke -- next - umbenennen
--------------------------------------

dann erst wende den avenger an - und poste das log nach neustart
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2006, 16:23
...neu hier

Themenstarter

Beiträge: 8
#5 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}


//////////////////////////////////////////

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tbgsxoeu

*******************

Script file located at: \??\C:\WINDOWS\khcwhtld.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lanmui.sys deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lannui.sys deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LANNUI deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LANNUI deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LANNUI not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LANNUI failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LANNUI
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LANNUI not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LANNUI failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LANNUI
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmui deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmui deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmui not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmui failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmui
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmui not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmui failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmui
Status: 0xc0000034



File C:\WINDOWS\system32\dpfwu.dll not found!
Deletion of file C:\WINDOWS\system32\dpfwu.dll failed!

Could not process line:
C:\WINDOWS\system32\dpfwu.dll
Status: 0xc0000034

File C:\WINDOWS\system32\62970.exe deleted successfully.
File C:\WINDOWS\system32\lanmui.dll deleted successfully.
File C:\WINDOWS\system32\lannui.sys deleted successfully.
File C:\WINDOWS\system32\stt82.ini deleted successfully.
File C:\WINDOWS\system32\qz.dll deleted successfully.
File C:\WINDOWS\system32\qz.sys deleted successfully.
Folder C:\Programme\VideoKeyCodec deleted successfully.
Folder C:\Programme\VirusBurster deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBurster
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBurster failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lanmui deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | isamonitor.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | isamonitor.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | pmsngr.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run | pmsngr.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run | VirusBurster not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run | VirusBurster failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBurst not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBurst failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7b4d79df-9ef0-429d-a0e9-d9b138c6a53b} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7b4d79df-9ef0-429d-a0e9-d9b138c6a53b} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VideoKeyCodec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VideoKeyCodec failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoKeyCodec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoKeyCodec failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBurst not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBurst failed!
Status: 0xc0000034


so die fortsetzung....
das avanger log file ...

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBurst not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBurst failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
noch mal eine frage für die übersichtlichkeit wie gehts mit dem zitat, so das man die logfiles besser sehen kann ?

lG thorsten
Dieser Beitrag wurde am 30.10.2006 um 16:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.10.2006, 16:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 scanne noch mal mit
F-secure Blacklight - und poste das log (meiner meinung nach, hast du die rootkits nicht umbenannt, denn sie wurden teilweise vom avenger geloescht)

««
mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen

**
scanne und berichte, ob der Rootkit gefunden + entfernt wurde
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2006, 17:06
...neu hier

Themenstarter

Beiträge: 8
#7 Ja pass auf ich hatte Deine Nachricht erst danach gelesen.

ich habe also nach dem ersten durchlauf, schon den avanger machen lassen.

danach habe ich das log von avanger gepostet... deswegen hat avanger es teilweise gemacht.

nun habe ich blachlight laufen lassen nichts gefunden !

Soll ich jetzt ???
mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen

lg thorsten
Seitenanfang Seitenende
30.10.2006, 17:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ja, poste dann die scanreporte davon und wende auch den rootkitscanner an
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2006, 17:31
...neu hier

Themenstarter

Beiträge: 8
#9 Hallo Sabrina,

also der Rootscanner hat nicht gefunden auf beiden Optionen.

und hier das Log:

Zitat

SmitFraudFix v2.117

Scan done at 17:22:24,57, 30.10.2006
Run from C:\Dokumente und Einstellungen\thorsten\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\thorsten


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\thorsten\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

dort steht noch etwas

liebe Grüße Thorsten
Seitenanfang Seitenende
31.10.2006, 09:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
loesche das backup vonm avenger unter C:\Avenger\backup.zip + leere den Papierkorb

2.
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.10.2006, 12:17
...neu hier

Themenstarter

Beiträge: 8
#11 Hey Sabrina,
so habe es gemacht....
Whow bin ja echt beeindruckt hier der Report...

Zitat

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 12:10:39 31.10.2006

+ Scan-Ergebnis:



HKU\S-1-5-21-448539723-1708537768-1957994488-1003\Software\Internet Security -> Adware.IntCodec : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013510.dll -> Adware.ProtectionBar : Ignoriert.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\contrabandists -> Adware.VirusBurst : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP46\A0012308.exe -> Adware.VirusBurster : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP42\A0012229.exe -> Downloader.Small.dxf : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP46\A0012316.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP46\A0012324.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0012354.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0012362.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013362.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013369.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013378.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013513.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013514.exe -> Downloader.Zlob.asl : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013405.exe -> Logger.Goldun.nc : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013503.exe -> Logger.Goldun.nc : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013505.dll -> Logger.Goldun.nc : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013507.dll -> Logger.Goldun.nc : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@122.2o7[2].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@msninvite.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@msnlivefavorites.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@adbrite[2].txt -> TrackingCookie.Adbrite : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@adtiger[2].txt -> TrackingCookie.Adtiger : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@casalemedia[2].txt -> TrackingCookie.Casalemedia : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@cz7.clickzs[2].txt -> TrackingCookie.Clickzs : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@vip2.clickzs[2].txt -> TrackingCookie.Clickzs : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@com[1].txt -> TrackingCookie.Com : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@doubleclick[2].txt -> TrackingCookie.Doubleclick : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@e-2dj6wfkoomdpkfo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@www.etracker[1].txt -> TrackingCookie.Etracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@as1.falkag[2].txt -> TrackingCookie.Falkag : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@fastclick[1].txt -> TrackingCookie.Fastclick : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@media.fastclick[2].txt -> TrackingCookie.Fastclick : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@ehg-eline.hitbox[2].txt -> TrackingCookie.Hitbox : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@ehg-idg.hitbox[1].txt -> TrackingCookie.Hitbox : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@ehg-ignitemedia.hitbox[1].txt -> TrackingCookie.Hitbox : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@hitbox[1].txt -> TrackingCookie.Hitbox : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@ivwbox[2].txt -> TrackingCookie.Ivwbox : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@komtrack[2].txt -> TrackingCookie.Komtrack : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@oewabox[1].txt -> TrackingCookie.Oewabox : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@overture[2].txt -> TrackingCookie.Overture : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@sexlist[2].txt -> TrackingCookie.Sexlist : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter10.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter11.sextracker[2].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter14.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter2.sextracker[2].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter3.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter4.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter5.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter6.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter7.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter8.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@counter9.sextracker[2].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@sextracker[2].txt -> TrackingCookie.Sextracker : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@spylog[1].txt -> TrackingCookie.Spylog : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@statcounter[1].txt -> TrackingCookie.Statcounter : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@tfag[2].txt -> TrackingCookie.Tfag : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@trafic[1].txt -> TrackingCookie.Trafic : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@weborama[1].txt -> TrackingCookie.Weborama : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@count.xhit[1].txt -> TrackingCookie.Xhit : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@xxxcounter[1].txt -> TrackingCookie.Xxxcounter : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@yadro[1].txt -> TrackingCookie.Yadro : Ignoriert.
C:\Dokumente und Einstellungen\thorsten\Cookies\thorsten@zedo[1].txt -> TrackingCookie.Zedo : Ignoriert.
C:\System Volume Information\_restore{3C545849-17C4-43FE-BCDE-1844B969A632}\RP47\A0013482.dll -> Trojan.Fakealert : Ignoriert.
C:\WINDOWS\system32\dpfwu.dlk -> Trojan.Fakealert : Ignoriert.


::Berichtende

Ich hoffe es war kein Fehler alle gefundenen gleich mit avg zu löschen :-)

sehr liebe Grüße Thorsten
Seitenanfang Seitenende
31.10.2006, 12:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Avenger

Zitat

Registry values to delete:
HKU\S-1-5-21-448539723-1708537768-1957994488-1003\Software|Internet Security
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|contrabandists

registry keys to delete:
HKU\S-1-5-21-448539723-1708537768-1957994488-1003\Software\Internet Security
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\contrabandists

Files to delete:
C:\WINDOWS\system32\dpfwu.dlk
C:\WINDOWS\system32\dpfwu.dll
poste den report

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.10.2006, 13:29
...neu hier

Themenstarter

Beiträge: 8
#13 Hay Sabrina,
So habe Avanger mit dem zitat durchlaufen lassen
bei files to delite kam : nicht gefunden " hat wohl avg mit gelöscht"

hier das neue Log

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jjsmsxsw

*******************

Script file located at: \??\C:\WINDOWS\system32\urrnocig.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\dpfwu.dlk not found!
Deletion of file C:\WINDOWS\system32\dpfwu.dlk failed!

Could not process line:
C:\WINDOWS\system32\dpfwu.dlk
Status: 0xc0000034



File C:\WINDOWS\system32\dpfwu.dll not found!
Deletion of file C:\WINDOWS\system32\dpfwu.dll failed!

Could not process line:
C:\WINDOWS\system32\dpfwu.dll
Status: 0xc0000034



Could not delete registry value HKU\S-1-5-21-448539723-1708537768-1957994488-1003\Software|Internet Security
Deletion of registry value HKU\S-1-5-21-448539723-1708537768-1957994488-1003\Software|Internet Security failed!
Status: 0xc0000034



Could not delete registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|contrabandists
Deletion of registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|contrabandists failed!
Status: 0xc0000034



Registry key HKU\S-1-5-21-448539723-1708537768-1957994488-1003\Software\Internet Security not found!
Deletion of registry key HKU\S-1-5-21-448539723-1708537768-1957994488-1003\Software\Internet Security failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\contrabandists not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\contrabandists failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
tausend Dank für Deine Hilfe :-)
Mfg Thorsten
Seitenanfang Seitenende
31.10.2006, 13:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 scanne noch mal mit AVG Anti-Spyware
aber nicht Ignoriert - sondern alles loeschen lassen!
dann aktiviere wieder die Systemwiederherstellung.
und alles Gute fuer dich + PC ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.10.2006, 14:23
...neu hier

Themenstarter

Beiträge: 8
#15 Hey Sabrina, dickes Bussy :-)

vielen Dank für Deine Hilfe, ich werde das Forum mit den Besten Empfehlungen weiter vermitteln...

lieb kuck, und nette Grüße aus ReinlanPfalz

Gruß Thorsten

PS: Ich bin son Hausmann Typ, und backe Dir einen Virtuellen Kuchen ;-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: