Norten Meldet Dialer.Trojan und der PC erstellt idd*.tmp.exe DateinThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
30.10.2006, 13:52
...neu hier
Beiträge: 5 |
||
|
||
30.10.2006, 13:56
Ehrenmitglied
Beiträge: 29434 |
#2
schnegger
« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html « poste dieses log http://virus-protect.org/artikel/tools/combofix.html « Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 14:34
...neu hier
Themenstarter Beiträge: 5 |
#3
ICh hab alles vesucht kann aber combofix.exe nicht starten
combofix startet aber schließt dann wieder sihe Anhang. Mfg Marius Anhang: combofix.gif Dieser Beitrag wurde am 30.10.2006 um 15:02 Uhr von schnegger editiert.
|
|
|
||
30.10.2006, 14:52
Ehrenmitglied
Beiträge: 29434 |
#4
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html « Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 15:12
...neu hier
Themenstarter Beiträge: 5 |
#5
Hier die Auswertung:::
Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: D08D-16EB Verzeichnis von C:\WINDOWS\system32 30.10.2006 14:06 98.776 GDIPFONTCACHEV1.DAT 30.10.2006 14:04 324.320 FNTCACHE.DAT 30.10.2006 09:10 128.539 system32.txt 30.10.2006 09:08 2.142 J_LOG_NOTEPAD.TXT 29.10.2006 10:11 8.891 jupdate-1.5.0_09-b03.log 29.10.2006 07:52 401.680 perfh009.dat 29.10.2006 07:52 62.576 perfc009.dat 29.10.2006 07:52 416.166 perfh007.dat 29.10.2006 07:52 75.236 perfc007.dat 29.10.2006 07:52 968.082 PerfStringBackup.INI 26.10.2006 15:33 272 config.ini 26.10.2006 14:02 2.142 J_LOG_regsvr32.TXT 26.10.2006 14:02 12.598 wpa.dbl 26.10.2006 13:57 2.174 J_LOG_MsiExec.TXT 26.10.2006 13:56 65.536 VDPross.dat 26.10.2006 13:35 53.760 drvjag.dll 26.10.2006 13:31 18.432 wintxr32.dll 24.10.2006 18:35 2.321.408 TUKernel.exe 12.10.2006 03:10 127.078 javaws.exe 12.10.2006 03:10 49.265 jpicpl32.cpl 12.10.2006 01:35 53.346 javaw.exe 12.10.2006 01:35 49.248 java.exe 07.10.2006 17:43 19.351 spupdsvc.inf 04.10.2006 21:03 9.639.336 MRT.exe 04.10.2006 20:48 17.145 nvapps.xml 30.09.2006 09:02 396 spdwnwxp.log 29.09.2006 16:09 43.520 CmdLineExt03.dll 24.09.2006 13:32 532.480 BLAZING ANGELS VIDEO.scr 24.09.2006 13:31 532.480 BLAZING ANGELS DIAPORAMA.scr 19.09.2006 18:42 7.006 jupdate-1.5.0_06-b05.log Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: D08D-16EB Verzeichnis von C:\DOKUME~1\LAN\Lokale Einstellungen\Temp 30.10.2006 15:08 173 jusched.log 30.10.2006 15:07 16.384 Perflib_Perfdata_fc4.dat 30.10.2006 15:05 16.384 Perflib_Perfdata_7a8.dat 30.10.2006 15:05 16.384 Perflib_Perfdata_888.dat 30.10.2006 15:04 16.384 Perflib_Perfdata_980.dat 30.10.2006 15:03 16.384 Perflib_Perfdata_9c4.dat 30.10.2006 15:03 16.384 ~DF43F8.tmp Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: D08D-16EB Verzeichnis von C:\WINDOWS 30.10.2006 15:07 2.063.879 WindowsUpdate.log 30.10.2006 15:07 67.138 KB916281.log 30.10.2006 15:04 652.414 setupapi.log 30.10.2006 15:01 159 wiadebug.log 30.10.2006 15:01 50 wiaservc.log 30.10.2006 15:00 2.048 bootstat.dat 30.10.2006 14:58 32.564 SchedLgU.Txt 30.10.2006 14:58 23.674 J_LOG_Explorer.TXT 30.10.2006 12:32 1.130 SimpleScreenshot_Uninstall.ins 30.10.2006 09:06 16.230 windows.txt 29.10.2006 16:01 46.260 KB921398.log 29.10.2006 16:01 57.401 updspapi.log 29.10.2006 16:01 198.919 KB900725.log 29.10.2006 16:01 31.806 KB908531.log 29.10.2006 09:02 1.580.538 ntbtlog.txt 26.10.2006 15:05 232 Mgr.INI 23.10.2006 14:40 364 nsw.log 18.10.2006 19:04 25.601 CSTBox.INI Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: D08D-16EB Verzeichnis von C:\WINDOWS\Temp 30.10.2006 15:05 108 teredo.txt 30.10.2006 15:01 255 WGAErrLog.txt Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: D08D-16EB Verzeichnis von C:\WINDOWS\Downloaded Program Files 17.03.2006 13:32 151.552 RSGameLoader.dll 23.02.2006 13:49 516 CTPID.inf 23.02.2006 13:48 32.768 CTPID.ocx Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: D08D-16EB Verzeichnis von C:\ 30.10.2006 15:11 0 sys.txt 30.10.2006 15:11 1.020 down.txt 30.10.2006 15:10 320 tmp.txt 30.10.2006 15:10 16.203 system.txt 30.10.2006 15:10 655 systemtemp.txt 30.10.2006 15:07 128.642 system32.txt 30.10.2006 14:59 402.653.184 pagefile.sys 30.10.2006 14:25 163.552 filelist.txt 30.10.2006 14:10 276.918 combofix.exe 30.10.2006 09:08 2.191 c.txt 30.10.2006 09:08 13.641 temp.txt 29.10.2006 15:39 398 avenger.txt 29.10.2006 15:25 172 gromozon_removal.log 28.10.2006 17:06 158.288 hpfr5550.log 26.10.2006 13:54 122 DelSysReg.log 24.10.2006 18:35 495 boot.ini 15.10.2006 11:21 47 MEM.LOG 15.10.2006 11:21 47 GESYSTEM.LOG 08.10.2006 16:22 377 mmcInst.log 05.10.2006 17:38 60 AUTOEXEC.BAT 30.09.2006 20:44 47.564 NTDETECT.COM 30.09.2006 20:44 251.184 ntldr 17.08.2006 17:57 485.621.760 ~bittestC00002 17.08.2006 17:26 485.621.760 ~bittestC00001 Vielen Dank schon mal Mfg MArius Dieser Beitrag wurde am 30.10.2006 um 15:20 Uhr von Sabina editiert.
|
|
|
||
30.10.2006, 15:18
Ehrenmitglied
Beiträge: 29434 |
#6
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** scanne und poste den scanreport (muesstest du in der Quarantaene finden) http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 15:33
...neu hier
Themenstarter Beiträge: 5 |
#7
Bericht von Avenger (wenn benötigt):
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\xxirxiqy ******************* Script file located at: \??\C:\gbthbuad.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\drvjag.dll deleted successfully. File C:\WINDOWS\system32\wintxr32.dll deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wintxr32 deleted successfully. Completed script processing. ******************* Finished! Terminate. Mfg MArius |
|
|
||
30.10.2006, 15:38
Ehrenmitglied
Beiträge: 29434 |
#8
nun arbeite den superantispyware-Scan ab und poste hier den report
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 17:45
...neu hier
Themenstarter Beiträge: 5 |
#9
Vielen Dank Sabina!!!
Der Virus ist weg.!!! Viren-Scan durchgeführt und PC läuft wider ohne probleme. Ich bekam keinen report nach dem Viren scan. konnte zwar nicht im Abgesicherten Modus booten. (PC startete immer neu.) Und daher auch nicht im abgesicherten modus die prüfung durchführen aber das ist jetzt auch egal. Mfg MArius P.S.: Bis jetzt kam noch keine meldung vom Norton. |
|
|
||
In den Prozessen öffnet sich manchmal win*.tmp.exe
(* unterschiedliche Zahlen)
Bitte hilft mir!!!
Mfg
Marius
Hier die Auswertung von HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 13:42:09, on 30.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP2 (7.00.5700.0007)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\SOUNDGRAPH\iMON\iMON.exe
C:\Programme\FarStone\VDPPro\VHD\RDTask.exe
C:\Programme\FarStone\VDPPro\VDP\vdtask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\USBStorage\USBDetector.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Glass2k\Glass2k.exe
C:\Programme\LClock\LClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCService.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\PROGRA~1\GEMEIN~1\SYMANT~1\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\TuneUp Utilities 2006\Shredder.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\Office10\POWERPNT.EXE
C:\Programme\SSS\SimpleScreenshot.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\LAN\Eigene Dateien\ICQ Lite\306644553\AnDi_274175127\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chip.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Programme\BitComet Toolbar\v2.0.0.5\BitComet_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Programme\BitComet Toolbar\v2.0.0.5\BitComet_Toolbar.dll
O3 - Toolbar: Translator - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iMON] C:\Programme\SOUNDGRAPH\iMON\iMON.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RAMDrive] "C:\Programme\FarStone\VDPPro\VHD\RDTask.exe"
O4 - HKLM\..\Run: [VirtualDrive] C:\Programme\FarStone\VDPPro\VDP\vdtask.exe /AutoRestore
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Glass2k] C:\Programme\Glass2k\Glass2k.exe
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\RunOnce: [tv_enua] RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\tv_enua.inf, RemoveCabinet
O4 - HKLM\..\RunOnce: [LHTTSGED] RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSGED.inf, RemoveCabinet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Translate - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Customize translation options - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LuComServer_3_0.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sceneo TV Broadcast Service (ODSBC) - ODSoft multimedia - C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCService.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe