krieg dialer.trojan nicht weg..

#1 Hallo. So ein Mist, ich weiß nich mehr weiter… Habe die selben Probleme wie in http://board.protecus.de/t25831.htm und http://board.protecus.de/t26029.htm beschrieben (Dialer.Trojan), aber bin durch die beschriebenen Vorgehensweise (Cleanup, Avenger, Combofix, Smitfraudfix) noch nich zum Erfolg gekommen.

Die Anweisungen für den Avenger hatte ich aus den bisherigen beiträgen übernommen, viell. muss bei mir da was anderes rein!?

VundoFix fand nichts.

Noch eine Frage vorweg. Wann genau muss die Systemwiederherstellung deaktiviert, und wann wieder aktiviert werden??

Ich poste jetzt hier erstmal folgende Dinge (in der Hoffnung mir kann irgendwer helfen):


1.) Logfile of HijackThis


Logfile of HijackThis v1.98.2
Scan saved at 19:50:07, on 30.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\cisvc.exe
d:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
D:\Programme\Winamp\Winampa.exe
D:\PROGRA~1\NORTON~2\navapw32.exe
d:\programme\MATLAB6p5\webserver\bin\win32\matlabserver.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system\winlogon.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\explorer.exe
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [hcwPVRReset] D:\PROGRA~1\WinTV\hcwP1Utl.exe -Quiet -ResetHardware -NotifyResetFailure -KeepTrying
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll




2.) Combofix log

ComboFix 06.10.19 - Running Wrom: YUCDDJBLVLMHAALPTCXLYRWTQTIPWIGYOKSTTZRCLBDXRQBGJS

((((((((((((((((((((((((((((((( Files Created from 2006-09-30 to 2006-10-30 ))))))))))))))))))))))))))))))))))


2006-10-27 17:22 15,872 --a------ C:\WINDOWS\system32\wingqy32.dll
2006-10-23 15:51 72,050 --a------ C:\WINDOWS\system32\emr3RX.exe
2006-10-20 14:58 20,992 --a------ C:\WINDOWS\jestertb.dll
2006-10-20 11:33 0 --a------ C:\WINDOWS\system32\vxddirectx32.exe
2006-10-18 12:24 761,856 --a------ C:\WINDOWS\system32\xvidcore.dll
2006-10-18 12:24 36,734 --a------ C:\WINDOWS\system32\OggDSuninst.exe
2006-10-18 12:24 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2006-10-17 23:21 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-10-17 23:16 1,260,544 -r-hs---- C:\WINDOWS\system32\wulogin.exe
2006-10-09 12:35 499,712 --a------ C:\WINDOWS\system32\MSVCP71.DLL
2006-10-09 09:35 454,815 -ra------ C:\WINDOWS\system32\drivers\CTXH51.sys
2006-10-05 14:17 816,264 --a------ C:\WINDOWS\system32\wmvdmod.dll
2006-10-05 14:17 760,968 --a------ C:\WINDOWS\system32\wmsdmod.dll
2006-10-05 14:17 410,248 --a------ C:\WINDOWS\system32\wmadmod.dll
2006-10-05 14:17 241,664 --a------ C:\WINDOWS\system32\mpg4dmod.dll
2006-10-05 14:16 981,504 --a------ C:\WINDOWS\system32\wmnetmgr.dll
2006-10-05 14:16 82,432 --a------ C:\WINDOWS\system32\drmstor.dll
2006-10-05 14:16 81,408 --a------ C:\WINDOWS\system32\logagent.exe
2006-10-05 14:16 678,912 --a------ C:\WINDOWS\system32\drmv2clt.dll
2006-10-05 14:16 670,208 --a------ C:\WINDOWS\system32\wmadmoe.dll
2006-10-05 14:16 6,656 --a------ C:\WINDOWS\system32\laprxy.dll
2006-10-05 14:16 253,952 --a------ C:\WINDOWS\system32\msnetobj.dll
2006-10-05 14:16 241,664 --a------ C:\WINDOWS\system32\qasf.dll
2006-10-05 14:16 232,960 --a------ C:\WINDOWS\system32\blackbox.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-30 19:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-30 16:55 54648 --a------ C:\Dokumente und Einstellungen\Rittmeier\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-20 15:00 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-09 12:43 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-09 12:03 -------- d-------- C:\Programme\Symantec
2006-10-09 09:57 -------- d---s---- C:\Dokumente und Einstellungen\Rittmeier\Anwendungsdaten\Microsoft
2006-10-05 14:16 -------- d-------- C:\Programme\Windows Media Player
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-05 20:01 -------- d-------- C:\Dokumente und Einstellungen\Rittmeier\Anwendungsdaten\deskPDF


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"iamapp"="D:\\Programme\\Norton Personal Firewall\\IAMAPP.EXE"
"WinampAgent"="\"D:\\Programme\\Winamp\\Winampa.exe\""
"hcwPVRReset"="D:\\PROGRA~1\\WinTV\\hcwP1Utl.exe -Quiet -ResetHardware -NotifyResetFailure -KeepTrying"
"NAV Agent"="D:\\PROGRA~1\\NORTON~2\\navapw32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"Flag"=dword:00000084

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"SchedulingAgent"="C:\\WINDOWS\\System32\\mstask.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wingqy32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-30 19:59:05.28
C:\ComboFix.txt ... 06-10-30 19:59
C:\ComboFix2.txt ... 06-10-30 19:51
C:\ComboFix3.txt ... 06-10-30 17:46




3.) Logs von datafind.bat


Verzeichnis von C:\WINDOWS\system32

29.10.2006 13:47 217.656 FNTCACHE.DAT
29.10.2006 12:36 311.604 perfh009.dat
29.10.2006 12:36 39.992 perfc009.dat
29.10.2006 12:36 316.594 perfh007.dat
29.10.2006 12:36 48.156 perfc007.dat
29.10.2006 12:36 723.744 PerfStringBackup.INI
27.10.2006 17:22 15.872 wingqy32.dll
26.10.2006 10:58 59 i
23.10.2006 15:58 72.050 emr3RX.exe
20.10.2006 11:33 0 vxddirectx32.exe
18.10.2006 12:24 36.734 OggDSuninst.exe
17.10.2006 23:21 1.260.544 wulogin.exe
11.10.2006 13:07 0 TFTP372
11.10.2006 09:07 2.184 wpa.dbl
10.10.2006 13:55 0 TFTP3224
15.09.2006 21:52 91.904 S32EVNT1.DLL
25.07.2006 17:03 466.944 capicom.dll


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\DOKUME~1\RITTME~1\LOKALE~1\Temp

30.10.2006 20:01 512 ~DF7A1C.tmp
30.10.2006 19:48 645 ~WRD0001.doc
30.10.2006 19:46 16.384 ~DF4390.tmp
30.10.2006 19:45 512 ~DFEB10.tmp
30.10.2006 19:38 512 ~DFEB06.tmp
30.10.2006 19:31 914 mso57BE.wmf
30.10.2006 19:31 502 mso495CB.wmf
30.10.2006 19:31 32.768 ~WRF0000.tmp
30.10.2006 19:31 512 ~DF9485.tmp
30.10.2006 19:27 63.324 ~WRS0002.tmp
30.10.2006 19:27 914 mso772ED.wmf
30.10.2006 19:27 914 mso1FC7C.wmf
30.10.2006 19:27 502 mso31086.wmf
30.10.2006 19:27 502 mso5A521.wmf
30.10.2006 19:27 512 ~DFE09E.tmp
30.10.2006 19:27 512 ~DFD73F.tmp

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS

30.10.2006 19:48 10.392 ModemLog_Creatix V.90 HAM Data Fax Modem #2.txt
30.10.2006 19:24 1.560 setupact.log
30.10.2006 19:21 0 0.log
30.10.2006 19:21 159 wiadebug.log
30.10.2006 19:21 50 wiaservc.log
30.10.2006 19:21 2.048 bootstat.dat
30.10.2006 19:21 401.850.368 6
30.10.2006 19:21 401.850.368 7
30.10.2006 19:21 401.850.368 4
30.10.2006 19:21 401.850.368 8
30.10.2006 19:21 401.850.368 3
30.10.2006 19:21 401.850.368 Y
30.10.2006 19:21 401.850.368 S
30.10.2006 19:20 2.722 SchedLgU.Txt
30.10.2006 18:45 1.065 winamp.ini
30.10.2006 18:03 357.356 ntbtlog.txt
30.10.2006 17:08 0 setuperr.log
30.10.2006 15:02 0 Sti_Trace.log
30.10.2006 12:00 192 WinOnCD.ini
24.10.2006 02:16 32 HCWBTDLG.INI
23.10.2006 19:33 1.482 HCWPNP.INI
21.10.2006 16:45 12.485 WOC_CDDA.ini
21.10.2006 16:43 18.878 cddabase.ini
20.10.2006 15:00 214 SIERRA.INI
20.10.2006 14:58 20.992 jestertb.dll
17.10.2006 21:31 283 matlab.ini
05.10.2006 14:17 316.640 WMSysPr9.prx
25.09.2006 14:26 618 eReg.dat
20.09.2006 18:11 2.372 wskat.ini
18.09.2006 16:26 170 smr.INI
22.04.2006 10:10 231 system.ini


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Temp

30.10.2006 20:03 0 win10.tmp
30.10.2006 20:01 0 winF.tmp
30.10.2006 19:59 0 winE.tmp


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

(alles 2005 und alter)



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\

30.10.2006 20:06 0 sys.txt
30.10.2006 20:04 562 down.txt
30.10.2006 20:03 359 tmp.txt
30.10.2006 20:03 8.003 system.txt
30.10.2006 20:02 1.031 systemtemp.txt
30.10.2006 20:01 114.258 system32.txt
30.10.2006 19:59 6.040 ComboFix.txt
30.10.2006 19:23 898 rapport.txt
30.10.2006 19:21 402.653.184 PAGEFILE.SYS
30.10.2006 18:33 210 VundoFix.txt


Falls Ihr noch weitere Infos braucht, dann bitte Bescheid geben!!



Gruß Christian

#2 Christian5

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\wulogin.exe
C:\WINDOWS\jestertb.dll
C:\WINDOWS\system32\emr3RX.exe


poste die reporte
____________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wingqy32

Files to delete:
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\wingqy32.dll
C:\WINDOWS\system32\i
C:\WINDOWS\system32\emr3RX.exe
C:\WINDOWS\system32\vxddirectx32.exe
C:\WINDOWS\system32\wulogin.exe
C:\WINDOWS\system32\TFTP372
C:\WINDOWS\system32\TFTP3224
C:\WINDOWS\Temp\win10.tmp
C:\WINDOWS\Temp\winF.tmp
C:\WINDOWS\Temp\winE.tmp
C:\WINDOWS\jestertb.dll
C:\WINDOWS\6
C:\WINDOWS\7
C:\WINDOWS\4
C:\WINDOWS\8
C:\WINDOWS\3
C:\WINDOWS\Y
C:\WINDOWS\S
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7A1C.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF4390.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB10.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB06.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso57BE.wmf
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso495CB.wmf
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRF0000.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF9485.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRS0002.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso772ED.wmf
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso1FC7C.wmf
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso31086.wmf
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso5A521.wmf
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFE09E.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFD73F.tmp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
post das log vom avenger, was nach neustart erscheint

**
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina. Danke erstmal.
Hier die Infos:

C:\WINDOWS\system32\wulogin.exe

Ist nicht mehr vorhanden. Keine ahnung wieso. Hatte mit der datei schon öfters probleme. Die wurde bei jedem start immer geladen.. (hatte immer 2 Einträge in der StartUp-Liste von meinem RegCleaner und ließ sich nicht entfernen..



C:\WINDOWS\jestertb.dll

STATUS: FINISHED
Complete scanning result of "jestertb.dll", received in VirusTotal at 10.31.2006, 11:41:21 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.34 10.31.2006 no virus found
Authentium 4.93.8 10.31.2006 no virus found
Avast 4.7.892.0 10.30.2006 no virus found
AVG 386 10.31.2006 no virus found
BitDefender 7.2 10.31.2006 no virus found
CAT-QuickHeal 8.00 10.30.2006 no virus found
ClamAV devel-20060426 10.30.2006 no virus found
DrWeb 4.33 10.31.2006 no virus found
eTrust-InoculateIT 23.73.41 10.31.2006 no virus found
eTrust-Vet 30.3.3170 10.31.2006 no virus found
Ewido 4.0 10.31.2006 no virus found
Fortinet 2.82.0.0 10.31.2006 no virus found
F-Prot 3.16f 10.31.2006 no virus found
F-Prot4 4.2.1.29 10.31.2006 no virus found
Ikarus 0.2.65.0 10.31.2006 no virus found
Kaspersky 4.0.2.24 10.31.2006 no virus found
McAfee 4884 10.30.2006 no virus found
Microsoft 1.1609 10.31.2006 no virus found
NOD32v2 1.1844 10.31.2006 no virus found
Norman 5.80.02 10.30.2006 no virus found
Panda 9.0.0.4 10.31.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.109 10.30.2006 no virus found
UNA 1.83 10.30.2006 no virus found
VBA32 3.11.1 10.31.2006 no virus found
VirusBuster 4.3.15:9 10.31.2006 no virus found
Aditional Information
File size: 20992 bytes
MD5: 65dabb831da51500dfa31b40252803e2
SHA1: 82790a1b47069df4e71750ee13469b0ab13f0129
packers: embedded



C:\WINDOWS\system32\emr3RX.exe

STATUS: FINISHED
Complete scanning result of "emr3RX.exe", received in VirusTotal at 10.31.2006, 11:46:47 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.34 10.31.2006 no virus found
Authentium 4.93.8 10.31.2006 Possibly a new variant of W32/Thread-HLLIN-Slipper-based!Maximus
Avast 4.7.892.0 10.30.2006 no virus found
AVG 386 10.31.2006 no virus found
BitDefender 7.2 10.31.2006 no virus found
CAT-QuickHeal 8.00 10.30.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 10.30.2006 no virus found
DrWeb 4.33 10.31.2006 no virus found
eTrust-InoculateIT 23.73.41 10.31.2006 no virus found
eTrust-Vet 30.3.3170 10.31.2006 no virus found
Ewido 4.0 10.31.2006 Backdoor.Rbot
Fortinet 2.82.0.0 10.31.2006 suspicious
F-Prot 3.16f 10.31.2006 Possibly a new variant of W32/Thread-HLLIN-Slipper-based!Maximus
F-Prot4 4.2.1.29 10.31.2006 W32/Thread-HLLIN-Slipper-based!Maximus
Ikarus 0.2.65.0 10.31.2006 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 10.31.2006 no virus found
McAfee 4884 10.30.2006 New Malware.u
Microsoft 1.1609 10.31.2006 no virus found
NOD32v2 1.1844 10.31.2006 no virus found
Norman 5.80.02 10.30.2006 no virus found
Panda 9.0.0.4 10.31.2006 Suspicious file
Sophos 4.10.0 10.26.2006 Mal/Packer
TheHacker 6.0.1.109 10.30.2006 no virus found
UNA 1.83 10.30.2006 Backdoor.Rbot.7D49
VBA32 3.11.1 10.31.2006 suspected of Malware.Agent.23
VirusBuster 4.3.15:9 10.31.2006 no virus found
Aditional Information
File size: 72050 bytes
MD5: 5e431a51457df216a8e41d6ef074b77b
SHA1: f6ff493750b711190ec660b0a393f6c31f5e1454
packers: NSPACK
packers: Packed


Und hier das Log vom Avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\biweqcwa

*******************

Script file located at: \??\C:\WINDOWS\System32\cbaxpkcv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\oreans32.sys deleted successfully.
File C:\WINDOWS\system32\wingqy32.dll deleted successfully.
File C:\WINDOWS\system32\i deleted successfully.
File C:\WINDOWS\system32\emr3RX.exe deleted successfully.
File C:\WINDOWS\system32\vxddirectx32.exe deleted successfully.
File C:\WINDOWS\system32\wulogin.exe deleted successfully.
File C:\WINDOWS\system32\TFTP372 deleted successfully.
File C:\WINDOWS\system32\TFTP3224 deleted successfully.
File C:\WINDOWS\Temp\win10.tmp deleted successfully.
File C:\WINDOWS\Temp\winF.tmp deleted successfully.
File C:\WINDOWS\Temp\winE.tmp deleted successfully.
File C:\WINDOWS\jestertb.dll deleted successfully.
File C:\WINDOWS\6 deleted successfully.
File C:\WINDOWS\7 deleted successfully.
File C:\WINDOWS\4 deleted successfully.
File C:\WINDOWS\8 deleted successfully.
File C:\WINDOWS\3 deleted successfully.
File C:\WINDOWS\Y deleted successfully.
File C:\WINDOWS\S deleted successfully.


File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7A1C.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7A1C.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7A1C.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF4390.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF4390.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF4390.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB10.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB10.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB10.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB06.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB06.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFEB06.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso57BE.wmf not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso57BE.wmf failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso57BE.wmf
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso495CB.wmf not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso495CB.wmf failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso495CB.wmf
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRF0000.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRF0000.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRF0000.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF9485.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF9485.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF9485.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRS0002.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRS0002.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~WRS0002.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso772ED.wmf not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso772ED.wmf failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso772ED.wmf
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso1FC7C.wmf not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso1FC7C.wmf failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso1FC7C.wmf
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso31086.wmf not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso31086.wmf failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso31086.wmf
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso5A521.wmf not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso5A521.wmf failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\mso5A521.wmf
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFE09E.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFE09E.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFE09E.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFD73F.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFD73F.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFD73F.tmp
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wingqy32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.





Und hier noch die 6 restlichen logs:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\system32

29.10.2006 13:47 217.656 FNTCACHE.DAT
29.10.2006 12:36 311.604 perfh009.dat
29.10.2006 12:36 39.992 perfc009.dat
29.10.2006 12:36 316.594 perfh007.dat
29.10.2006 12:36 48.156 perfc007.dat
29.10.2006 12:36 723.744 PerfStringBackup.INI
18.10.2006 12:24 36.734 OggDSuninst.exe
11.10.2006 09:07 2.184 wpa.dbl
15.09.2006 21:52 91.904 S32EVNT1.DLL
25.07.2006 17:03 466.944 capicom.dll

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\DOKUME~1\RITTME~1\LOKALE~1\Temp

31.10.2006 11:52 512 ~DF8F7B.tmp
31.10.2006 11:52 512 ~DF7B89.tmp
31.10.2006 11:26 2.318 ~AXE34A.tmp.gif
31.10.2006 11:26 87 olecobn.tmp
31.10.2006 11:26 1.352 olecocf.tmp
31.10.2006 11:26 162.580 olecopo.tmp
30.10.2006 20:11 0 trash.htm
7 Datei(en) 167.361 Bytes
0 Verzeichnis(se), 2.844.454.912 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS

31.10.2006 11:51 0 0.log
31.10.2006 11:50 159 wiadebug.log
31.10.2006 11:50 50 wiaservc.log
31.10.2006 11:50 2.048 bootstat.dat
31.10.2006 11:50 343.302.144 4
31.10.2006 11:50 401.850.368 8
31.10.2006 11:50 401.850.368 3
31.10.2006 11:50 401.850.368 Y
31.10.2006 11:50 401.850.368 S
31.10.2006 11:49 3.154 SchedLgU.Txt
31.10.2006 11:49 1.065 winamp.ini
31.10.2006 11:48 11.942 ModemLog_Creatix V.90 HAM Data Fax Modem #2.txt
30.10.2006 19:24 1.560 setupact.log
30.10.2006 18:03 357.356 ntbtlog.txt
30.10.2006 17:08 0 setuperr.log
30.10.2006 15:02 0 Sti_Trace.log
30.10.2006 12:00 192 WinOnCD.ini
24.10.2006 02:16 32 HCWBTDLG.INI
23.10.2006 19:33 1.482 HCWPNP.INI
21.10.2006 16:45 12.485 WOC_CDDA.ini
21.10.2006 16:43 18.878 cddabase.ini
20.10.2006 15:00 214 SIERRA.INI
17.10.2006 21:31 283 matlab.ini
05.10.2006 14:17 316.640 WMSysPr9.prx
25.09.2006 14:26 618 eReg.dat
20.09.2006 18:11 2.372 wskat.ini
18.09.2006 16:26 170 smr.INI

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Temp

31.10.2006 11:29 0 win8.tmp
31.10.2006 11:29 0 win7.tmp
31.10.2006 11:27 0 win6.tmp
31.10.2006 11:27 0 win5.tmp
31.10.2006 11:27 0 win4.tmp
31.10.2006 11:25 0 win3.tmp
31.10.2006 11:25 0 win2.tmp
31.10.2006 11:25 0 win1.tmp
30.10.2006 21:07 33.280 win1F.tmp.exe
30.10.2006 20:47 33.280 win1D.tmp.exe
30.10.2006 20:27 33.280 win1B.tmp.exe
30.10.2006 20:13 944 win13.tmp
30.10.2006 20:07 0 win12.tmp
30.10.2006 20:05 0 win11.tmp
14 Datei(en) 100.784 Bytes
0 Verzeichnis(se), 2.844.450.816 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

(Alles alt)

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\

31.10.2006 11:55 0 sys.txt
31.10.2006 11:54 562 down.txt
31.10.2006 11:54 882 tmp.txt
31.10.2006 11:54 7.875 system.txt
31.10.2006 11:54 584 systemtemp.txt
31.10.2006 11:53 113.927 system32.txt
31.10.2006 11:50 14.212 avenger.txt
31.10.2006 11:50 402.653.184 PAGEFILE.SYS
30.10.2006 19:59 6.040 ComboFix.txt
30.10.2006 19:23 898 rapport.txt
30.10.2006 18:33 210 VundoFix.txt

#4 war vorhanden....
File C:\WINDOWS\system32\wulogin.exe deleted successfully.

__________________________________________________________

Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF8F7B.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7B89.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~AXE34A.tmp.gif
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecobn.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecocf.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecopo.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\trash.htm
C:\WINDOWS\4
C:\WINDOWS\8
C:\WINDOWS\3
C:\WINDOWS\Y
C:\WINDOWS\S
C:\WINDOWS\Temp\win8.tmp
C:\WINDOWS\Temp\win7.tmp
C:\WINDOWS\Temp\win6.tmp
C:\WINDOWS\Temp\win5.tmp
C:\WINDOWS\Temp\win4.tmp
C:\WINDOWS\Temp\win3.tmp
C:\WINDOWS\Temp\win2.tmp
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\win1F.tmp.exe
C:\WINDOWS\Temp\win1D.tmp.exe
C:\WINDOWS\Temp\win1B.tmp.exe
C:\WINDOWS\Temp\win13.tmp
C:\WINDOWS\Temp\win12.tmp
C:\WINDOWS\Temp\win11.tmp

+

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y




««
noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ok, hier noch mal das log vom Avenger (falls du das noch brauchst):

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vprptxkj

*******************

Script file located at: \??\C:\daignctk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF8F7B.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF8F7B.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF8F7B.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7B89.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7B89.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF7B89.tmp
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~AXE34A.tmp.gif deleted successfully.
File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecobn.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecocf.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecopo.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\trash.htm deleted successfully.
File C:\WINDOWS\4 deleted successfully.
File C:\WINDOWS\8 deleted successfully.
File C:\WINDOWS\3 deleted successfully.
File C:\WINDOWS\Y deleted successfully.
File C:\WINDOWS\S deleted successfully.
File C:\WINDOWS\Temp\win8.tmp deleted successfully.
File C:\WINDOWS\Temp\win7.tmp deleted successfully.
File C:\WINDOWS\Temp\win6.tmp deleted successfully.
File C:\WINDOWS\Temp\win5.tmp deleted successfully.
File C:\WINDOWS\Temp\win4.tmp deleted successfully.
File C:\WINDOWS\Temp\win3.tmp deleted successfully.
File C:\WINDOWS\Temp\win2.tmp deleted successfully.
File C:\WINDOWS\Temp\win1.tmp deleted successfully.
File C:\WINDOWS\Temp\win1F.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win1D.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win1B.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win13.tmp deleted successfully.
File C:\WINDOWS\Temp\win12.tmp deleted successfully.
File C:\WINDOWS\Temp\win11.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Und die 6 Logs von datafindbat:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\system32

29.10.2006 13:47 217.656 FNTCACHE.DAT
29.10.2006 12:36 311.604 perfh009.dat
29.10.2006 12:36 39.992 perfc009.dat
29.10.2006 12:36 316.594 perfh007.dat
29.10.2006 12:36 48.156 perfc007.dat
29.10.2006 12:36 723.744 PerfStringBackup.INI
18.10.2006 12:24 36.734 OggDSuninst.exe
11.10.2006 09:07 2.184 wpa.dbl
15.09.2006 21:52 91.904 S32EVNT1.DLL
25.07.2006 17:03 466.944 capicom.dll


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\DOKUME~1\RITTME~1\LOKALE~1\Temp

31.10.2006 16:53 157.168 olecopo.tmp
31.10.2006 16:51 87 olecobn.tmp
31.10.2006 16:51 1.352 olecocf.tmp
31.10.2006 16:51 512 ~DF12EC.tmp
31.10.2006 16:51 512 ~DF12CA.tmp
31.10.2006 16:47 512 ~DF66B6.tmp


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS

31.10.2006 16:54 1.620 setupact.log
31.10.2006 16:53 10.122 ModemLog_Creatix V.90 HAM Data Fax Modem #2.txt
31.10.2006 16:46 0 0.log
31.10.2006 16:46 159 wiadebug.log
31.10.2006 16:46 50 wiaservc.log
31.10.2006 16:46 2.048 bootstat.dat
31.10.2006 16:45 401.850.368 6
31.10.2006 16:45 401.850.368 7
31.10.2006 16:45 342.179.840 4
31.10.2006 16:45 401.850.368 8
31.10.2006 16:45 401.850.368 3
31.10.2006 16:45 401.850.368 Y
31.10.2006 16:45 401.850.368 S
31.10.2006 16:45 4.502 SchedLgU.Txt
31.10.2006 11:49 1.065 winamp.ini
30.10.2006 18:03 357.356 ntbtlog.txt
30.10.2006 17:08 0 setuperr.log
30.10.2006 15:02 0 Sti_Trace.log
30.10.2006 12:00 192 WinOnCD.ini
24.10.2006 02:16 32 HCWBTDLG.INI
23.10.2006 19:33 1.482 HCWPNP.INI
21.10.2006 16:45 12.485 WOC_CDDA.ini
21.10.2006 16:43 18.878 cddabase.ini
20.10.2006 15:00 214 SIERRA.INI
17.10.2006 21:31 283 matlab.ini
05.10.2006 14:17 316.640 WMSysPr9.prx
25.09.2006 14:26 618 eReg.dat
20.09.2006 18:11 2.372 wskat.ini
18.09.2006 16:26 170 smr.INI


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Temp

(ist nun leer)


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

(wie gehabt, alles alt)


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\

31.10.2006 16:59 0 sys.txt
31.10.2006 16:59 562 down.txt
31.10.2006 16:58 110 tmp.txt
31.10.2006 16:58 7.953 system.txt
31.10.2006 16:57 533 systemtemp.txt
31.10.2006 16:57 113.927 system32.txt
31.10.2006 16:45 402.653.184 PAGEFILE.SYS

#6 avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecopo.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecobn.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\olecocf.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF12EC.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF12CA.tmp
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF66B6.tmp
C:\WINDOWS\6
C:\WINDOWS\7
C:\WINDOWS\4
C:\WINDOWS\8
C:\WINDOWS\3
C:\WINDOWS\Y
C:\WINDOWS\S

scanne im abgesicherten modus und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ok, DrWeb ist durchgelaufen, hat auch was gefunden:
Process.exe C:\Dokumente und Einstellungen\Rittmeier\Desktop\SmitfraudFix\SmitfraudFix Tool.Prockill

restart.exe C:\Dokumente und Einstellungen\Rittmeier\Desktop\SmitfraudFix\SmitfraudFix Tool.ShutDown.11
NDNuninstall4_88.exe C:\WINDOWS Adware.NewDotNet

od-stnd318.exe C:\WINDOWS Dialer.Tinage Gelöscht.
winlogon.exe C:\WINDOWS\system BackDoor.IRC.Sdbot Gelöscht.

wwdll.exe C:\WINDOWS\system32 Trojan.DownLoader.2560 Gelöscht.


Hier das Log-File:


=============================================================================
Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.10060)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-10-31, 18:00:59 [RITTMEIER1][Rittmeier]
Kommandozeile: "C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows XP Professional x86 (Build 2600)
=============================================================================
Suchmodul Version: 4.33 (4.33.5.10110)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 232 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43359.cdb - 1205 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43358.cdb - 1139 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43357.cdb - 1302 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43356.cdb - 1332 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43355.cdb - 2456 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43354.cdb - 1283 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43353.cdb - 795 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43352.cdb - 2016 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43351.cdb - 941 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43350.cdb - 1020 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43349.cdb - 1008 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43348.cdb - 1096 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43347.cdb - 707 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43346.cdb - 1429 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43345.cdb - 1358 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43344.cdb - 694 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43343.cdb - 1186 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43342.cdb - 744 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43341.cdb - 841 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 224 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43305.cdb - 752 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43304.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 772 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 151044
Lizenzschlüssel: C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

[Prüfpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 4
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 1 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

Prüfung vom Benutzer abgebrochen! - keine Viren gefunden
=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 4
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 1 Kb/s
Dauer:: 00:00:00
=============================================================================

=============================================================================
Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.10060)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-10-31, 18:01:58 [RITTMEIER1][Rittmeier]
Kommandozeile: "C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows XP Professional x86 (Build 2600)
=============================================================================
Suchmodul Version: 4.33 (4.33.5.10110)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 232 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43359.cdb - 1205 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43358.cdb - 1139 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43357.cdb - 1302 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43356.cdb - 1332 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43355.cdb - 2456 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43354.cdb - 1283 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43353.cdb - 795 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43352.cdb - 2016 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43351.cdb - 941 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43350.cdb - 1020 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43349.cdb - 1008 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43348.cdb - 1096 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43347.cdb - 707 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43346.cdb - 1429 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43345.cdb - 1358 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43344.cdb - 694 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43343.cdb - 1186 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43342.cdb - 744 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43341.cdb - 841 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 224 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43305.cdb - 752 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43304.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 772 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 151044
Lizenzschlüssel: C:\DOKUME~1\RITTME~1\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

[Prüfpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\dokumente und einstellungen\rittmeier\desktop\drweb-cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\rittmeier\lokale einstellungen\temp\rarsfx0\_start.exe
[Prüfpfad] c:\dokumente und einstellungen\rittmeier\lokale einstellungen\temp\rarsfx0\cureit.exe
[Prüfpfad] c:\programme\adobe\acrobat 6.0\acrobat elements\contextmenu.dll
[Prüfpfad] c:\programme\fantom cd\fcdshlex.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\office11\msoxmlmf.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web components\10\owc10.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web folders\pkmcdo.dll
[Prüfpfad] c:\programme\gemeinsame dateien\symantec shared\script blocking\sbserv.exe
[Prüfpfad] c:\programme\gemeinsame dateien\symantec shared\security center\symwsc.exe
[Prüfpfad] c:\programme\gemeinsame dateien\symantec shared\sndsrvc.exe
[Prüfpfad] c:\programme\gemeinsame dateien\symantec shared\virusdefs\20061025.039\naveng.sys
[Prüfpfad] c:\programme\gemeinsame dateien\symantec shared\virusdefs\20061025.039\navex15.sys
[Prüfpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
[Prüfpfad] c:\programme\microsoft office\visio11\visshe.dll
[Prüfpfad] c:\programme\outlook express\setup50.exe
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 22
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 2339 Kb/s
Dauer:: 00:00:08
-----------------------------------------------------------------------------

Prüfung vom Benutzer abgebrochen! - keine Viren gefunden
[Prüfpfad] C:\
C:\Dokumente und Einstellungen\Rittmeier\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Rittmeier\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Rittmeier\Desktop\SmitfraudFix\SmitfraudFix\Process.exe ist ein Hacktool Tool.Prockill
C:\Dokumente und Einstellungen\Rittmeier\Desktop\SmitfraudFix\SmitfraudFix\restart.exe ist ein Hacktool Tool.ShutDown.11
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DF11BB.tmp - Lesefehler
C:\Dokumente und Einstellungen\Rittmeier\Lokale Einstellungen\Temp\~DFF4CF.tmp - Lesefehler
C:\WINDOWS\3 - Lesefehler
C:\WINDOWS\4 - Lesefehler
C:\WINDOWS\6 - Lesefehler
C:\WINDOWS\7 - Lesefehler
C:\WINDOWS\8 - Lesefehler
C:\WINDOWS\NDNuninstall4_88.exe ist ein Adware-Programm Adware.NewDotNet
>C:\WINDOWS\od-stnd318.exe infiziert mit Dialer.Tinage - gelöscht
C:\WINDOWS\S - Lesefehler
C:\WINDOWS\Y - Lesefehler
C:\WINDOWS\system\winlogon.exe infiziert mit BackDoor.IRC.Sdbot - gelöscht
C:\WINDOWS\system32\wwdll.exe infiziert mit Trojan.DownLoader.2560 - gelöscht
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\software - Lesefehler
C:\WINDOWS\system32\config\software.LOG - Lesefehler
C:\WINDOWS\system32\config\system - Lesefehler
C:\WINDOWS\system32\config\system.LOG - Lesefehler

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 69070
Infizierte Objekte gefunden: 3
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 2
Desinfizierte Objekte: 0
Gelöschte Objekte: 3
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 507 Kb/s
Dauer:: 01:53:26
-----------------------------------------------------------------------------

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 69092
Infizierte Objekte gefunden: 3
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 2
Desinfizierte Objekte: 0
Gelöschte Objekte: 3
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 509 Kb/s
Dauer:: 01:53:34
=============================================================================

#8 Avenger

Zitat

Files to delete:
C:\WINDOWS\3
C:\WINDOWS\4
C:\WINDOWS\6
C:\WINDOWS\7
C:\WINDOWS\8
C:\WINDOWS\NDNuninstall4_88.exe

dann poste noch mal die 6 logs von datfindbat - bis August 2006

**
dann solltest du unbedingt die Windowsupdates machen, ich verstehe nicht, wie man sich ohne die Updates ins Internet trauen kann
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi Sabina.

Stimmt, Windowsupdates hab ich ne ewigkeit nich gemacht. (ups!!) hängt allerdings auch damit zusammen, dass mein rechner ewig nich am netz war. naja, dann werd ich das mal tun..

hier nochmal die 6 logs:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\system32

29.10.2006 13:47 217.656 FNTCACHE.DAT
29.10.2006 12:36 311.604 perfh009.dat
29.10.2006 12:36 39.992 perfc009.dat
29.10.2006 12:36 316.594 perfh007.dat
29.10.2006 12:36 48.156 perfc007.dat
29.10.2006 12:36 723.744 PerfStringBackup.INI
18.10.2006 12:24 36.734 OggDSuninst.exe
11.10.2006 09:07 2.184 wpa.dbl
15.09.2006 21:52 91.904 S32EVNT1.DLL

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\DOKUME~1\RITTME~1\LOKALE~1\Temp

01.11.2006 09:56 157.168 olecopo.tmp
01.11.2006 09:50 87 olecobn.tmp
01.11.2006 09:50 1.352 olecocf.tmp

(das kommt immer von meinem Einwahlprogramm oleco)


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS

01.11.2006 09:56 7.426 ModemLog_Creatix V.90 HAM Data Fax Modem #2.txt
01.11.2006 09:55 0 0.log
01.11.2006 09:55 159 wiadebug.log
01.11.2006 09:55 50 wiaservc.log
01.11.2006 09:55 2.048 bootstat.dat
01.11.2006 09:55 330.715.136 6
01.11.2006 09:55 401.850.368 7
01.11.2006 09:55 401.850.368 4
01.11.2006 09:55 401.850.368 8
01.11.2006 09:55 401.850.368 3
01.11.2006 09:55 401.850.368 Y
01.11.2006 09:55 401.850.368 S
01.11.2006 09:54 6.632 SchedLgU.Txt
31.10.2006 20:01 485.008 ntbtlog.txt
31.10.2006 16:54 1.620 setupact.log
31.10.2006 11:49 1.065 winamp.ini
30.10.2006 17:08 0 setuperr.log
30.10.2006 15:02 0 Sti_Trace.log
30.10.2006 12:00 192 WinOnCD.ini
24.10.2006 02:16 32 HCWBTDLG.INI
23.10.2006 19:33 1.482 HCWPNP.INI
21.10.2006 16:45 12.485 WOC_CDDA.ini
21.10.2006 16:43 18.878 cddabase.ini
20.10.2006 15:00 214 SIERRA.INI
17.10.2006 21:31 283 matlab.ini
05.10.2006 14:17 316.640 WMSysPr9.prx
25.09.2006 14:26 618 eReg.dat
20.09.2006 18:11 2.372 wskat.ini
18.09.2006 16:26 170 smr.INI

(wieso tauchen dieso ordner 6,7,4 usw. immer wieder auf?)

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Temp

(leer)


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

(alles alt)

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 1838-00FB

Verzeichnis von C:\

01.11.2006 10:04 0 sys.txt
01.11.2006 10:03 562 down.txt
01.11.2006 10:03 110 tmp.txt
01.11.2006 10:01 7.843 system.txt
01.11.2006 10:00 386 systemtemp.txt
01.11.2006 09:56 113.880 system32.txt
01.11.2006 09:55 402.653.184 PAGEFILE.SYS
01.11.2006 09:54 1.486 avenger.txt


wie siehts nun aus? schon besser, oder? ham wir noch schädlinge im system?


Gruß Christian

#10 mache einen Onlinescan mit kaspersky und poste den scanreport (lasse auch die mails mitscannen)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 gibts viell. noch ne andere möglichkeit? hab zur zeit leider kein dsl.. muss sonst beim onlinescan mit meinem 56k erstmal 8mb runterladen.

#12 scanne hier mit kaspersky (option 4 ) - das laden der virensignatueren wird lange dauern
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Ok Sabina, hier der Scanreport.. es wurde was gefunden.

#14 warum wohl immer smitfraudfix dran glauben muss ??
lassen wir es dabei ...wenn du mal ans Formatieren denkst, so zoegere nicht.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ok, dann sag ich dir erstmal. VIEEELLENN DANK!!

ich glaub auch, dass das sicherste ist, dass ding mal platt zu machen. das letzte mal ist schon ein bisschen her..

eine frage hab ich noch. was würdest du für ein antiviren programm und was für eine firewall empfehlen (obwohl ich weiß das man durch die beiden dinge auch nie ganz geschützt ist..). ich hab derzeit die norton dinger drauf (antivirus und firewall 2002), viele meinen aber die sind nicht so gut, lieber kapersky o.ä. ! welche nutzt du zum beispiel??

Grüße Christian