Home » Viren, Trojaner & Malware Forum » Trojan.Dialer (in C:\WINDOWS\Temp hab ich auch noch diese win***.temp.exe) » Themenansicht
Trojan.Dialer (in C:\WINDOWS\Temp hab ich auch noch diese win***.temp.exe) |
||
|---|---|---|
| #0
| ||
|
03.11.2006, 17:49
Member
Beiträge: 28 |
||
 
|
|
|
|
03.11.2006, 18:19
Ehrenmitglied
 Beiträge: 29434 |
#2
ich erstelle dir heute abend eine reinigung, jetzt geht es nicht, ich habe nur mal schnell reingeschaut im Forum, aber zum arbeiten reicht die zeit nicht
 poste bitte noch dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.11.2006, 20:24
Member
Themenstarter Beiträge: 28 |
#3
In rot markiert einen Trojaner der heute das erste mal aufgetaucht ist....
sonderling - 06-11-03 18:40:48,10 Service Pack 2 ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\sonderling\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe C:\WINDOWS\system32\components ((((((((((((((((((((((((((((((( Files Created from 2006-10-03 to 2006-11-03 )))))))))))))))))))))))))))))))))) 2006-11-03 17:03 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2006-11-03 17:03 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys 2006-11-03 17:02 57,384 --a------ C:\WINDOWS\system32\avsda.dll 2006-11-01 14:42 128,232 --a------ C:\WINDOWS\system32\mucltui.dll 2006-11-01 11:08 110,612 --a------ C:\WINDOWS\system32\aqyilxgk.exe 2006-11-01 11:07 60,436 --a------ C:\WINDOWS\system32\ufynjbib.dll 2006-11-01 11:07 443,565 ---hs---- C:\WINDOWS\system32\pqtss.bak1 2006-11-01 06:53 443,307 ---hs---- C:\WINDOWS\system32\pqtss.bak2 2006-10-31 09:40 1,134 ---hs---- C:\WINDOWS\system32\pqtss.ini2 2006-10-30 23:20 688,180 --------- C:\WINDOWS\system32\sstqp.dll 2006-10-30 23:16 51,200 --a------ C:\WINDOWS\system32\drvvuw.dll 2006-10-30 23:14 40,973 ---hs---- C:\WINDOWS\system32\byxusqr.dll 2006-10-30 23:14 18,432 --a------ C:\WINDOWS\system32\winexy32.dll 2006-10-30 19:31 48,824 --a------ C:\WINDOWS\system32\S32EVNT1.DLL 2006-10-30 19:31 109,744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2006-10-30 18:53 135,168 --a------ C:\WINDOWS\system32\iwinapp.exe 2006-10-30 18:20 135,168 --a------ C:\WINDOWS\system32\netmsg.exe 2006-10-30 18:15 135,168 --a------ C:\WINDOWS\system32\dxcombin.exe 2006-10-30 18:09 135,168 --a------ C:\WINDOWS\system32\wintrust32.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-03 18:58 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-11-03 17:51 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2006-11-03 17:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-11-03 11:24 -------- d-------- C:\Dokumente und Einstellungen\sonderling\Anwendungsdaten\BitTorrent 2006-11-03 11:19 -------- d-------- C:\Programme\BitTorrent 2006-11-02 17:45 -------- d-------- C:\Dokumente und Einstellungen\sonderling\Anwendungsdaten\Skype 2006-11-02 10:14 -------- d-------- C:\Programme\Symantec 2006-11-01 15:14 -------- d-------- C:\Programme\CleanUp! 2006-11-01 11:17 -------- d-------- C:\Programme\VSAdd-in 2006-11-01 11:10 -------- d-------- C:\Dokumente und Einstellungen\sonderling\Anwendungsdaten\SearchToolbarCorp 2006-10-31 20:50 -------- d-------- C:\Programme\RegCleaner 2006-10-31 20:02 -------- d-------- C:\Programme\ICQLite 2006-10-30 19:35 -------- d-------- C:\Programme\Norton Internet Security 2006-10-19 15:09 -------- d-------- C:\Dokumente und Einstellungen\sonderling\Anwendungsdaten\Real 2006-10-16 08:55 -------- d-------- C:\Programme\QuickTime 2006-10-15 11:54 -------- d-------- C:\Programme\Real Alternative 2006-10-15 11:46 -------- d-------- C:\Programme\Combined Community Codec Pack 2006-10-08 07:20 -------- d-------- C:\Programme\Mozilla Firefox 2006-10-04 21:05 -------- d-------- C:\Programme\ICQ 2006-10-03 14:33 -------- d-------- C:\Programme\Teamspeak2_RC2 2006-10-03 14:33 -------- d-------- C:\Dokumente und Einstellungen\sonderling\Anwendungsdaten\teamspeak2 2006-09-30 23:05 -------- d-------- C:\Programme\Haali 2006-09-30 14:05 -------- d-------- C:\Programme\QIP 2006-09-27 13:27 -------- d-------- C:\Dokumente und Einstellungen\sonderling\Anwendungsdaten\ICQLite 2006-09-27 12:48 2512 --a------ C:\Programme\INSTALL.LOG 2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll 2006-09-11 16:30 275112 --a------ C:\WINDOWS\system32\drivers\srtspl.sys 2006-09-11 16:30 243368 --a------ C:\WINDOWS\system32\drivers\srtsp.sys 2006-09-11 16:30 24232 --a------ C:\WINDOWS\system32\drivers\srtspx.sys 2006-09-02 20:35 613056 --a------ C:\WINDOWS\system32\SymNeti.dll 2006-09-02 20:35 239808 --a------ C:\WINDOWS\system32\SymRedir.dll 2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll 2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll 2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe 2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe" "SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe" "SiSPower"="Rundll32.exe SiSPower.dll,ModeAgent" "SiS Windows KeyHook"="C:\\WINDOWS\\system32\\keyhook.exe" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "osCheck"="\"C:\\Programme\\Norton Internet Security\\osCheck.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexy32 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Norton Internet Security - Run Full System Scan - sonderling.job Completion time: 06-11-03 19:41:28.96 C:\ComboFix.txt ... 06-11-03 19:41 |
|
|
|
|
|
|
04.11.2006, 01:02
Ehrenmitglied
Beiträge: 29434 |
#4
1.
scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste hier das log vom avenger, was nach neustart ershceint, dann loesche das backup unter c:\Avenger\backup.zip und leere den papierkorb. ** scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html _______________________________________________________ «« ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren «« Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: WinTrust32 Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Doppelklick:regsrch.vbs reinkopieren: DirectX multi version Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Zitat ist fuer mich.............. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.11.2006 um 01:09 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.11.2006, 00:37
Member
Themenstarter Beiträge: 28 |
#5
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vetporjk ******************* Script file located at: \??\C:\Program Files\brygvqlp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\pqtss.ini2 not found! Deletion of file C:\WINDOWS\system32\pqtss.ini2 failed! Could not process line: C:\WINDOWS\system32\pqtss.ini2 Status: 0xc0000034 File C:\WINDOWS\system32\pqtss.bak2 not found! Deletion of file C:\WINDOWS\system32\pqtss.bak2 failed! Could not process line: C:\WINDOWS\system32\pqtss.bak2 Status: 0xc0000034 File C:\WINDOWS\system32\winser.bin deleted successfully. File C:\WINDOWS\system32\aqyilxgk.exe deleted successfully. File C:\WINDOWS\system32\ufynjbib.dll deleted successfully. File C:\WINDOWS\system32\pqtss.bak1 not found! Deletion of file C:\WINDOWS\system32\pqtss.bak1 failed! Could not process line: C:\WINDOWS\system32\pqtss.bak1 Status: 0xc0000034 File C:\WINDOWS\system32\ole.inf deleted successfully. File C:\WINDOWS\system32\pqtss.ini not found! Deletion of file C:\WINDOWS\system32\pqtss.ini failed! Could not process line: C:\WINDOWS\system32\pqtss.ini Status: 0xc0000034 File C:\WINDOWS\system32\pqtss.tmp not found! Deletion of file C:\WINDOWS\system32\pqtss.tmp failed! Could not process line: C:\WINDOWS\system32\pqtss.tmp Status: 0xc0000034 File C:\WINDOWS\system32\sstqp.dll not found! Deletion of file C:\WINDOWS\system32\sstqp.dll failed! Could not process line: C:\WINDOWS\system32\sstqp.dll Status: 0xc0000034 File C:\WINDOWS\system32\drvvuw.dll deleted successfully. File C:\WINDOWS\system32\byxusqr.dll deleted successfully. File C:\WINDOWS\system32\winexy32.dll deleted successfully. File C:\WINDOWS\system32\iwinapp.exe deleted successfully. File C:\WINDOWS\system32\netmsg.bin deleted successfully. File C:\WINDOWS\system32\iwinapp.bin deleted successfully. File C:\WINDOWS\system32\netmsg.exe deleted successfully. File C:\WINDOWS\system32\dxcombin.exe deleted successfully. File C:\WINDOWS\system32\LuResult.txt deleted successfully. File C:\WINDOWS\system32\wintrust32.exe deleted successfully. File C:\WINDOWS\Temp\win31.tmp.exe not found! Deletion of file C:\WINDOWS\Temp\win31.tmp.exe failed! Could not process line: C:\WINDOWS\Temp\win31.tmp.exe Status: 0xc0000034 File C:\WINDOWS\Temp\win30.tmp not found! Deletion of file C:\WINDOWS\Temp\win30.tmp failed! Could not process line: C:\WINDOWS\Temp\win30.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win2C.tmp not found! Deletion of file C:\WINDOWS\Temp\win2C.tmp failed! Could not process line: C:\WINDOWS\Temp\win2C.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win2B.tmp not found! Deletion of file C:\WINDOWS\Temp\win2B.tmp failed! Could not process line: C:\WINDOWS\Temp\win2B.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win2A.tmp not found! Deletion of file C:\WINDOWS\Temp\win2A.tmp failed! Could not process line: C:\WINDOWS\Temp\win2A.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\Perflib_Perfdata_6e4.dat not found! Deletion of file C:\WINDOWS\Temp\Perflib_Perfdata_6e4.dat failed! Could not process line: C:\WINDOWS\Temp\Perflib_Perfdata_6e4.dat Status: 0xc0000034 File C:\WINDOWS\Temp\win28.tmp not found! Deletion of file C:\WINDOWS\Temp\win28.tmp failed! Could not process line: C:\WINDOWS\Temp\win28.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win29.tmp not found! Deletion of file C:\WINDOWS\Temp\win29.tmp failed! Could not process line: C:\WINDOWS\Temp\win29.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win27.tmp not found! Deletion of file C:\WINDOWS\Temp\win27.tmp failed! Could not process line: C:\WINDOWS\Temp\win27.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win26.tmp not found! Deletion of file C:\WINDOWS\Temp\win26.tmp failed! Could not process line: C:\WINDOWS\Temp\win26.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win24.tmp not found! Deletion of file C:\WINDOWS\Temp\win24.tmp failed! Could not process line: C:\WINDOWS\Temp\win24.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win25.tmp not found! Deletion of file C:\WINDOWS\Temp\win25.tmp failed! Could not process line: C:\WINDOWS\Temp\win25.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win22.tmp not found! Deletion of file C:\WINDOWS\Temp\win22.tmp failed! Could not process line: C:\WINDOWS\Temp\win22.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win23.tmp not found! Deletion of file C:\WINDOWS\Temp\win23.tmp failed! Could not process line: C:\WINDOWS\Temp\win23.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win20.tmp not found! Deletion of file C:\WINDOWS\Temp\win20.tmp failed! Could not process line: C:\WINDOWS\Temp\win20.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win21.tmp not found! Deletion of file C:\WINDOWS\Temp\win21.tmp failed! Could not process line: C:\WINDOWS\Temp\win21.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\Perflib_Perfdata_1c8.dat not found! Deletion of file C:\WINDOWS\Temp\Perflib_Perfdata_1c8.dat failed! Could not process line: C:\WINDOWS\Temp\Perflib_Perfdata_1c8.dat Status: 0xc0000034 File C:\WINDOWS\Temp\winF.tmp.exe not found! Deletion of file C:\WINDOWS\Temp\winF.tmp.exe failed! Could not process line: C:\WINDOWS\Temp\winF.tmp.exe Status: 0xc0000034 Folder C:\Programme\VSAdd-in deleted successfully. Folder C:\Dokumente und Einstellungen\sonderling\Anwendungsdaten\SearchToolbarCorp deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexy32 deleted successfully. Completed script processing. ******************* Finished! Terminate. --------------------------------------------------------------------------- SUPERAntiSpyware Scan Log Generated 11/05/2006 at 01:22 AM Application Version : 3.3.1020 Core Rules Database Version : 3120 Trace Rules Database Version: 1142 Scan type : Complete Scan Total Scan Time : 00:32:26 Memory items scanned : 508 Memory threats detected : 0 Registry items scanned : 5244 Registry threats detected : 15 File items scanned : 26008 File threats detected : 26 Adware.Tracking Cookie C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@adserver.easyad[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@mediaplex[1].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@adserv.main-network[1].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@advertising[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@c.enhance[1].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@enhance[1].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ads.forium[1].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@partners.webmasterplan[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ad.adition[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ad.ambiweb[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@hmt.connexpromotions[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@adtech[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@fastclick[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@tradedoubler[1].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@as1.falkag[1].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@serving-sys[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@komtrack[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@atdmt[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@statse.webtrendslive[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@doubleclick[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ad.zanox[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ads.heias[2].txt C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ads.heias[1].txt Unclassified.Unknown Origin HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B} HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}\InprocServer32 HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}\InprocServer32#ThreadingModel Trojan.WinAntiSpyware/WinAntiVirus 2006 HKLM\Software\WinAntiVirus Pro 2006 HKLM\Software\WinAntiVirus Pro 2006#EulUWA6PU_0001_N91M2107 Trojan.Unknown Origin HKLM\SOFTWARE\Microsoft\MSSMGR HKLM\SOFTWARE\Microsoft\MSSMGR#Data HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd HKLM\SOFTWARE\Microsoft\MSSMGR#Rid HKLM\SOFTWARE\Microsoft\MSSMGR#LID Adware.ClickSpring/Yazzle HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#DisplayName HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin#UninstallString Adware.VSToolbar HKU\S-1-5-21-117609710-606747145-682003330-1005\Software\Search Toolbar Corp Trojan.Downloader-PATDUM C:\VUNDOFIX BACKUPS\SSTQP.DLL.BAD --------------------------------------------------------------------------- Die letzten beiden Punkte (ServiceFilter.vbs und RegSrch.vbs) kann ich leider nicht ausführen. Erhalte folgende Fehlermeldung: Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator um weitere Details in Erfahrung zu bringen. Nun...ich bin im Administratorkonto drin....wo kann ich das wieder aktivieren? -------------------------------------------------------------------------- Ausserdem hatte ich vor der Ausführung von AnitySpyware noch eine Meldung das ich von Trojan Horse infiziert bin....falls du was mit der Info anfangen kannst. Dieser Beitrag wurde am 05.11.2006 um 01:42 Uhr von TheIncredibl editiert.
|
|
|
|
|
|
|
05.11.2006, 02:26
Ehrenmitglied
Beiträge: 29434 |
#6
unten auf der seite
http://virus-protect.org/silentrunner.html Zitat Problem: Windows Script Host __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.11.2006, 08:45
Member
Themenstarter Beiträge: 28 |
#7
The script did not recognize the services listed below.
This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Home Edition Version: 5.1.2600 Service Pack 2 Nov 5, 2006 08:50:37 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir PersonalEdition Classic Planer Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1804 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Guard Start Mode: Auto Start Name: LocalSystem Description: Bietet permanenten Schutz vor Viren und Malware mit der AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1824 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 3 Service Name: Automatic LiveUpdate Scheduler Display Name: Automatic LiveUpdate Scheduler Start Mode: Auto Start Name: LocalSystem Description: Manages the scheduling of Automatic LiveUpdate ... Service Type: Own Process Path: "c:\programme\symantec\liveupdate\aluschedulersvc.exe" State: Running Process ID: 1848 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #4 Service Name: ccEvtMgr Display Name: Symantec Event Manager Start Mode: Auto Start Name: LocalSystem Description: Event propagation and logging ... Service Type: Share Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccsvchst.exe" /h cccommon State: Running Process ID: 1364 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #5 Service Name: ccProxy Display Name: Symantec Network Proxy Start Mode: Auto Start Name: LocalSystem Description: Symantec Proxy ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccproxy.exe" State: Running Process ID: 1880 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #6 Service Name: ccSetMgr Display Name: Symantec Settings Manager Start Mode: Auto Start Name: LocalSystem Description: Settings storage and management ... Service Type: Share Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccsvchst.exe" /h cccommon State: Running Process ID: 1364 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 7 Service Name: CLTNetCnService Display Name: Symantec Lic NetConnect service Start Mode: Auto Start Name: LocalSystem Description: Symantec Lic NetConnect ... Service Type: Share Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccsvchst.exe" /h cccommon State: Running Process ID: 1364 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 8 Service Name: comHost Display Name: COM Host Start Mode: Manual Start Name: LocalSystem Description: COM aggregation host ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\vascanner\comhost.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 9 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 10 Service Name: ISPwdSvc Display Name: Symantec IS Password Validation Start Mode: Manual Start Name: LocalSystem Description: User account management ... Service Type: Own Process Path: "c:\programme\norton internet security\ispwdsvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 11 Service Name: IWin service Display Name: IWin service Start Mode: Disabled Start Name: LocalSystem Description: Iwin Application service. If this service is stopped, some of sharing service will not function ... Service Type: Own Process Path: c:\windows\system32\iwinapp.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 12 Service Name: LiveUpdate Display Name: LiveUpdate Start Mode: Manual Start Name: LocalSystem Description: LiveUpdate Core ... Service Type: Own Process Path: "c:\progra~1\symantec\liveup~1\lucoms~1.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 13 Service Name: Net message Service Display Name: Net message Service Start Mode: Auto Start Name: LocalSystem Description: Sharing message between network protocal. If this service is stopped, some of sharing service will ... Service Type: Own Process Path: c:\windows\system32\netmsg.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 14 Service Name: O&O Defrag Display Name: O&O Defrag Start Mode: Auto Start Name: LocalSystem Description: O&O Defragmentation ... Service Type: Own Process Path: c:\windows\system32\oodag.exe State: Running Process ID: 1952 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 15 Service Name: OOCleverCache Display Name: O&O CleverCache Pro Start Mode: Auto Start Name: LocalSystem Description: O&O CleverCache Pro ... Service Type: Own Process Path: "c:\programme\oo software\clevercache\ooccsvc.exe" State: Running Process ID: 1980 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #16 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #17 Service Name: SLService Display Name: SmartLinkService Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: slserv.exe State: Running Process ID: 272 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #18 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{a52aac30-dec5-4147-82ec-283213d4892f} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #19 Service Name: Symantec Core LC Display Name: Symantec Core LC Start Mode: Manual Start Name: LocalSystem Description: Symantec Core ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccpd-lc\symlcsvc.exe" State: Running Process ID: 376 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 20 Service Name: SymAppCore Display Name: Symantec AppCore Service Start Mode: Auto Start Name: LocalSystem Description: Symantec Application ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\appcore\appsvc32.exe" State: Running Process ID: 1660 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 21 Service Name: WmcCds Display Name: Windows Media Connect (WMC) Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Stellt freigegebene Multimediainhalte für universelle Plug & Play-Geräte zur ... Service Type: Own Process Path: c:\programme\windows media connect\mswmccds.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #22 Service Name: WmcCdsLs Display Name: Windows Media Connect-Hilfsprogramm Start Mode: Manual Start Name: LocalSystem Description: Überwacht das Netzwerk auf neue ... Service Type: Own Process Path: c:\programme\windows media connect\mswmcls.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 99 Win32 services on this machine. 22 were unrecognized. Script Execution Time: 2,703125 seconds. --------------------------------------------------------------------------- Ergebnisse der letzten beiden Schritte: No instances found |
|
|
|
|
|
|
05.11.2006, 13:13
Ehrenmitglied
Beiträge: 29434 |
#8
1,
Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: IWin service Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Doppelklick:regsrch.vbs reinkopieren: Net message Service Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ______________________________________________ 2. poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.11.2006, 14:07
Member
Themenstarter Beiträge: 28 |
#9
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "IWin service" 05.11.2006 14:13:02 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IWIN_SERVICE\0000] "Service"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IWIN_SERVICE\0000] "DeviceDesc"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IWin service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IWin service] "DisplayName"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IWin service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IWin service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IWIN_SERVICE\0000] "Service"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IWIN_SERVICE\0000] "DeviceDesc"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IWin service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IWin service] "DisplayName"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IWin service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IWIN_SERVICE\0000] "Service"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IWIN_SERVICE\0000] "DeviceDesc"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service] "DisplayName"="IWin service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service\Enum] --------------------------------------------------------------------------- REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Net message Service" 05.11.2006 14:14:54 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000] "Service"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000] "DeviceDesc"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Net message Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Net message Service] "DisplayName"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Net message Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Net message Service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000] "Service"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000] "DeviceDesc"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Net message Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Net message Service] "DisplayName"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Net message Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000] "Service"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000] "DeviceDesc"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service] "DisplayName"="Net message Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service\Enum] -------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS\system32 05.11.2006 08:48 380.684 perfh009.dat 05.11.2006 08:48 53.098 perfc009.dat 05.11.2006 08:48 391.574 perfh007.dat 05.11.2006 08:48 64.010 perfc007.dat 05.11.2006 08:48 897.990 PerfStringBackup.INI 05.11.2006 08:43 2.206 wpa.dbl 05.11.2006 08:42 176.928 OODBS.lor 05.11.2006 00:50 452 EraserAHS.log 05.11.2006 00:50 11.802 coh.cache 05.11.2006 00:50 4.620 EraserAHS.tlg 05.11.2006 00:30 9.216 VundoFixSVC.exe 02.11.2006 10:11 48.824 S32EVNT1.DLL 04.10.2006 13:03 9.639.336 MRT.exe 03.10.2006 14:33 34.064 lhacm.acm 13.09.2006 06:02 1.084.416 msxml3.dll 07.09.2006 12:54 57.384 avsda.dll 04.09.2006 07:12 1.494.016 shdocvw.dll 02.09.2006 20:35 613.056 SymNeti.dll 02.09.2006 20:35 239.808 SymRedir.dll 25.08.2006 16:46 617.472 comctl32.dll 21.08.2006 13:26 16.896 fltlib.dll 21.08.2006 10:14 23.040 fltmc.exe 16.08.2006 12:58 100.352 6to4svc.dll --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\DOKUME~1\SONDER~1\LOKALE~1\Temp 05.11.2006 12:16 4.096.000 Acr150.tmp 05.11.2006 08:48 612 jusched.log 04.11.2006 09:20 32.768 ~DFE65C.tmp --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS 05.11.2006 08:53 1.155.550 WindowsUpdate.log 05.11.2006 08:43 0 0.log 05.11.2006 08:42 2.048 bootstat.dat 05.11.2006 02:36 9.332 SchedLgU.Txt 05.11.2006 01:00 0 PL-2303 DRIVERINSTALLER.EXE 04.11.2006 21:16 11.190 ModemLog_Smart Link 56K Modem.txt 04.11.2006 19:42 116 NeroDigital.ini 03.11.2006 11:20 825.685 setupapi.log 01.11.2006 01:04 54.826 wmsetup.log 31.10.2006 17:32 175.109 setupact.log 31.10.2006 17:15 502.104 ntbtlog.txt 13.10.2006 22:11 1.409 QTFont.for 13.10.2006 22:11 54.156 QTFont.qfn 13.10.2006 02:03 106.107 ntdtcsetup.log 13.10.2006 02:03 177.848 comsetup.log 13.10.2006 02:03 78.863 iis6.log 13.10.2006 02:03 194.687 tsoc.log 13.10.2006 02:03 27.903 ocmsn.log 13.10.2006 02:03 1.393 imsins.log 13.10.2006 02:03 13.626 KB924191.log 13.10.2006 02:03 245.049 ocgen.log 13.10.2006 02:03 25.282 msgsocm.log 13.10.2006 02:03 499.967 FaxSetup.log 13.10.2006 02:03 37.988 updspapi.log 13.10.2006 02:03 1.393 imsins.BAK 13.10.2006 02:03 13.280 KB922819.log 13.10.2006 02:02 11.432 KB923414.log 13.10.2006 02:02 11.440 KB924496.log 13.10.2006 02:02 9.189 KB923191.log 11.10.2006 21:49 50 wiaservc.log 11.10.2006 21:49 216 wiadebug.log 06.10.2006 18:42 3.509 mozver.dat 05.10.2006 00:46 18.644 ModemLog_Fusion UMTS GPRS - 3G Modem.txt 05.10.2006 00:41 2 ActiveXMSSMSCache.dat 27.09.2006 09:15 10.644 KB925486.log 13.09.2006 12:54 13.093 KB920685.log 13.09.2006 12:53 15.392 KB920872.log 13.09.2006 12:53 13.294 KB919007.log 13.09.2006 12:53 9.157 KB922582.log 09.08.2006 22:00 15.520 KB920214.log 09.08.2006 22:00 15.513 KB922616.log 09.08.2006 22:00 15.925 KB921398.log 09.08.2006 21:59 19.236 KB918899.log 09.08.2006 21:59 11.900 KB920670.log 09.08.2006 21:59 12.059 KB917422.log 09.08.2006 21:58 12.331 KB920683.log 09.08.2006 19:17 11.113 KB921883.log 05.08.2006 06:26 9.043 WgaNotify.log --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS\Temp 05.11.2006 08:44 409 WGANotify.settings 05.11.2006 08:43 16.384 Perflib_Perfdata_7bc.dat 05.11.2006 08:43 255 WGAErrLog.txt 05.11.2006 01:37 16.384 Perflib_Perfdata_ec.dat 05.11.2006 00:41 16.384 Perflib_Perfdata_298.dat 05.11.2006 00:38 0 win8.tmp 05.11.2006 00:38 0 win7.tmp 05.11.2006 00:38 944 win6.tmp 05.11.2006 00:36 0 win4.tmp 05.11.2006 00:36 0 win3.tmp 05.11.2006 00:34 16.384 Perflib_Perfdata_1d8.dat 05.11.2006 00:34 0 win2.tmp 05.11.2006 00:34 0 win1.tmp 05.11.2006 00:30 0 winD0D.tmp 05.11.2006 00:30 0 winD0E.tmp 05.11.2006 00:28 0 winD0A.tmp 05.11.2006 00:28 0 winD09.tmp 05.11.2006 00:26 0 winD07.tmp 05.11.2006 00:26 0 winD06.tmp 05.11.2006 00:24 0 winD03.tmp 05.11.2006 00:24 0 winD04.tmp 05.11.2006 00:22 0 winD02.tmp 05.11.2006 00:22 0 winD01.tmp 05.11.2006 00:20 0 winD00.tmp 05.11.2006 00:20 0 winCFF.tmp 05.11.2006 00:18 0 winCFD.tmp 05.11.2006 00:18 0 winCFE.tmp 05.11.2006 00:16 0 winCFC.tmp 05.11.2006 00:16 0 winCFB.tmp 05.11.2006 00:14 0 winCF9.tmp 05.11.2006 00:14 0 winCFA.tmp 05.11.2006 00:12 0 winCF8.tmp 05.11.2006 00:12 0 winCF7.tmp 05.11.2006 00:10 0 winCF6.tmp 05.11.2006 00:10 0 winCF5.tmp 05.11.2006 00:08 0 winCF4.tmp 05.11.2006 00:08 0 winCF3.tmp 05.11.2006 00:06 0 winCF2.tmp 05.11.2006 00:06 0 winCF1.tmp 05.11.2006 00:04 0 winCF0.tmp 05.11.2006 00:04 0 winCEF.tmp 05.11.2006 00:02 0 winCEE.tmp 05.11.2006 00:02 0 winCED.tmp 05.11.2006 00:00 0 winCEC.tmp 05.11.2006 00:00 0 winCEB.tmp 04.11.2006 23:58 0 winCEA.tmp 04.11.2006 23:58 0 winCE9.tmp 04.11.2006 23:56 0 winCE8.tmp 04.11.2006 23:56 0 winCE7.tmp 04.11.2006 23:54 0 winCE4.tmp 04.11.2006 23:54 0 winCE5.tmp 04.11.2006 23:52 0 winCE3.tmp 04.11.2006 23:52 0 winCE2.tmp 04.11.2006 23:50 0 winCE1.tmp 04.11.2006 23:50 0 winCE0.tmp 04.11.2006 23:48 0 winCDF.tmp 04.11.2006 23:48 0 winCDE.tmp 04.11.2006 23:46 0 winCDD.tmp 04.11.2006 23:46 0 winCDC.tmp 04.11.2006 23:44 0 winCDB.tmp 04.11.2006 23:44 0 winCDA.tmp 04.11.2006 23:42 0 winCD9.tmp 04.11.2006 19:13 944 winCA5.tmp 04.11.2006 17:12 944 winC8B.tmp 04.11.2006 15:12 944 winC70.tmp 04.11.2006 13:18 97.664 slu12c2.tmp 04.11.2006 13:12 944 winC69.tmp 04.11.2006 11:12 944 winC51.tmp 04.11.2006 09:12 944 winC2E.tmp 674 Datei(en) 1.307.785 Bytes 0 Verzeichnis(se), 7.090.348.032 Bytes frei --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS\Downloaded Program Files 01.06.2006 02:57 1.331 oscan8.inf 01.06.2006 02:54 471.040 oscan8.ocx --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\ 05.11.2006 14:17 0 sys.txt 05.11.2006 14:17 1.082 down.txt 05.11.2006 14:17 32.628 tmp.txt 05.11.2006 14:17 10.494 system.txt 05.11.2006 14:17 436 systemtemp.txt 05.11.2006 14:17 95.893 system32.txt 05.11.2006 14:15 1.055.369 scancode.txt 05.11.2006 08:42 754.974.720 pagefile.sys 05.11.2006 00:41 12.512 avenger.txt 05.11.2006 00:31 1.042 VundoFix.txt 03.11.2006 19:41 8.387 ComboFix.txt 01.11.2006 15:43 1.135 DirDPF.txt 01.11.2006 15:43 2 DirDPFCns.txt 01.11.2006 13:21 526 199044819.txt 01.11.2006 13:20 127 _srvlog.txt 31.10.2006 20:57 100 index.ini 31.10.2006 17:30 1.331 rapport.txt 30.08.2006 17:06 13.312 dvb.GRF 02.08.2006 18:20 2.020 RecordChannel.tbl 02.08.2006 18:20 7.240 FreqChannel.tbl 02.08.2006 18:20 1.192 FavoriteChannel.tbl O23 - Service: Net message Service - Unknown owner - C:\WINDOWS\system32\netmsg.exe O23 - Service: IWin service - Unknown owner - C:\WINDOWS\System32\iwinapp.exe dxcombin.exe DXCOMBIN.EXE is Trojan/Backdoor. Related files: 1 :%DESKTOP%\WINTRUST32.EXE 2 :%WINDIR%\SYSTEM32\__DELETE_ON_REBOOT__DXCOMBIN.EXE 3 :%WINDIR%\SYSTEM32\ACTSRV.EXE 4 :%WINDIR%\SYSTEM32\DXCOMBIN.EXE 5 :%WINDIR%\SYSTEM32\DXCOMBIN2.EXE 6 :%WINDIR%\SYSTEM32\IWINAPP.EXE 7 :%WINDIR%\SYSTEM32\NETID.EXE 8 :%WINDIR%\SYSTEM32\NETIDBAD.EXE 9 :%WINDIR%\SYSTEM32\NETMSG.EXE 10:%WINDIR%\SYSTEM32\ODBC.EXE Dieser Beitrag wurde am 05.11.2006 um 18:01 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.11.2006, 15:48
Ehrenmitglied
Beiträge: 29434 |
#10
Avenger
http://virus-protect.org/artikel/tools/avenger.html Zitat registry keys to delete:«« gehe in: Verzeichnis von C:\WINDOWS\Temp und loesche alle tmp-Dateien ! 05.11.2006 00:38 0 win8.tmp 05.11.2006 00:38 0 win7.tmp 05.11.2006 00:38 944 win6.tmp usw. usw. »» scanne und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.11.2006 um 15:53 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.11.2006, 16:19
Member
Themenstarter Beiträge: 28 |
#11
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\dwx^vutl ******************* Script file located at: \??\C:\Program Files\ussbrdiv.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IWIN_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IWin service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IWIN_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IWin service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IWIN_SERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IWIN_SERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IWIN_SERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IWin service Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Net message Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Net message Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NET_MESSAGE_SERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net message Service Status: 0xc0000034 File C:\WINDOWS\Temp\winCA5.tmp not found! Deletion of file C:\WINDOWS\Temp\winCA5.tmp failed! Could not process line: C:\WINDOWS\Temp\winCA5.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\winC8B.tmp not found! Deletion of file C:\WINDOWS\Temp\winC8B.tmp failed! Could not process line: C:\WINDOWS\Temp\winC8B.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\winC70.tmp not found! Deletion of file C:\WINDOWS\Temp\winC70.tmp failed! Could not process line: C:\WINDOWS\Temp\winC70.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\slu12c2.tmp not found! Deletion of file C:\WINDOWS\Temp\slu12c2.tmp failed! Could not process line: C:\WINDOWS\Temp\slu12c2.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\winC69.tmp not found! Deletion of file C:\WINDOWS\Temp\winC69.tmp failed! Could not process line: C:\WINDOWS\Temp\winC69.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\winC51.tmp not found! Deletion of file C:\WINDOWS\Temp\winC51.tmp failed! Could not process line: C:\WINDOWS\Temp\winC51.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\winC2E.tmp not found! Deletion of file C:\WINDOWS\Temp\winC2E.tmp failed! Could not process line: C:\WINDOWS\Temp\winC2E.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\slu7c34.tmp not found! Deletion of file C:\WINDOWS\Temp\slu7c34.tmp failed! Could not process line: C:\WINDOWS\Temp\slu7c34.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win9DD.tmp not found! Deletion of file C:\WINDOWS\Temp\win9DD.tmp failed! Could not process line: C:\WINDOWS\Temp\win9DD.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win99A.tmp not found! Deletion of file C:\WINDOWS\Temp\win99A.tmp failed! Could not process line: C:\WINDOWS\Temp\win99A.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\slu524a.tmp not found! Deletion of file C:\WINDOWS\Temp\slu524a.tmp failed! Could not process line: C:\WINDOWS\Temp\slu524a.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win8.tmp not found! Deletion of file C:\WINDOWS\Temp\win8.tmp failed! Could not process line: C:\WINDOWS\Temp\win8.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win7.tmp not found! Deletion of file C:\WINDOWS\Temp\win7.tmp failed! Could not process line: C:\WINDOWS\Temp\win7.tmp Status: 0xc0000034 File C:\WINDOWS\Temp\win6.tmp not found! Deletion of file C:\WINDOWS\Temp\win6.tmp failed! Could not process line: C:\WINDOWS\Temp\win6.tmp Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. --------------------------------------------------------------------------- --------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 17:10:01 05.11.2006 + Scan-Ergebnis: HKU\S-1-5-21-117609710-606747145-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Gesäubert. HKU\S-1-5-21-117609710-606747145-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C3703265-4671-4858-92A4-CBA6A7B3BB45} -> Adware.Generic : Gesäubert. HKLM\SOFTWARE\SpywareHeal -> Adware.SpywareHeal : Gesäubert. C:\Program Files\mIRC\mirc.exe -> Backdoor.Ciadoor.13 : Gesäubert. C:\WINDOWS\Downloaded Program Files\popcaploader.dll -> Not-A-Virus.Downloader.Win32.PopCap.a : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@axa.addcontrol[1].txt -> TrackingCookie.Addcontrol : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@komtrack[1].txt -> TrackingCookie.Komtrack : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ads-205.quarterserver[1].txt -> TrackingCookie.Quarterserver : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert. C:\Dokumente und Einstellungen\sonderling\Cookies\sonderling@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert. ::Berichtende Dieser Beitrag wurde am 05.11.2006 um 17:03 Uhr von TheIncredibl editiert.
|
|
|
|
|
|
|
05.11.2006, 16:42
Ehrenmitglied
Beiträge: 29434 |
#12
poste noch mal die 6 logs von datfindbat , nachdem du die tmp unter C:\WINDOWS\Temp geloescht hast,
Zitat gehe in:dann mache auch den Virenscann mit AVG Anti-Spyware und poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.11.2006, 17:09
Member
Themenstarter Beiträge: 28 |
#13
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS\system32 05.11.2006 16:36 380.684 perfh009.dat 05.11.2006 16:36 53.098 perfc009.dat 05.11.2006 16:36 391.574 perfh007.dat 05.11.2006 16:36 64.010 perfc007.dat 05.11.2006 16:36 897.990 PerfStringBackup.INI 05.11.2006 16:31 2.206 wpa.dbl 05.11.2006 16:30 177.801 OODBS.lor 05.11.2006 00:50 452 EraserAHS.log 05.11.2006 00:50 11.802 coh.cache 05.11.2006 00:50 4.620 EraserAHS.tlg 05.11.2006 00:30 9.216 VundoFixSVC.exe 02.11.2006 10:11 48.824 S32EVNT1.DLL 04.10.2006 13:03 9.639.336 MRT.exe 03.10.2006 14:33 34.064 lhacm.acm 13.09.2006 06:02 1.084.416 msxml3.dll 07.09.2006 12:54 57.384 avsda.dll 04.09.2006 07:12 1.494.016 shdocvw.dll 02.09.2006 20:35 613.056 SymNeti.dll 02.09.2006 20:35 239.808 SymRedir.dll 25.08.2006 16:46 617.472 comctl32.dll 21.08.2006 13:26 16.896 fltlib.dll 21.08.2006 10:14 23.040 fltmc.exe 16.08.2006 12:58 100.352 6to4svc.dll --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\DOKUME~1\SONDER~1\LOKALE~1\Temp 05.11.2006 16:36 816 jusched.log 05.11.2006 15:31 416 java_install_reg.log 04.11.2006 09:20 32.768 ~DFE65C.tmp -------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS 05.11.2006 16:37 1.171.966 WindowsUpdate.log 05.11.2006 16:31 0 0.log 05.11.2006 16:30 2.048 bootstat.dat 05.11.2006 16:29 9.980 SchedLgU.Txt 05.11.2006 01:00 0 PL-2303 DRIVERINSTALLER.EXE 04.11.2006 21:16 11.190 ModemLog_Smart Link 56K Modem.txt 04.11.2006 19:42 116 NeroDigital.ini 03.11.2006 11:20 825.685 setupapi.log 01.11.2006 01:04 54.826 wmsetup.log 31.10.2006 17:32 175.109 setupact.log 31.10.2006 17:15 502.104 ntbtlog.txt 13.10.2006 22:11 1.409 QTFont.for 13.10.2006 22:11 54.156 QTFont.qfn 13.10.2006 02:03 106.107 ntdtcsetup.log 13.10.2006 02:03 177.848 comsetup.log 13.10.2006 02:03 78.863 iis6.log 13.10.2006 02:03 194.687 tsoc.log 13.10.2006 02:03 27.903 ocmsn.log 13.10.2006 02:03 1.393 imsins.log 13.10.2006 02:03 13.626 KB924191.log 13.10.2006 02:03 245.049 ocgen.log 13.10.2006 02:03 25.282 msgsocm.log 13.10.2006 02:03 499.967 FaxSetup.log 13.10.2006 02:03 37.988 updspapi.log 13.10.2006 02:03 1.393 imsins.BAK 13.10.2006 02:03 13.280 KB922819.log 13.10.2006 02:02 11.432 KB923414.log 13.10.2006 02:02 11.440 KB924496.log 13.10.2006 02:02 9.189 KB923191.log 11.10.2006 21:49 50 wiaservc.log 11.10.2006 21:49 216 wiadebug.log 06.10.2006 18:42 3.509 mozver.dat 05.10.2006 00:46 18.644 ModemLog_Fusion UMTS GPRS - 3G Modem.txt 05.10.2006 00:41 2 ActiveXMSSMSCache.dat 27.09.2006 09:15 10.644 KB925486.log 13.09.2006 12:54 13.093 KB920685.log 13.09.2006 12:53 15.392 KB920872.log 13.09.2006 12:53 13.294 KB919007.log 13.09.2006 12:53 9.157 KB922582.log 09.08.2006 22:00 15.520 KB920214.log 09.08.2006 22:00 15.513 KB922616.log 09.08.2006 22:00 15.925 KB921398.log 09.08.2006 21:59 19.236 KB918899.log 09.08.2006 21:59 11.900 KB920670.log 09.08.2006 21:59 12.059 KB917422.log 09.08.2006 21:58 12.331 KB920683.log 09.08.2006 19:17 11.113 KB921883.log 05.08.2006 06:26 9.043 WgaNotify.log --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS\Temp 05.11.2006 16:31 409 WGANotify.settings 05.11.2006 16:31 16.384 Perflib_Perfdata_280.dat 05.11.2006 16:31 255 WGAErrLog.txt 05.11.2006 16:24 16.384 Perflib_Perfdata_2a8.dat 05.11.2006 08:43 16.384 Perflib_Perfdata_7bc.dat 05.11.2006 01:37 16.384 Perflib_Perfdata_ec.dat 05.11.2006 00:41 16.384 Perflib_Perfdata_298.dat 05.11.2006 00:34 16.384 Perflib_Perfdata_1d8.dat 8 Datei(en) 98.968 Bytes 0 Verzeichnis(se), 7.057.133.568 Bytes frei --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\WINDOWS\Downloaded Program Files 01.06.2006 02:57 1.331 oscan8.inf 01.06.2006 02:54 471.040 oscan8.ocx --------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 3CE3-B039 Verzeichnis von C:\ 05.11.2006 17:14 0 sys.txt 05.11.2006 17:14 1.028 down.txt 05.11.2006 17:14 699 tmp.txt 05.11.2006 17:14 10.494 system.txt 05.11.2006 17:14 446 systemtemp.txt 05.11.2006 17:14 95.893 system32.txt 05.11.2006 16:30 754.974.720 pagefile.sys 05.11.2006 16:23 10.390 avenger.txt 05.11.2006 16:15 2.658 bicstsyb.txt 05.11.2006 14:15 1.055.369 scancode.txt 05.11.2006 00:31 1.042 VundoFix.txt 03.11.2006 19:41 8.387 ComboFix.txt 01.11.2006 15:43 1.135 DirDPF.txt 01.11.2006 15:43 2 DirDPFCns.txt 01.11.2006 13:21 526 199044819.txt 01.11.2006 13:20 127 _srvlog.txt 31.10.2006 20:57 100 index.ini 31.10.2006 17:30 1.331 rapport.txt 30.08.2006 17:06 13.312 dvb.GRF |
|
|
|
|
|
|
05.11.2006, 17:59
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
05.11.2006, 20:44
Member
Themenstarter Beiträge: 28 |
#15
Ich hab in C:\WINDOWS\Temp zwar keine tmp-Dateien mehr...aber Ordner. Sind die OK?
Falls ja bedanke ich mich schonmal für die Mühen und die Arbeit die du mit mir hattest......und als positiver Nebeneffekt ist die 99% Systemauslastung durch explorer.exe auch wieder weg. Achja: Eben noch eine Warnmeldung über einen geblockten Hackerangriff....ist da wirklich nichts mehr? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
in C:\WINDOWS\Temp hab ich auch noch diese win***.tmp.exe und ihre ableger die sich nicht löschen lassen und wiederkommen.
Ich befürchte aber fast das ist nicht der einzige....unter HijackThis wird mir nichts böses mehr angezeigt.
Logfile of HijackThis v1.99.1
Scan saved at 15:09:48, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\netmsg.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\sonderling\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CoreWorks] c:\progra~1\e-plus\e-plus~1\bin\gbxapp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117892765533
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162382055437
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Net message Service - Unknown owner - C:\WINDOWS\system32\netmsg.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
-------------------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039
Verzeichnis von C:\WINDOWS\system32
01.11.2006 15:20 1.134 pqtss.ini2
01.11.2006 15:20 2.206 wpa.dbl
01.11.2006 14:43 63.976 perfc007.dat
01.11.2006 14:43 897.954 PerfStringBackup.INI
01.11.2006 14:43 380.042 perfh009.dat
01.11.2006 14:43 52.648 perfc009.dat
01.11.2006 14:43 390.652 perfh007.dat
01.11.2006 14:35 443.307 pqtss.bak2
01.11.2006 14:32 175.764 OODBS.lor
01.11.2006 14:30 137 winser.bin
01.11.2006 11:14 302 EraserAHS.log
01.11.2006 11:14 9.674 coh.cache
01.11.2006 11:14 3.309 EraserAHS.tlg
01.11.2006 11:08 110.612 aqyilxgk.exe
01.11.2006 11:07 60.436 ufynjbib.dll
01.11.2006 11:07 443.565 pqtss.bak1
31.10.2006 16:00 139 ole.inf
31.10.2006 10:19 972 pqtss.ini
31.10.2006 09:40 921 pqtss.tmp
30.10.2006 23:20 688.180 sstqp.dll
30.10.2006 23:16 51.200 drvvuw.dll
30.10.2006 23:14 40.973 byxusqr.dll
30.10.2006 23:14 18.432 winexy32.dll
30.10.2006 18:53 135.168 iwinapp.exe
30.10.2006 18:25 136 netmsg.bin
30.10.2006 18:25 137 iwinapp.bin
30.10.2006 18:20 135.168 netmsg.exe
30.10.2006 18:15 135.168 dxcombin.exe
30.10.2006 18:13 100 LuResult.txt
30.10.2006 18:09 135.168 wintrust32.exe
04.10.2006 13:03 9.639.336 MRT.exe
03.10.2006 14:33 34.064 lhacm.acm
15.09.2006 22:04 48.816 S32EVNT1.DLL
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
02.09.2006 20:35 613.056 SymNeti.dll
02.09.2006 20:35 239.808 SymRedir.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
16.08.2006 12:58 100.352 6to4svc.dll
-------------------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039
Verzeichnis von C:\DOKUME~1\SONDER~1\LOKALE~1\Temp
01.11.2006 15:25 204 jusched.log
1 Datei(en) 204 Bytes
0 Verzeichnis(se), 7.867.387.904 Bytes frei
-------------------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039
Verzeichnis von C:\WINDOWS
01.11.2006 15:22 1.933.725 WindowsUpdate.log
01.11.2006 14:33 0 0.log
01.11.2006 14:32 2.048 bootstat.dat
01.11.2006 14:30 8.574 SchedLgU.Txt
01.11.2006 12:58 824.930 setupapi.log
01.11.2006 09:19 116 NeroDigital.ini
01.11.2006 01:04 54.826 wmsetup.log
31.10.2006 17:32 175.109 setupact.log
31.10.2006 17:15 502.104 ntbtlog.txt
13.10.2006 22:11 1.409 QTFont.for
13.10.2006 22:11 54.156 QTFont.qfn
13.10.2006 02:03 106.107 ntdtcsetup.log
13.10.2006 02:03 78.863 iis6.log
13.10.2006 02:03 177.848 comsetup.log
13.10.2006 02:03 194.687 tsoc.log
13.10.2006 02:03 1.393 imsins.log
13.10.2006 02:03 27.903 ocmsn.log
13.10.2006 02:03 13.626 KB924191.log
13.10.2006 02:03 245.049 ocgen.log
13.10.2006 02:03 25.282 msgsocm.log
13.10.2006 02:03 499.967 FaxSetup.log
13.10.2006 02:03 37.988 updspapi.log
13.10.2006 02:03 1.393 imsins.BAK
13.10.2006 02:03 13.280 KB922819.log
13.10.2006 02:02 11.432 KB923414.log
13.10.2006 02:02 11.440 KB924496.log
13.10.2006 02:02 9.189 KB923191.log
11.10.2006 21:49 50 wiaservc.log
11.10.2006 21:49 216 wiadebug.log
06.10.2006 18:42 3.509 mozver.dat
05.10.2006 00:46 18.644 ModemLog_Fusion UMTS GPRS - 3G Modem.txt
05.10.2006 00:41 2 ActiveXMSSMSCache.dat
27.09.2006 09:15 10.644 KB925486.log
13.09.2006 12:54 13.093 KB920685.log
13.09.2006 12:53 15.392 KB920872.log
13.09.2006 12:53 13.294 KB919007.log
13.09.2006 12:53 9.157 KB922582.log
09.08.2006 22:00 15.520 KB920214.log
09.08.2006 22:00 15.513 KB922616.log
09.08.2006 22:00 15.925 KB921398.log
09.08.2006 21:59 19.236 KB918899.log
09.08.2006 21:59 11.900 KB920670.log
09.08.2006 21:59 12.059 KB917422.log
09.08.2006 21:58 12.331 KB920683.log
09.08.2006 19:17 11.113 KB921883.log
05.08.2006 06:26 9.043 WgaNotify.log
-------------------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039
Verzeichnis von C:\WINDOWS\Temp
01.11.2006 15:32 33.280 win31.tmp.exe
01.11.2006 15:32 944 win30.tmp
01.11.2006 15:30 0 win2C.tmp
01.11.2006 15:30 0 win2B.tmp
01.11.2006 15:30 0 win2A.tmp
01.11.2006 15:29 16.384 Perflib_Perfdata_6e4.dat
01.11.2006 15:28 0 win28.tmp
01.11.2006 15:28 0 win29.tmp
01.11.2006 15:26 0 win27.tmp
01.11.2006 15:26 0 win26.tmp
01.11.2006 15:24 0 win24.tmp
01.11.2006 15:24 0 win25.tmp
01.11.2006 15:22 0 win22.tmp
01.11.2006 15:22 0 win23.tmp
01.11.2006 15:20 409 WGANotify.settings
01.11.2006 15:20 255 WGAErrLog.txt
01.11.2006 15:20 0 win20.tmp
01.11.2006 15:20 0 win21.tmp
01.11.2006 14:32 16.384 Perflib_Perfdata_1c8.dat
01.11.2006 11:42 33.280 winF.tmp.exe
20 Datei(en) 100.936 Bytes
0 Verzeichnis(se), 7.867.346.944 Bytes frei
------------------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039
Verzeichnis von C:\WINDOWS\Downloaded Program Files
01.06.2006 02:57 1.331 oscan8.inf
01.06.2006 02:54 471.040 oscan8.ocx
<== sind die aktuellsten Einträge
-------------------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039
Verzeichnis von C:\
01.11.2006 15:33 0 sys.txt
01.11.2006 15:33 1.082 down.txt
01.11.2006 15:33 1.211 tmp.txt
01.11.2006 15:33 10.429 system.txt
01.11.2006 15:33 289 systemtemp.txt
01.11.2006 15:33 96.764 system32.txt
01.11.2006 14:32 754.974.720 pagefile.sys
01.11.2006 13:21 526 199044819.txt
01.11.2006 13:20 127 _srvlog.txt
01.11.2006 07:15 1.048.444 scancode.txt
31.10.2006 20:57 100 index.ini
31.10.2006 17:30 1.331 rapport.txt
30.08.2006 17:06 13.312 dvb.GRF
02.08.2006 18:20 2.020 RecordChannel.tbl
02.08.2006 18:20 7.240 FreqChannel.tbl
02.08.2006 18:20 1.192 FavoriteChannel.tbl
-------------------------------------------------------------------------------------
10)DPF????
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 3CE3-B039
Verzeichnis von C:\WINDOWS\Downloaded Program Files
07.12.2004 16:07 32 bdcore.dll
01.03.2005 14:08 118.784 bdupd.dll
01.03.2005 14:08 53.248 ipsupd.dll
03.05.2006 02:57 876 jinstall-1_5_0_07.inf
09.03.2005 15:34 7.225 lang.ini
07.12.2004 16:07 32 libfn.dll
02.03.2005 13:43 126 live.ini
26.05.2005 04:19 293 muweb.inf
01.06.2006 02:57 1.331 oscan8.inf
01.06.2006 02:54 471.040 oscan8.ocx
31.05.2006 04:15 10 oscan81.ocx_x
19.12.2003 16:02 126.976 popcaploader.dll
19.12.2003 14:43 241 popcaploader.inf
09.03.2005 15:44 7.276 scanoptions.tsi
27.03.2006 12:00 5.019 swflash.inf
03.08.2004 13:51 293 wuweb.inf
16 Datei(en) 792.802 Bytes
Anzahl der angezeigten Dateien:
16 Datei(en) 792.802 Bytes
0 Verzeichnis(se), 7.860.776.960 Bytes frei