KooWo und Worm.Brontok.a, wer kennt diese Typen |
||
---|---|---|
#0
| ||
07.11.2006, 19:06
Member
Beiträge: 15 |
||
|
||
07.11.2006, 19:35
Member
Beiträge: 130 |
||
|
||
07.11.2006, 23:10
Member
Themenstarter Beiträge: 15 |
#3
Anbei die Zusammenstellungen der Log´s.
Vorher ein Danke für die schnelle Reaktion. Die Symptome habe ich versucht in meinem Hilferuf wiederzugeben. Ergänzend kann ich noch erwähnen. Am 5.11. habe ich den Rechner hochfahren wollen, da erhielt ich bereits auf der Windows-Oberfläche angekommen und beim Laden der Soundmax-SystemSteuerung einen Bluescreen mit folgenden Daten: Stop 0x0000008E(0xC0000005,0xF7359522,0xAE59EB64,0x00000000) smwdm.sys Adr.F7359522 base at F7351000, DateStamp 3edb8c74 . Das war, bevor ZoneAlarm Meldung machte. Diese erfolgte nach erneutem Hochfahren des Rechners. Das war für mich Alarm höchster Stufe. Der gefundene Virus heist korrekt, Win32.Adware.KooWo. Ich habe bei ZoneAlarm einmal ins Forum geschaut. Dort wird von einem falschen Alarm gesprochen. Diese Beiträge sind aber von März 2006. Sie haben mich deshalb nicht beruhigt. Was mich außerdem beunruhigt, sind die erst seit jüngerer Zeit gehäuft auflaufenden Alert´s meiner Firewall mit immer anderen Ziel-IP´s. Es folgt ein Beispiel: Guten Tag Ihr Router hat einen Versuch des Eindringens in Ihr Netzwerk festgestellt und abgewehrt. Es könnte ein Hacker-Angriff gewesen sein, aber auch nur die harmlose Wartungsarbeit Ihres Service Providers. Über die meisten dieser Netzwerktests muss man sich keine Gedanken machen. Es handelt sich um Versuche, die nach dem Zufallsprinzip durchgeführt werden und NICHT gemeldet werden sollten. Heben Sie diese eMail auf und vergleichen Sie sie mit zukünftigen Alarmmeldungen Alarmmeldung Ihres Routers Time: 11/07/2006, 18:09:15 Message: SYN Flood to Host Source: 192.168.2.3, 1167 Destination:62.41.80.43, 80 (from PPPOE Outbound) Die Zieladressen sind nicht aufzulösen. Und zu guter letzt bekomme ich auch seit jüngerer Zeit Mail´s als Re deklariert, die nur einen Link auf eine dubiose Site enthält. (Nie den Link angeklickt). Betreff ist immer Re: new und eine NUmmer. Da muss doch einer mein Mailadressbuch misbraucht haben. In der Art, dass von meinem Rechner Mail´s versendet wurden, die jetzt als Re zurückkommen. Oder? Logfile of HijackThis v1.99.1 Scan saved at 18:38:03, on 07.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\0900 Warner\w0svc.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Raxco\PerfectDisk\PDSched.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\0900WA~1\WARN0900.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe C:\Programme\Anti-Phishing Bar\AntiPhishingbar.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\GetRight\getright.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Office-Bibliothek\PCLib.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\WINDOWS\system32\txtuser.exe C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe c:\programme\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\WINDOWS\System32\svchost.exe C:\Download\Software_Tools_WIN\Diagnosetools Rechner\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F1 - win.ini: load=c:\commpro\bin\01comm32.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [Matrox PowerDesk 8] "C:\Programme\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AntiPhishingbar] C:\Programme\Anti-Phishing Bar\AntiPhishingbar.exe O4 - Startup: OUTLOOK.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE O4 - Startup: QShelf4g.lnk = C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} - http://support.f-secure.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{C5785F40-4D7E-458C-BE39-5DEDA8EC69EC}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{D1829EFD-0EBA-4683-AA8B-FC3712CF33D8}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{FE7FD460-8C66-4610-BFA9-8442887008D5}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6752CAC7-4FB1-429B-8DA4-8DC2AEB28B83}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS3\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgafg.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe CleanUp ist gelaufen. Start Time= 07.11.2006 22:04:02,98 Running from: C:\Download\Software_Tools_WIN\Diagnosetools Rechner\combofix QuickScan did not find any signs of infected files (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-07 20:54:22 456789 ( A.... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\CleanUp!.log" 2006-11-07 20:41:10 ( .D... ) "C:\Programme\CleanUp!" 2006-11-05 13:48:22 ( .D... ) "C:\Programme\a-squared HiJackFree" 2006-10-31 14:43:22 ( .D... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\MAGIX" 2006-10-29 14:05:28 ( .D... ) "C:\Programme\Matrox Graphics Inc" 2006-10-28 18:36:48 ( .D... ) "C:\Programme\Grisoft" 2006-10-27 10:16:36 2516 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys" 2006-10-27 10:16:36 2516 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys" 2006-10-04 17:16:32 88 ( ..SHR ) "C:\WINDOWS\system32\D2F6A8BCB6.sys" 2006-10-04 17:16:32 88 ( ..SHR ) "C:\WINDOWS\system32\D2F6A8BCB6.sys" 2006-10-04 17:13:46 ( .D... ) "C:\Programme\Gemeinsame Dateien\Corel" 2006-10-02 17:58:06 24072 ( A.... ) "C:\WINDOWS\system32\uxtuneup.dll" 2006-09-30 10:29:54 869 ( A.... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\AdobeDLM.log" 2006-09-30 10:29:54 0 ( A.... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\dm.ini" 2006-09-25 16:45:08 666240 ( A.... ) "C:\WINDOWS\system32\aswBoot.exe" 2006-09-25 16:37:04 90112 ( A.... ) "C:\WINDOWS\system32\AVASTSS.scr" 2006-09-19 13:39:02 ( .D... ) "C:\Programme\klickIdent Herbst 2006" 2006-09-19 13:39:02 ( .D... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\klickIdent" 2006-09-13 13:44:22 643072 ( A.... ) "C:\WINDOWS\system32\mgxoschk.dll" 2006-09-13 06:02:08 1084416 ( A.... ) "C:\WINDOWS\system32\msxml3.dll" 2006-09-12 16:51:42 1245184 ( ..... ) "C:\WINDOWS\system32\msxml4.dll" 2006-08-29 14:01:50 561152 ( A.... ) "C:\WINDOWS\system32\ACDSee.scr" 2006-08-25 16:46:48 617472 ( A.... ) "C:\WINDOWS\system32\comctl32.dll" 2006-08-23 22:38:50 42920 ( A.... ) "C:\WINDOWS\system32\vsutil_loc0407.dll" 2006-08-23 22:38:36 392824 ( A.... ) "C:\WINDOWS\system32\vsdatant.sys" 2006-08-23 22:38:06 83960 ( A.... ) "C:\WINDOWS\system32\zlcomm.dll" 2006-08-23 22:38:06 71672 ( A.... ) "C:\WINDOWS\system32\zlcommdb.dll" 2006-08-23 22:38:04 440312 ( A.... ) "C:\WINDOWS\system32\vsutil.dll" 2006-08-23 22:38:04 100344 ( A.... ) "C:\WINDOWS\system32\vsxml.dll" 2006-08-23 22:38:04 59384 ( A.... ) "C:\WINDOWS\system32\vswmi.dll" 2006-08-23 22:38:02 268280 ( A.... ) "C:\WINDOWS\system32\vspubapi.dll" 2006-08-23 22:38:02 71672 ( A.... ) "C:\WINDOWS\system32\vsregexp.dll" 2006-08-23 22:38:00 157688 ( A.... ) "C:\WINDOWS\system32\vsinit.dll" 2006-08-23 22:38:00 104440 ( A.... ) "C:\WINDOWS\system32\vsmonapi.dll" 2006-08-23 22:37:58 83960 ( A.... ) "C:\WINDOWS\system32\vsdata.dll" 2006-08-21 13:26:06 16896 ( A.... ) "C:\WINDOWS\system32\fltlib.dll" 2006-08-21 10:14:58 23040 ( A.... ) "C:\WINDOWS\system32\fltmc.exe" 2006-08-16 12:58:06 100352 ( A.... ) "C:\WINDOWS\system32\6to4svc.dll" (((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))))))))) 2006-10-31 13:50 430.080 C:\WINDOWS\system32\MXRestore.exe 2006-10-04 17:16 88 C:\WINDOWS\system32\D2F6A8BCB6.sys 2006-10-04 17:16 2.516 C:\WINDOWS\system32\KGyGaAvL.sys 2006-09-25 13:18 2.388.176 C:\WINDOWS\system32\d3dx9_30.dll 2006-09-25 13:18 2.323.664 C:\WINDOWS\system32\d3dx9_28.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon" "0900 Warner"="C:\\PROGRA~1\\0900WA~1\\WARN0900.EXE" "SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe" "SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray" "IAAnotif"="C:\\Programme\\Intel\\Intel Matrix Storage Manager\\iaanotif.exe" "avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe" "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" "Matrox PowerDesk 8"="\"C:\\Programme\\Matrox Graphics Inc\\PowerDesk HF\\matrox.powerdesk.exe\" /silent" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "IncrediMail"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "AntiPhishingbar"="C:\\Programme\\Anti-Phishing Bar\\AntiPhishingbar.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000095 "NoDriveAutoRun"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,00,04,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,aa,06,00,00,00,00,00,00,56,03,00,00,00,04,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,d3,03,00,00,61,01,00,00,1a,01,00,00,16,01,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000095 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000095 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\0900 Warner] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="WARN0900" "hkey"="HKLM" "command"="C:\\PROGRA~1\\0900WA~1\\WARN0900.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ccApp" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ctfmon" "hkey"="HKCU" "command"="C:\\WINDOWS\\system32\\ctfmon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="GoogleDesktop" "hkey"="HKCU" "command"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTunesHelper" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\iTunes\\iTunesHelper.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dumprep 0 -k" "hkey"="HKLM" "command"="%systemroot%\\system32\\dumprep 0 -k" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="hpgs2wnd" "hkey"="HKLM" "command"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "UPS"=dword:00000003 "WinDefend"=dword:00000002 "Symantec Core LC"=dword:00000003 "ccSetMgr"=dword:00000003 "ccPwdSvc"=dword:00000003 "ccEvtMgr"=dword:00000003 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup" "Opware12"="\"C:\\Programme\\ScanSoft\\OmniPagePro12.0\\Opware12.exe\"" "Corel Photo Downloader"="C:\\Programme\\Corel\\Corel Snapfire\\Corel Photo Downloader.exe" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\20061101_184900_Heinz-Jrgen2.job C:\WINDOWS\tasks\20061103_171400_Grundsicherung Differenz.job C:\WINDOWS\tasks\20061103_180600_Grundsicherung (Vollsicherung).job C:\WINDOWS\tasks\Datentr„gerbereinigung.job C:\WINDOWS\tasks\Symantec Drmc.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 07.11.2006 22:09:58,18 ComboFix ver 06.07.15 - This logfile is located at C:\ComboFix.txt datfind.bat Verzeichnis von c:\ 07.11.2006 22:13 0 dirdat.txt 07.11.2006 22:09 12.239 ComboFix.txt 07.11.2006 18:17 0 Log.txt 07.11.2006 18:02 1.073.741.824 pagefile.sys 03.11.2006 12:58 13.030 PDOXUSRS.NET 07.10.2006 15:26 2.606 xPos.txt 05.10.2006 15:20 9.867 voxFcoldrv.log 24.08.2006 14:03 8.388.608.000 gobackio.bin Verzeichnis von C:\WINDOWS\system32 07.11.2006 21:59 1.374 wpa.dbl 07.11.2006 18:03 54.163 vsconfig.xml 29.10.2006 10:14 488.670 perfh009.dat 29.10.2006 10:14 95.694 perfc009.dat 29.10.2006 10:14 523.610 perfh007.dat 29.10.2006 10:14 115.086 perfc007.dat 29.10.2006 10:14 1.241.018 PerfStringBackup.INI 28.10.2006 14:59 326.704 FNTCACHE.DAT 27.10.2006 10:16 2.516 KGyGaAvL.sys 22.10.2006 14:05 4.212 zllictbl.dat 04.10.2006 21:03 9.639.336 MRT.exe 04.10.2006 17:16 88 D2F6A8BCB6.sys 02.10.2006 17:58 24.072 uxtuneup.dll 02.10.2006 13:53 3.002 CONFIG.NT 25.09.2006 16:45 666.240 aswBoot.exe 25.09.2006 16:37 90.112 AVASTSS.scr 13.09.2006 13:44 643.072 mgxoschk.dll 13.09.2006 06:02 1.084.416 msxml3.dll 12.09.2006 16:51 1.245.184 msxml4.dll 04.09.2006 07:13 1.497.088 shdocvw.dll Verzeichnis von C:\DOKUME~1\HEINZ-~1\LOKALE~1\Temp 07.11.2006 22:00 16.384 ~DFCE7A.tmp 07.11.2006 21:59 16.384 ~DFD640.tmp 07.11.2006 21:59 32.768 ~DF303A.tmp 3 Datei(en) 65.536 Bytes 0 Verzeichnis(se), 115.235.393.536 Bytes frei Dieser Beitrag wurde am 07.11.2006 um 23:14 Uhr von Klawuhn editiert.
|
|
|
||
08.11.2006, 01:22
Ehrenmitglied
Beiträge: 29434 |
#4
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html c:\commpro\bin\01comm32.exe poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2006, 15:19
Member
Themenstarter Beiträge: 15 |
#5
Anbei den Report zu 01comm32.exe. Ich konnte ihn nur als Screenshot sichern, da eine Textdatei nicht ausgegeben wurde. Deshalb bringe ich das Bild als Anhang.
MfG H.J. Klawuhn Anhang: VirTotal1.jpg
|
|
|
||
08.11.2006, 16:06
Ehrenmitglied
Beiträge: 29434 |
#6
Klawuhn
«« datfindbat hat 6 logs - ich wuerde gern alle sehen http://virus-protect.org/datfindbat.html «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\__________________________________________________________________ Zitat http://www.viruslist.com/en/viruses/encyclopedia?virusid=96428 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.11.2006 um 16:12 Uhr von Sabina editiert.
|
|
|
||
08.11.2006, 17:50
Member
Themenstarter Beiträge: 15 |
#7
Hallo Sabina!
Richtig, ich habe beim Selektieren was unterschlagen. Entschuldigung. Habe datfindbat noch einmal laufen lassen. Hier das Ergebnis. Es sind aber keine 6 Log´s herausgekommen. Ich habe mit der Suchfunktion auf "Verzeichnis von" nachstehende Ergebnisse auf drei Monate selektiert. Ich habe aber die fehlenden Verzeichnisse der angegebenen LogFiles im Explorer aufgesucht und folgende Angaben gefunden. Verzeichnis von C:\WINDOWS\Downloaded Program Files 06.03.2004 16:48 8 {9D190AE6-C81E-4039-8061-978EBAD10073} (Der Status ist: Unbekannt) 22.06.2006 13:44 940 Shockwave Flash Objekt (Status: installiert. Wird von meinem Mailprog Incredimail gebraucht) Verzeichnis von C:\WINDOWS\Temp 08.11.2006 14:44 1 WGANotify.settings 08.11.2006 14:43 1 ZLT00c63.TMP 08.11.2006 14:43 1 ZLT00c56.TMP 08.11.2006 14:43 1 WGAErrLog.txt 08.11.2006 14:43 16 Perflib_Perfdata_5a8.dat Datfindbat (OriginalLog) Verzeichnis von c:\ 08.11.2006 17:07 0 dirdat.txt 08.11.2006 15:13 0 Log.txt 08.11.2006 14:42 1.073.741.824 pagefile.sys 07.11.2006 22:14 158.337 dirdatLog.txt 07.11.2006 22:09 12.239 ComboFix.txt 03.11.2006 12:58 13.030 PDOXUSRS.NET 07.10.2006 15:26 2.606 xPos.txt 05.10.2006 15:20 9.867 voxFcoldrv.log 24.08.2006 14:03 8.388.608.000 gobackio.bin Verzeichnis von C:\WINDOWS\system32 08.11.2006 14:44 1.374 wpa.dbl 08.11.2006 14:44 54.163 vsconfig.xml 29.10.2006 10:14 488.670 perfh009.dat 29.10.2006 10:14 95.694 perfc009.dat 29.10.2006 10:14 523.610 perfh007.dat 29.10.2006 10:14 115.086 perfc007.dat 29.10.2006 10:14 1.241.018 PerfStringBackup.INI 28.10.2006 14:59 326.704 FNTCACHE.DAT 27.10.2006 10:16 2.516 KGyGaAvL.sys 22.10.2006 14:05 4.212 zllictbl.dat 04.10.2006 21:03 9.639.336 MRT.exe 04.10.2006 17:16 88 D2F6A8BCB6.sys 02.10.2006 17:58 24.072 uxtuneup.dll 02.10.2006 13:53 3.002 CONFIG.NT 25.09.2006 16:45 666.240 aswBoot.exe 25.09.2006 16:37 90.112 AVASTSS.scr 13.09.2006 13:44 643.072 mgxoschk.dll 13.09.2006 06:02 1.084.416 msxml3.dll 12.09.2006 16:51 1.245.184 msxml4.dll 04.09.2006 07:13 1.497.088 shdocvw.dll Verzeichnis von C:\WINDOWS 08.11.2006 15:13 157 wiadebug.log 08.11.2006 15:13 50 wiaservc.log 08.11.2006 14:44 0 0.log 08.11.2006 14:43 1.603.486 WindowsUpdate.log 08.11.2006 14:43 383 SCARDSRV.INI 08.11.2006 14:43 0 SCARDSRV.TMP 08.11.2006 14:42 2.048 bootstat.dat 07.11.2006 23:52 32.562 SchedLgU.Txt 07.11.2006 23:05 235.099 setupapi.log 07.11.2006 22:10 701 setupact.log 03.11.2006 15:18 1.409 QTFont.for 03.11.2006 15:18 54.156 QTFont.qfn 02.11.2006 13:52 116 NeroDigital.ini 31.10.2006 14:45 110 CleaningLab.INI 31.10.2006 14:45 1.230 WIN.INI 31.10.2006 13:57 6.537 mgxoschk.ini 29.10.2006 14:05 2.246 MtxCIPLog.txt 29.10.2006 11:54 335.980 ntbtlog.txt 14.10.2006 18:32 216 Superbas.ini 13.10.2006 16:01 147 txtuser.txt 13.10.2006 16:01 28 txtuser.log 12.10.2006 16:18 427.409 comsetup.log 12.10.2006 16:18 254.460 iis6.log 12.10.2006 16:18 276.808 ntdtcsetup.log 12.10.2006 16:18 56.886 tabletoc.log 12.10.2006 16:18 62.541 ocmsn.log 12.10.2006 16:18 14.146 KB924191.log 12.10.2006 16:18 595.847 tsoc.log 12.10.2006 16:18 1.393 imsins.log 12.10.2006 16:18 211.243 netfxocm.log 12.10.2006 16:18 67.535 medctroc.Log 12.10.2006 16:18 705.848 ocgen.log 12.10.2006 16:18 63.645 msgsocm.log 12.10.2006 16:18 1.195.523 FaxSetup.log 12.10.2006 16:18 440.132 msmqinst.log 12.10.2006 16:18 49.256 updspapi.log 12.10.2006 16:18 1.393 imsins.BAK 12.10.2006 16:18 13.793 KB922819.log 12.10.2006 16:18 12.484 KB923414.log 12.10.2006 16:17 15.000 KB924496.log 12.10.2006 16:16 9.742 KB923191.log 04.10.2006 14:20 260 system.ini 04.10.2006 14:19 226.890 wmsetup.log 01.10.2006 14:01 24 Kyor.ini 27.09.2006 09:30 11.539 KB925486.log 25.09.2006 14:22 33 Hex Workshop 25.09.2006 13:18 104.531 DirectX.log 19.09.2006 13:46 255 KTEL.INI 18.09.2006 09:41 15.915 KB920685.log 18.09.2006 09:40 17.112 KB920872.log 18.09.2006 09:40 15.594 KB919007.log 18.09.2006 09:39 10.668 KB922582.log Verzeichnis von C:\DOKUME~1\HEINZ-~1\LOKALE~1\Temp 08.11.2006 16:50 917.504 MFPL7014.DLL 08.11.2006 15:53 0 fla12.tmp 08.11.2006 14:45 16.384 ~DFFA18.tmp 08.11.2006 14:44 32.768 ~DFBE77.tmp 08.11.2006 14:44 16.384 ~DF8125.tmp 07.11.2006 22:00 16.384 ~DFCE7A.tmp 07.11.2006 21:59 16.384 ~DFD640.tmp 07.11.2006 21:59 32.768 ~DF303A.tmp 05.11.2006 18:44 145 FEE5E75C.TMP 02.11.2006 23:20 92 DEB327C0.TMP |
|
|
||
08.11.2006, 18:06
Ehrenmitglied
Beiträge: 29434 |
#8
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2006, 18:58
Member
Themenstarter Beiträge: 15 |
#9
Hier ist der Text
Datentr„ger in Laufwerk C: ist Klawuhn Volumeseriennummer: 04DC-5EA0 Verzeichnis von C:\Windows\ShellNew 05.01.2006 14:46 <DIR> . 05.01.2006 14:46 <DIR> .. 20.09.2000 13:29 94.208 ACCESS9.MDB 15.03.1999 11:50 11.776 EXCEL9.XLS 13.11.1998 09:08 17.920 MSPUB.PUB 10.03.1999 08:41 11.264 PWRPNT10.POT 01.08.1997 00:37 10.752 WINWORD8.DOC 5 Datei(en) 145.920 Bytes 2 Verzeichnis(se), 115.216.736.256 Bytes frei Datentr„ger in Laufwerk C: ist Klawuhn Volumeseriennummer: 04DC-5EA0 Verzeichnis von C:\Dokumente und Einstellungen\Heinz-Jrgen\Lokale Einstellungen\Anwendungsdaten 04.10.2006 14:20 <DIR> ACD Systems 22.12.2004 13:23 <DIR> ACDPhotoEditor 06.04.2005 18:12 <DIR> Adobe 12.10.2006 11:12 <DIR> Ahead 14.12.2005 10:27 <DIR> Apple Computer 29.10.2006 14:08 <DIR> ApplicationHistory 05.01.2006 18:29 <DIR> Borland 03.11.2006 16:44 14.848 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 03.11.2006 15:50 <DIR> FRITZ! 08.03.2004 15:42 145 fusioncache.dat 09.02.2006 13:51 103.168 GDIPFONTCACHEV1.DAT 28.09.2006 18:11 <DIR> Google 05.04.2006 13:34 <DIR> Help 01.07.2004 17:26 <DIR> Identities 14.02.2006 10:39 <DIR> IM 08.03.2004 15:42 <DIR> Matrox 02.04.2006 12:08 <DIR> Microsoft 15.03.2004 11:12 <DIR> Microsoft Help 12.03.2004 15:51 <DIR> Visio 25.03.2005 13:53 <DIR> WMTools Downloaded Files 3 Datei(en) 118.161 Bytes 17 Verzeichnis(se), 115.216.732.160 Bytes frei Datentr„ger in Laufwerk C: ist Klawuhn Volumeseriennummer: 04DC-5EA0 Verzeichnis von C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten 11.03.2004 17:38 <DIR> ACD Systems 05.08.2006 16:14 <DIR> Adobe 30.09.2006 10:29 869 AdobeDLM.log 22.06.2006 12:16 <DIR> AdobeUM 29.10.2006 14:46 <DIR> Ahead 03.03.2006 13:22 <DIR> Apple Computer 05.01.2006 18:29 <DIR> Borland 07.11.2006 20:54 456.789 CleanUp!.log 27.10.2006 10:19 <DIR> Corel 30.09.2006 10:29 0 dm.ini 01.09.2004 11:06 <DIR> Download Manager 09.04.2004 11:18 <DIR> FRITZ! 22.03.2006 13:57 103.168 GDIPFONTCACHEV1.DAT 04.10.2006 13:10 <DIR> Google 09.03.2004 10:36 <DIR> Help 01.07.2004 17:26 <DIR> Identities 19.09.2006 13:45 <DIR> klickIdent 11.03.2004 17:27 <DIR> klickTel 16.08.2004 11:59 <DIR> Leadertech 05.05.2006 13:21 <DIR> Logitech 04.07.2004 10:22 <DIR> Macromedia 31.10.2006 14:43 <DIR> MAGIX 03.03.2006 14:01 <DIR> Media Player Classic 02.11.2006 13:45 <DIR> Ordner HP Share-to-Web 14.03.2006 14:59 <DIR> Real 12.03.2004 17:23 <DIR> ScanSoft 01.07.2005 11:13 <DIR> Symantec 02.03.2005 18:42 26.598 Tabulatorgetrennte Werte (Windows).ADR 27.01.2005 17:38 <DIR> TuneUp Software 02.04.2006 12:00 <DIR> Ulead Systems 12.03.2004 15:22 <DIR> Visio 5 Datei(en) 587.424 Bytes 26 Verzeichnis(se), 115.216.732.160 Bytes frei Datentr„ger in Laufwerk C: ist Klawuhn Volumeseriennummer: 04DC-5EA0 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 04.10.2006 14:14 <DIR> ACD Systems 30.09.2006 10:31 <DIR> Adobe 29.10.2006 14:46 <DIR> Ahead 03.03.2006 13:22 <DIR> Apple Computer 05.01.2006 18:29 <DIR> Borland 04.10.2006 17:14 <DIR> Corel 28.09.2006 18:05 <DIR> Google 12.11.2004 09:56 <DIR> InstallShield 10.03.2004 10:38 <DIR> ISDNWatch 30.01.2006 12:29 <DIR> MAGIX 21.07.2004 15:54 <DIR> Matrox 08.01.2006 19:18 <DIR> Microsoft Help 22.03.2006 13:07 1.383 QTSBandwidthCache 10.02.2005 10:15 <DIR> Raxco 03.03.2006 14:04 <DIR> Real 12.03.2004 17:27 <DIR> ScanSoft 02.04.2006 11:25 <DIR> SmartSound Software Inc 12.05.2004 07:57 <DIR> SSScanAppDataDir 12.05.2004 07:57 <DIR> SSScanWizard 27.03.2006 22:45 <DIR> Symantec 27.01.2005 17:37 <DIR> TuneUp Software 13.12.2005 11:56 <DIR> Ulead Systems 14.08.2005 15:33 <DIR> Windows Genuine Advantage 1 Datei(en) 1.383 Bytes 22 Verzeichnis(se), 115.216.728.064 Bytes frei Datentr„ger in Laufwerk C: ist Klawuhn Volumeseriennummer: 04DC-5EA0 Verzeichnis von C:\Programme\Gemeinsame Dateien 04.10.2006 17:13 <DIR> . 04.10.2006 17:13 <DIR> .. 04.10.2006 14:20 <DIR> ACD Systems 30.09.2006 10:26 <DIR> Adobe 23.10.2006 19:16 <DIR> Ahead 04.08.2005 13:52 <DIR> AVM 05.01.2006 18:23 <DIR> Borland Shared 04.10.2006 17:14 <DIR> Corel 12.03.2004 15:17 <DIR> Designer 06.03.2004 16:55 <DIR> Dienste 12.03.2004 12:20 <DIR> GIS 09.03.2004 10:27 <DIR> Hewlett-Packard 05.01.2006 21:28 <DIR> InstallShield 12.03.2004 17:22 <DIR> L&H Shared 12.03.2004 15:23 <DIR> Lhspf 23.07.2006 11:29 <DIR> Logitech 31.10.2006 13:54 <DIR> MAGIX Shared 28.04.2006 12:04 <DIR> Mapserv 05.01.2006 21:29 <DIR> Merge Modules 24.10.2006 17:07 <DIR> Microsoft Shared 06.03.2004 16:47 <DIR> MSSoap 06.03.2004 16:39 <DIR> ODBC 10.02.2005 10:12 <DIR> Raxco 12.03.2004 17:34 <DIR> ScanSoft Shared 13.12.2005 11:47 <DIR> SONY Digital Images 06.03.2004 16:39 <DIR> SpeechEngines 01.07.2004 17:26 <DIR> SWF Studio 05.04.2006 17:22 <DIR> Symantec Shared 13.04.2006 11:58 <DIR> System 13.12.2005 11:57 <DIR> Ulead Systems 12.03.2004 15:49 <DIR> Visio Shared 12.03.2004 15:23 <DIR> WexTech Shared 16.01.2006 10:58 <DIR> Wise Installation Wizard 0 Datei(en) 0 Bytes 33 Verzeichnis(se), 115.216.728.064 Bytes frei Datentr„ger in Laufwerk C: ist Klawuhn Volumeseriennummer: 04DC-5EA0 MfG H.J. Klawuhn |
|
|
||
08.11.2006, 22:06
Ehrenmitglied
Beiträge: 29434 |
#10
von dem Virus ist nichts mehr zu sehen , wenigstens nicht unter Anwendungsdaten
Verzeichnis von C:\Dokumente und Einstellungen\Heinz-Jrgen\Lokale Einstellungen\Anwendungsdaten Zitat Email-Worm.Win32.Brontok.a___________________________________ scanne mit kaspersky (auch die Mails mitscannen lassen) und poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.11.2006, 17:19
Member
Themenstarter Beiträge: 15 |
#11
Hallo Sabina!
Uff! Das war ein langer Törn. Ich habe meinen Arbeitsplatz komplett scannen lassen. Das Ergebnis ist nachstehend. 1Virus und 4 infizierte Objekte. Aber sieh selbst. KasperskyLog 09.11.2006 17:14 ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Donnerstag, 9. November 2006 17:07:19 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 9/11/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 225829 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 163018 Viren gefunden: 1 Infizierte Objekte gefunden: 4 / 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 04:20:12 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\Heinz-Jürgen\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\Matrox.PowerDesk.PDeskNet.exe.fb36f8d2.ini.inuse Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\Matrox\PowerDesk\8.0x\PDeskNet.Log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\Acr8ADD.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\BCGE.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\~DF242A.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\~DF25BA.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\~DFDD70.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006110920061110\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Heinz-Jürgen\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe/data.rar/xpsp26_260_full.exe/irsetup.dat Infizierte Objekte: Trojan-Downloader.Win32.Agent.bay übersprungen C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe/data.rar/xpsp26_260_full.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.bay übersprungen C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Agent.bay übersprungen C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe RarSFX: infiziert - 3 übersprungen C:\gobackio.bin Das Objekt ist gesperrt übersprungen C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws Das Objekt ist gesperrt übersprungen C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log Das Objekt ist gesperrt übersprungen C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\KLAWUHN.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SCARDSRV.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_5a0.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT0025c.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT05ca1.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\gobackio.bin Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Ich habe die Datei xpsp26_260_full.exe im Verzeichnis als erste Maßnahme umbenannt. Wo finde ich denn die Objekte, denn im Log steht ja die seien übersprungen worden? MfG H.-J. Klawuhn Dieser Beitrag wurde am 09.11.2006 um 17:33 Uhr von Klawuhn editiert.
|
|
|
||
09.11.2006, 20:00
Ehrenmitglied
Beiträge: 29434 |
#12
der kaspersky loescht nicht, sondern zeigt nur an (mit ueberspringen)
du musst also manuell loeschen wo hast du diese xpsp26_260_full.exe her ? von einer ofiziellen MS-Seite ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.11.2006, 11:54
Member
Themenstarter Beiträge: 15 |
#13
Den habe ich von von einer Site, die sich Jac-WXP-Update-Service nannte. Dort wurde propagiert, dass MS nicht alle Updates für XP zum frühest möglichen Zeitpunkt zur Verfügung stellt. Jac würde mit seinem Programm alle SP und weitere Updates kontinuierlich und automatisch updaten. Die Software würde prüfen welche Updates gelaufen sind und welche fehlen.
Und jetzt kommt der Hammer. Als ich damals die Software habe laufen lassen war noch alles ok. Beim neuen Hochfahren des Rechners schlug mein Symantec-Virenscanner an. Und auch damals habe ich mich an Euch gewendet, da Norton auf meine Ansprache überhaupt nicht reagierte. SVKP.sys von Norton Antivir als Hacktool.Rootkit erkannt ...Am 19.10. habe ich den Jac-WXP-Update-Service 2.6 laufen lassen. Am 20.10. präsentiert mir Norton bei der Datei SVKP.sys nach dem Hochfahren des Systems ... board.protecus.de/t19781.htm - 76k Das war am 21.10.2005. Die involvierte SVKP.sys lief damals auch über etliche Virenscanner im Netz und bekam, bis auf Symantec, überall ein OK. Also habe ich jetzt wohl das auslösende Programm gefunden? Ich habe den Filenamen einmal im Netz suchen lassen und er taucht z.B. bei nachfolgender URL auf: www.torrentreactor.to/torrents/view_65744. Ob die Virenmeldung von Kaspersky einen wirklichen Schädling erkannt hat, oder ob die in dem File angetroffene Signatur des Loaders heuristisch auf einen Schädling verweist, ist wohl nicht eindeutig zu klären. Da ich eine Sicherung habe, ist das File vom aktiven System jetzt gelöscht. Weist Du, ob das SVKP-File MS Windows-eigen ist? Oder könnte ich das SVKP-File aus System32 ebenfalls eliminieren? Ansonsten scheint mein System doch wohl sauber zu sein? Oder gibt es nach Deiner Ansicht noch prüfenswertes? Langsam werde ich wieder ruhiger. Im Moment lasse ich meine Anti-Spyware von AVG mit dem AnalyseFenster meiner Verbindungen zum Internet ständig auf dem Bildschirm. MfG H.J. KLawuhn |
|
|
||
10.11.2006, 12:46
Ehrenmitglied
Beiträge: 29434 |
#14
ueber die SVKP.sys
gibt es verschiedene Meinungen: http://www.sophos.de/security/analyses/w32rbotajr.html Wenn W32/Rbot-AGP installiert ist, erstellt er die Datei <Windows-Systemordner>\svkp.sys, bei der es sich um einen legitimen Treiber für NT-basierte Systeme handelt. Die Datei SVKP.sys wird als neuer Systemtreiberdienst namens "SVKP" mit dem Anzeigenamen "SVKP" und dem Starttyp "Automatisch" registriert, so dass sie während des Systemstarts automatisch ausgeführt wird. An folgender Stelle werden Registrierungseinträge erzeugt: HKLM\SYSTEM\CurrentControlSet\Services\SVKP\ -------------------------------------------------------------- Hier ist die SVKP.sys nötig für Spiele: http://board.protecus.de/t19781.htm %System%\SVKP.sys (Dies ist ein sauberer Treiber, der für schädliche Zwecke eingesetzt werden kann.) http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-backdoor.sdbot.html --------------------------------------------------------------- das beste hochladen und pruefen lassen Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:Windows\System32\SVKP.sys _________________________________________________________ «« IceSword - laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module darstellen http://virus-protect.org/artikel/tools/icesword.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.11.2006, 14:21
Member
Themenstarter Beiträge: 15 |
#15
Das Ergebnis der Virenprüfung meiner SVKP.sys:
STATUS: FINISHEDComplete scanning result of "SVKP.sys", received in VirusTotal at 11.10.2006, 14:14:04 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.10.2006 no virus found Authentium 4.93.8 11.10.2006 no virus found Avast 4.7.892.0 11.09.2006 no virus found AVG 386 11.09.2006 no virus found BitDefender 7.2 11.10.2006 no virus found CAT-QuickHeal 8.00 11.10.2006 TrojanSpy.Joiner.av ClamAV devel-20060426 11.10.2006 Trojan.PcClient-42 DrWeb 4.33 11.10.2006 no virus found eTrust-InoculateIT 23.73.51 11.10.2006 no virus found eTrust-Vet 30.3.3186 11.10.2006 no virus found Ewido 4.0 11.10.2006 no virus found Fortinet 2.82.0.0 11.10.2006 SPY/Joiner F-Prot 3.16f 11.10.2006 no virus found F-Prot4 4.2.1.29 11.09.2006 no virus found Ikarus 0.2.65.0 11.09.2006 no virus found Kaspersky 4.0.2.24 11.10.2006 no virus found McAfee 4892 11.09.2006 no virus found Microsoft 1.1609 11.10.2006 no virus found NOD32v2 1861 11.10.2006 no virus found Norman 5.80.02 11.10.2006 no virus found Panda 9.0.0.4 11.09.2006 no virus found Sophos 4.11.0 11.07.2006 no virus found TheHacker 6.0.1.116 11.09.2006 no virus found UNA 1.83 11.09.2006 no virus found VBA32 3.11.1 11.09.2006 no virus found VirusBuster 4.3.15:9 11.09.2006 no virus found Und nun? MfG H.J. Klawuhn |
|
|
||
Es tauchten noch einige Reg-Eintragungen auf.
GUID: {E21BE468-5C18-43EB-B0CC-DB93A847D769}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E21BE468-5C18-43EB-B0CC-DB93A847D769}
GUID: {238D0F23-5DC9-45A6-9BE2-666160C324DD}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{238D0F23-5DC9-45A6-9BE2-666160C324DD}
GUID: {765035B3-5944-4A94-806B-20EE3415F26F}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{765035B3-5944-4A94-806B-20EE3415F26F}
GUID: {941A4793-A705-4312-8DFC-C11CA05F397E}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{941A4793-A705-4312-8DFC-C11CA05F397E}
Ich habe daraufhin aus dem Internet ein RemovelTool gezogen und dieses laufen lassen. Es fand aber nichts. Dann habe ich einen Scan bei Jotti über eine Reihe von Scannern laufen lassen. Ohne Befund. Weiter habe ich von F-Secure über Activ X meinen Datenbestand prüfen lassen. Kein Befund. Ja da war ich etwas beruhigt und habe das Programm ausgetauscht gegen eine neuere Verion, gegen die auch AVG nichts hatte. Plötzlich bekomme ich eine Meldung meiner Firewall-ZoneAlarm, dass ein Programm unbekannt aktiv ist, als W32.KooWo identifiziert ist und Bildschirmkopien anfertigen kann. Ich habe das Programm in Quarantäne nehmen lassen und natürlich sofort alle Passwörter geändert. Ich werde aber den Verdacht nicht los, dass sich auf meinem Rechner irgendetwas tut, was ich wissen sollte, denn heute habe ich im mitlaufenden AVG unter Verbindungen Prozess: unbekannt an Remoteadresse: 62.26.250.5 auf Port: 80 eine Verbindung gesehen. Meine Tool zur Verfolgung dieser Adresse zeigte als Ergebnis: Unable To Resolve. Ich habe versucht ZoneAlarm sofort zu sperren. Siehe da, es ging nicht. Also Rechner aus.
Meine Anschliessenden Massnahmen waren ein Scan über ZoneAlarm und AVG auf Spyware und ein Scan durch meine Virensoftware AVAST!4.
Diese sind ohne Befund verlaufen.
Wer bitte kennt vor allem den W32.KooWo. Symantec auf jeden Fall hat ihn nicht in der Virenbank.
Was geben die Experten für Empfehlungen, wie ich mein Sicherheitsgefühl wieder herstellen kann?