KooWo und Worm.Brontok.a, wer kennt diese Typen

#0
07.11.2006, 19:06
Member

Beiträge: 15
#1 Vor einigen Tagen bekam ich von meiner Antispyware AVG die Meldung, dass mein ProcessExplorer den Virus Worm.Brontok.a habe.
Es tauchten noch einige Reg-Eintragungen auf.
GUID: {E21BE468-5C18-43EB-B0CC-DB93A847D769}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E21BE468-5C18-43EB-B0CC-DB93A847D769}
GUID: {238D0F23-5DC9-45A6-9BE2-666160C324DD}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{238D0F23-5DC9-45A6-9BE2-666160C324DD}
GUID: {765035B3-5944-4A94-806B-20EE3415F26F}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{765035B3-5944-4A94-806B-20EE3415F26F}
GUID: {941A4793-A705-4312-8DFC-C11CA05F397E}
RegistryKey: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{941A4793-A705-4312-8DFC-C11CA05F397E}
Ich habe daraufhin aus dem Internet ein RemovelTool gezogen und dieses laufen lassen. Es fand aber nichts. Dann habe ich einen Scan bei Jotti über eine Reihe von Scannern laufen lassen. Ohne Befund. Weiter habe ich von F-Secure über Activ X meinen Datenbestand prüfen lassen. Kein Befund. Ja da war ich etwas beruhigt und habe das Programm ausgetauscht gegen eine neuere Verion, gegen die auch AVG nichts hatte. Plötzlich bekomme ich eine Meldung meiner Firewall-ZoneAlarm, dass ein Programm unbekannt aktiv ist, als W32.KooWo identifiziert ist und Bildschirmkopien anfertigen kann. Ich habe das Programm in Quarantäne nehmen lassen und natürlich sofort alle Passwörter geändert. Ich werde aber den Verdacht nicht los, dass sich auf meinem Rechner irgendetwas tut, was ich wissen sollte, denn heute habe ich im mitlaufenden AVG unter Verbindungen Prozess: unbekannt an Remoteadresse: 62.26.250.5 auf Port: 80 eine Verbindung gesehen. Meine Tool zur Verfolgung dieser Adresse zeigte als Ergebnis: Unable To Resolve. Ich habe versucht ZoneAlarm sofort zu sperren. Siehe da, es ging nicht. Also Rechner aus.
Meine Anschliessenden Massnahmen waren ein Scan über ZoneAlarm und AVG auf Spyware und ein Scan durch meine Virensoftware AVAST!4.
Diese sind ohne Befund verlaufen.
Wer bitte kennt vor allem den W32.KooWo. Symantec auf jeden Fall hat ihn nicht in der Virenbank.
Was geben die Experten für Empfehlungen, wie ich mein Sicherheitsgefühl wieder herstellen kann?
Seitenanfang Seitenende
07.11.2006, 19:35
Member

Beiträge: 130
Seitenanfang Seitenende
07.11.2006, 23:10
Member

Themenstarter

Beiträge: 15
#3 Anbei die Zusammenstellungen der Log´s.
Vorher ein Danke für die schnelle Reaktion.

Die Symptome habe ich versucht in meinem Hilferuf wiederzugeben. Ergänzend kann ich noch erwähnen. Am 5.11. habe ich den Rechner hochfahren wollen, da erhielt ich bereits auf der Windows-Oberfläche angekommen und beim Laden der Soundmax-SystemSteuerung einen Bluescreen mit folgenden Daten:
Stop 0x0000008E(0xC0000005,0xF7359522,0xAE59EB64,0x00000000)
smwdm.sys Adr.F7359522 base at F7351000, DateStamp 3edb8c74 .

Das war, bevor ZoneAlarm Meldung machte. Diese erfolgte nach erneutem Hochfahren des Rechners. Das war für mich Alarm höchster Stufe. Der gefundene Virus heist korrekt, Win32.Adware.KooWo. Ich habe bei ZoneAlarm einmal ins Forum geschaut. Dort wird von einem falschen Alarm gesprochen. Diese Beiträge sind aber von März 2006. Sie haben mich deshalb nicht beruhigt.

Was mich außerdem beunruhigt, sind die erst seit jüngerer Zeit gehäuft auflaufenden Alert´s meiner Firewall mit immer anderen Ziel-IP´s. Es folgt ein Beispiel:
Guten Tag
Ihr Router hat einen Versuch des Eindringens in Ihr Netzwerk festgestellt und abgewehrt. Es könnte ein Hacker-Angriff gewesen sein, aber auch nur die harmlose Wartungsarbeit Ihres Service Providers.
Über die meisten dieser Netzwerktests muss man sich keine Gedanken machen. Es handelt sich um Versuche, die nach dem Zufallsprinzip durchgeführt werden und NICHT gemeldet werden sollten. Heben Sie diese eMail auf und vergleichen Sie sie mit zukünftigen Alarmmeldungen
Alarmmeldung Ihres Routers
Time: 11/07/2006, 18:09:15
Message: SYN Flood to Host
Source: 192.168.2.3, 1167
Destination:62.41.80.43, 80 (from PPPOE Outbound)


Die Zieladressen sind nicht aufzulösen.
Und zu guter letzt bekomme ich auch seit jüngerer Zeit Mail´s als Re deklariert, die nur einen Link auf eine dubiose Site enthält. (Nie den Link angeklickt). Betreff ist immer Re: new und eine NUmmer. Da muss doch einer mein Mailadressbuch misbraucht haben. In der Art, dass von meinem Rechner Mail´s versendet wurden, die jetzt als Re zurückkommen. Oder?



Logfile of HijackThis v1.99.1
Scan saved at 18:38:03, on 07.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\0900 Warner\w0svc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
C:\Programme\Anti-Phishing Bar\AntiPhishingbar.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Office-Bibliothek\PCLib.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\txtuser.exe
C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe
c:\programme\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Download\Software_Tools_WIN\Diagnosetools Rechner\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: load=c:\commpro\bin\01comm32.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Matrox PowerDesk 8] "C:\Programme\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AntiPhishingbar] C:\Programme\Anti-Phishing Bar\AntiPhishingbar.exe
O4 - Startup: OUTLOOK.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O4 - Startup: QShelf4g.lnk = C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) -
O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5785F40-4D7E-458C-BE39-5DEDA8EC69EC}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1829EFD-0EBA-4683-AA8B-FC3712CF33D8}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE7FD460-8C66-4610-BFA9-8442887008D5}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{6752CAC7-4FB1-429B-8DA4-8DC2AEB28B83}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgafg.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

CleanUp ist gelaufen.

Start Time= 07.11.2006 22:04:02,98
Running from: C:\Download\Software_Tools_WIN\Diagnosetools Rechner\combofix

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-07 20:54:22 456789 ( A.... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\CleanUp!.log"
2006-11-07 20:41:10 ( .D... ) "C:\Programme\CleanUp!"
2006-11-05 13:48:22 ( .D... ) "C:\Programme\a-squared HiJackFree"
2006-10-31 14:43:22 ( .D... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\MAGIX"
2006-10-29 14:05:28 ( .D... ) "C:\Programme\Matrox Graphics Inc"
2006-10-28 18:36:48 ( .D... ) "C:\Programme\Grisoft"
2006-10-27 10:16:36 2516 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-10-27 10:16:36 2516 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-10-04 17:16:32 88 ( ..SHR ) "C:\WINDOWS\system32\D2F6A8BCB6.sys"
2006-10-04 17:16:32 88 ( ..SHR ) "C:\WINDOWS\system32\D2F6A8BCB6.sys"
2006-10-04 17:13:46 ( .D... ) "C:\Programme\Gemeinsame Dateien\Corel"
2006-10-02 17:58:06 24072 ( A.... ) "C:\WINDOWS\system32\uxtuneup.dll"
2006-09-30 10:29:54 869 ( A.... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\AdobeDLM.log"
2006-09-30 10:29:54 0 ( A.... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\dm.ini"
2006-09-25 16:45:08 666240 ( A.... ) "C:\WINDOWS\system32\aswBoot.exe"
2006-09-25 16:37:04 90112 ( A.... ) "C:\WINDOWS\system32\AVASTSS.scr"
2006-09-19 13:39:02 ( .D... ) "C:\Programme\klickIdent Herbst 2006"
2006-09-19 13:39:02 ( .D... ) "C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten\klickIdent"
2006-09-13 13:44:22 643072 ( A.... ) "C:\WINDOWS\system32\mgxoschk.dll"
2006-09-13 06:02:08 1084416 ( A.... ) "C:\WINDOWS\system32\msxml3.dll"
2006-09-12 16:51:42 1245184 ( ..... ) "C:\WINDOWS\system32\msxml4.dll"
2006-08-29 14:01:50 561152 ( A.... ) "C:\WINDOWS\system32\ACDSee.scr"
2006-08-25 16:46:48 617472 ( A.... ) "C:\WINDOWS\system32\comctl32.dll"
2006-08-23 22:38:50 42920 ( A.... ) "C:\WINDOWS\system32\vsutil_loc0407.dll"
2006-08-23 22:38:36 392824 ( A.... ) "C:\WINDOWS\system32\vsdatant.sys"
2006-08-23 22:38:06 83960 ( A.... ) "C:\WINDOWS\system32\zlcomm.dll"
2006-08-23 22:38:06 71672 ( A.... ) "C:\WINDOWS\system32\zlcommdb.dll"
2006-08-23 22:38:04 440312 ( A.... ) "C:\WINDOWS\system32\vsutil.dll"
2006-08-23 22:38:04 100344 ( A.... ) "C:\WINDOWS\system32\vsxml.dll"
2006-08-23 22:38:04 59384 ( A.... ) "C:\WINDOWS\system32\vswmi.dll"
2006-08-23 22:38:02 268280 ( A.... ) "C:\WINDOWS\system32\vspubapi.dll"
2006-08-23 22:38:02 71672 ( A.... ) "C:\WINDOWS\system32\vsregexp.dll"
2006-08-23 22:38:00 157688 ( A.... ) "C:\WINDOWS\system32\vsinit.dll"
2006-08-23 22:38:00 104440 ( A.... ) "C:\WINDOWS\system32\vsmonapi.dll"
2006-08-23 22:37:58 83960 ( A.... ) "C:\WINDOWS\system32\vsdata.dll"
2006-08-21 13:26:06 16896 ( A.... ) "C:\WINDOWS\system32\fltlib.dll"
2006-08-21 10:14:58 23040 ( A.... ) "C:\WINDOWS\system32\fltmc.exe"
2006-08-16 12:58:06 100352 ( A.... ) "C:\WINDOWS\system32\6to4svc.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-10-31 13:50 430.080 C:\WINDOWS\system32\MXRestore.exe
2006-10-04 17:16 88 C:\WINDOWS\system32\D2F6A8BCB6.sys
2006-10-04 17:16 2.516 C:\WINDOWS\system32\KGyGaAvL.sys
2006-09-25 13:18 2.388.176 C:\WINDOWS\system32\d3dx9_30.dll
2006-09-25 13:18 2.323.664 C:\WINDOWS\system32\d3dx9_28.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"0900 Warner"="C:\\PROGRA~1\\0900WA~1\\WARN0900.EXE"
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"IAAnotif"="C:\\Programme\\Intel\\Intel Matrix Storage Manager\\iaanotif.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"Matrox PowerDesk 8"="\"C:\\Programme\\Matrox Graphics Inc\\PowerDesk HF\\matrox.powerdesk.exe\" /silent"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"IncrediMail"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"AntiPhishingbar"="C:\\Programme\\Anti-Phishing Bar\\AntiPhishingbar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoDriveAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,00,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,aa,06,00,00,00,00,00,00,56,03,00,00,00,04,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,d3,03,00,00,61,01,00,00,1a,01,00,00,16,01,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\0900 Warner]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WARN0900"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\0900WA~1\\WARN0900.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccApp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GoogleDesktop"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpgs2wnd"
"hkey"="HKLM"
"command"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UPS"=dword:00000003
"WinDefend"=dword:00000002
"Symantec Core LC"=dword:00000003
"ccSetMgr"=dword:00000003
"ccPwdSvc"=dword:00000003
"ccEvtMgr"=dword:00000003

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"Opware12"="\"C:\\Programme\\ScanSoft\\OmniPagePro12.0\\Opware12.exe\""
"Corel Photo Downloader"="C:\\Programme\\Corel\\Corel Snapfire\\Corel Photo Downloader.exe"



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\20061101_184900_Heinz-Jrgen2.job
C:\WINDOWS\tasks\20061103_171400_Grundsicherung Differenz.job
C:\WINDOWS\tasks\20061103_180600_Grundsicherung (Vollsicherung).job
C:\WINDOWS\tasks\Datentr„gerbereinigung.job
C:\WINDOWS\tasks\Symantec Drmc.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 07.11.2006 22:09:58,18
ComboFix ver 06.07.15 - This logfile is located at C:\ComboFix.txt

datfind.bat

Verzeichnis von c:\

07.11.2006 22:13 0 dirdat.txt
07.11.2006 22:09 12.239 ComboFix.txt
07.11.2006 18:17 0 Log.txt
07.11.2006 18:02 1.073.741.824 pagefile.sys
03.11.2006 12:58 13.030 PDOXUSRS.NET
07.10.2006 15:26 2.606 xPos.txt
05.10.2006 15:20 9.867 voxFcoldrv.log
24.08.2006 14:03 8.388.608.000 gobackio.bin


Verzeichnis von C:\WINDOWS\system32

07.11.2006 21:59 1.374 wpa.dbl
07.11.2006 18:03 54.163 vsconfig.xml
29.10.2006 10:14 488.670 perfh009.dat
29.10.2006 10:14 95.694 perfc009.dat
29.10.2006 10:14 523.610 perfh007.dat
29.10.2006 10:14 115.086 perfc007.dat
29.10.2006 10:14 1.241.018 PerfStringBackup.INI
28.10.2006 14:59 326.704 FNTCACHE.DAT
27.10.2006 10:16 2.516 KGyGaAvL.sys
22.10.2006 14:05 4.212 zllictbl.dat
04.10.2006 21:03 9.639.336 MRT.exe
04.10.2006 17:16 88 D2F6A8BCB6.sys
02.10.2006 17:58 24.072 uxtuneup.dll
02.10.2006 13:53 3.002 CONFIG.NT
25.09.2006 16:45 666.240 aswBoot.exe
25.09.2006 16:37 90.112 AVASTSS.scr
13.09.2006 13:44 643.072 mgxoschk.dll
13.09.2006 06:02 1.084.416 msxml3.dll
12.09.2006 16:51 1.245.184 msxml4.dll
04.09.2006 07:13 1.497.088 shdocvw.dll


Verzeichnis von C:\DOKUME~1\HEINZ-~1\LOKALE~1\Temp

07.11.2006 22:00 16.384 ~DFCE7A.tmp
07.11.2006 21:59 16.384 ~DFD640.tmp
07.11.2006 21:59 32.768 ~DF303A.tmp
3 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 115.235.393.536 Bytes frei
Dieser Beitrag wurde am 07.11.2006 um 23:14 Uhr von Klawuhn editiert.
Seitenanfang Seitenende
08.11.2006, 01:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

c:\commpro\bin\01comm32.exe


poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2006, 15:19
Member

Themenstarter

Beiträge: 15
#5 Anbei den Report zu 01comm32.exe. Ich konnte ihn nur als Screenshot sichern, da eine Textdatei nicht ausgegeben wurde. Deshalb bringe ich das Bild als Anhang.

MfG H.J. Klawuhn

Seitenanfang Seitenende
08.11.2006, 16:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Klawuhn

««
datfindbat hat 6 logs - ich wuerde gern alle sehen
http://virus-protect.org/datfindbat.html

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:Windows\ShellNew" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
__________________________________________________________________

Zitat

http://www.viruslist.com/en/viruses/encyclopedia?virusid=96428
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<user name>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.11.2006 um 16:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.11.2006, 17:50
Member

Themenstarter

Beiträge: 15
#7 Hallo Sabina!
Richtig, ich habe beim Selektieren was unterschlagen. Entschuldigung. Habe datfindbat noch einmal laufen lassen. Hier das Ergebnis. Es sind aber keine 6 Log´s herausgekommen. Ich habe mit der Suchfunktion auf "Verzeichnis von" nachstehende Ergebnisse auf drei Monate selektiert.

Ich habe aber die fehlenden Verzeichnisse der angegebenen LogFiles im Explorer aufgesucht und folgende Angaben gefunden.

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.03.2004 16:48 8 {9D190AE6-C81E-4039-8061-978EBAD10073} (Der Status ist: Unbekannt)
22.06.2006 13:44 940 Shockwave Flash Objekt (Status: installiert. Wird von meinem Mailprog Incredimail gebraucht)

Verzeichnis von C:\WINDOWS\Temp

08.11.2006 14:44 1 WGANotify.settings
08.11.2006 14:43 1 ZLT00c63.TMP
08.11.2006 14:43 1 ZLT00c56.TMP
08.11.2006 14:43 1 WGAErrLog.txt
08.11.2006 14:43 16 Perflib_Perfdata_5a8.dat



Datfindbat (OriginalLog)

Verzeichnis von c:\

08.11.2006 17:07 0 dirdat.txt
08.11.2006 15:13 0 Log.txt
08.11.2006 14:42 1.073.741.824 pagefile.sys
07.11.2006 22:14 158.337 dirdatLog.txt
07.11.2006 22:09 12.239 ComboFix.txt
03.11.2006 12:58 13.030 PDOXUSRS.NET
07.10.2006 15:26 2.606 xPos.txt
05.10.2006 15:20 9.867 voxFcoldrv.log
24.08.2006 14:03 8.388.608.000 gobackio.bin

Verzeichnis von C:\WINDOWS\system32

08.11.2006 14:44 1.374 wpa.dbl
08.11.2006 14:44 54.163 vsconfig.xml
29.10.2006 10:14 488.670 perfh009.dat
29.10.2006 10:14 95.694 perfc009.dat
29.10.2006 10:14 523.610 perfh007.dat
29.10.2006 10:14 115.086 perfc007.dat
29.10.2006 10:14 1.241.018 PerfStringBackup.INI
28.10.2006 14:59 326.704 FNTCACHE.DAT
27.10.2006 10:16 2.516 KGyGaAvL.sys
22.10.2006 14:05 4.212 zllictbl.dat
04.10.2006 21:03 9.639.336 MRT.exe
04.10.2006 17:16 88 D2F6A8BCB6.sys
02.10.2006 17:58 24.072 uxtuneup.dll
02.10.2006 13:53 3.002 CONFIG.NT
25.09.2006 16:45 666.240 aswBoot.exe
25.09.2006 16:37 90.112 AVASTSS.scr
13.09.2006 13:44 643.072 mgxoschk.dll
13.09.2006 06:02 1.084.416 msxml3.dll
12.09.2006 16:51 1.245.184 msxml4.dll
04.09.2006 07:13 1.497.088 shdocvw.dll

Verzeichnis von C:\WINDOWS

08.11.2006 15:13 157 wiadebug.log
08.11.2006 15:13 50 wiaservc.log
08.11.2006 14:44 0 0.log
08.11.2006 14:43 1.603.486 WindowsUpdate.log
08.11.2006 14:43 383 SCARDSRV.INI
08.11.2006 14:43 0 SCARDSRV.TMP
08.11.2006 14:42 2.048 bootstat.dat
07.11.2006 23:52 32.562 SchedLgU.Txt
07.11.2006 23:05 235.099 setupapi.log
07.11.2006 22:10 701 setupact.log
03.11.2006 15:18 1.409 QTFont.for
03.11.2006 15:18 54.156 QTFont.qfn
02.11.2006 13:52 116 NeroDigital.ini
31.10.2006 14:45 110 CleaningLab.INI
31.10.2006 14:45 1.230 WIN.INI
31.10.2006 13:57 6.537 mgxoschk.ini
29.10.2006 14:05 2.246 MtxCIPLog.txt
29.10.2006 11:54 335.980 ntbtlog.txt
14.10.2006 18:32 216 Superbas.ini
13.10.2006 16:01 147 txtuser.txt
13.10.2006 16:01 28 txtuser.log
12.10.2006 16:18 427.409 comsetup.log
12.10.2006 16:18 254.460 iis6.log
12.10.2006 16:18 276.808 ntdtcsetup.log
12.10.2006 16:18 56.886 tabletoc.log
12.10.2006 16:18 62.541 ocmsn.log
12.10.2006 16:18 14.146 KB924191.log
12.10.2006 16:18 595.847 tsoc.log
12.10.2006 16:18 1.393 imsins.log
12.10.2006 16:18 211.243 netfxocm.log
12.10.2006 16:18 67.535 medctroc.Log
12.10.2006 16:18 705.848 ocgen.log
12.10.2006 16:18 63.645 msgsocm.log
12.10.2006 16:18 1.195.523 FaxSetup.log
12.10.2006 16:18 440.132 msmqinst.log
12.10.2006 16:18 49.256 updspapi.log
12.10.2006 16:18 1.393 imsins.BAK
12.10.2006 16:18 13.793 KB922819.log
12.10.2006 16:18 12.484 KB923414.log
12.10.2006 16:17 15.000 KB924496.log
12.10.2006 16:16 9.742 KB923191.log
04.10.2006 14:20 260 system.ini
04.10.2006 14:19 226.890 wmsetup.log
01.10.2006 14:01 24 Kyor.ini
27.09.2006 09:30 11.539 KB925486.log
25.09.2006 14:22 33 Hex Workshop
25.09.2006 13:18 104.531 DirectX.log
19.09.2006 13:46 255 KTEL.INI
18.09.2006 09:41 15.915 KB920685.log
18.09.2006 09:40 17.112 KB920872.log
18.09.2006 09:40 15.594 KB919007.log
18.09.2006 09:39 10.668 KB922582.log

Verzeichnis von C:\DOKUME~1\HEINZ-~1\LOKALE~1\Temp

08.11.2006 16:50 917.504 MFPL7014.DLL
08.11.2006 15:53 0 fla12.tmp
08.11.2006 14:45 16.384 ~DFFA18.tmp
08.11.2006 14:44 32.768 ~DFBE77.tmp
08.11.2006 14:44 16.384 ~DF8125.tmp
07.11.2006 22:00 16.384 ~DFCE7A.tmp
07.11.2006 21:59 16.384 ~DFD640.tmp
07.11.2006 21:59 32.768 ~DF303A.tmp
05.11.2006 18:44 145 FEE5E75C.TMP
02.11.2006 23:20 92 DEB327C0.TMP
Seitenanfang Seitenende
08.11.2006, 18:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:Windows\ShellNew" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2006, 18:58
Member

Themenstarter

Beiträge: 15
#9 Hier ist der Text

Datentr„ger in Laufwerk C: ist Klawuhn
Volumeseriennummer: 04DC-5EA0

Verzeichnis von C:\Windows\ShellNew

05.01.2006 14:46 <DIR> .
05.01.2006 14:46 <DIR> ..
20.09.2000 13:29 94.208 ACCESS9.MDB
15.03.1999 11:50 11.776 EXCEL9.XLS
13.11.1998 09:08 17.920 MSPUB.PUB
10.03.1999 08:41 11.264 PWRPNT10.POT
01.08.1997 00:37 10.752 WINWORD8.DOC
5 Datei(en) 145.920 Bytes
2 Verzeichnis(se), 115.216.736.256 Bytes frei
Datentr„ger in Laufwerk C: ist Klawuhn
Volumeseriennummer: 04DC-5EA0

Verzeichnis von C:\Dokumente und Einstellungen\Heinz-Jrgen\Lokale Einstellungen\Anwendungsdaten

04.10.2006 14:20 <DIR> ACD Systems
22.12.2004 13:23 <DIR> ACDPhotoEditor
06.04.2005 18:12 <DIR> Adobe
12.10.2006 11:12 <DIR> Ahead
14.12.2005 10:27 <DIR> Apple Computer
29.10.2006 14:08 <DIR> ApplicationHistory
05.01.2006 18:29 <DIR> Borland
03.11.2006 16:44 14.848 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
03.11.2006 15:50 <DIR> FRITZ!
08.03.2004 15:42 145 fusioncache.dat
09.02.2006 13:51 103.168 GDIPFONTCACHEV1.DAT
28.09.2006 18:11 <DIR> Google
05.04.2006 13:34 <DIR> Help
01.07.2004 17:26 <DIR> Identities
14.02.2006 10:39 <DIR> IM
08.03.2004 15:42 <DIR> Matrox
02.04.2006 12:08 <DIR> Microsoft
15.03.2004 11:12 <DIR> Microsoft Help
12.03.2004 15:51 <DIR> Visio
25.03.2005 13:53 <DIR> WMTools Downloaded Files
3 Datei(en) 118.161 Bytes
17 Verzeichnis(se), 115.216.732.160 Bytes frei
Datentr„ger in Laufwerk C: ist Klawuhn
Volumeseriennummer: 04DC-5EA0

Verzeichnis von C:\Dokumente und Einstellungen\Heinz-Jrgen\Anwendungsdaten

11.03.2004 17:38 <DIR> ACD Systems
05.08.2006 16:14 <DIR> Adobe
30.09.2006 10:29 869 AdobeDLM.log
22.06.2006 12:16 <DIR> AdobeUM
29.10.2006 14:46 <DIR> Ahead
03.03.2006 13:22 <DIR> Apple Computer
05.01.2006 18:29 <DIR> Borland
07.11.2006 20:54 456.789 CleanUp!.log
27.10.2006 10:19 <DIR> Corel
30.09.2006 10:29 0 dm.ini
01.09.2004 11:06 <DIR> Download Manager
09.04.2004 11:18 <DIR> FRITZ!
22.03.2006 13:57 103.168 GDIPFONTCACHEV1.DAT
04.10.2006 13:10 <DIR> Google
09.03.2004 10:36 <DIR> Help
01.07.2004 17:26 <DIR> Identities
19.09.2006 13:45 <DIR> klickIdent
11.03.2004 17:27 <DIR> klickTel
16.08.2004 11:59 <DIR> Leadertech
05.05.2006 13:21 <DIR> Logitech
04.07.2004 10:22 <DIR> Macromedia
31.10.2006 14:43 <DIR> MAGIX
03.03.2006 14:01 <DIR> Media Player Classic
02.11.2006 13:45 <DIR> Ordner HP Share-to-Web
14.03.2006 14:59 <DIR> Real
12.03.2004 17:23 <DIR> ScanSoft
01.07.2005 11:13 <DIR> Symantec
02.03.2005 18:42 26.598 Tabulatorgetrennte Werte (Windows).ADR
27.01.2005 17:38 <DIR> TuneUp Software
02.04.2006 12:00 <DIR> Ulead Systems
12.03.2004 15:22 <DIR> Visio
5 Datei(en) 587.424 Bytes
26 Verzeichnis(se), 115.216.732.160 Bytes frei
Datentr„ger in Laufwerk C: ist Klawuhn
Volumeseriennummer: 04DC-5EA0

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

04.10.2006 14:14 <DIR> ACD Systems
30.09.2006 10:31 <DIR> Adobe
29.10.2006 14:46 <DIR> Ahead
03.03.2006 13:22 <DIR> Apple Computer
05.01.2006 18:29 <DIR> Borland
04.10.2006 17:14 <DIR> Corel
28.09.2006 18:05 <DIR> Google
12.11.2004 09:56 <DIR> InstallShield
10.03.2004 10:38 <DIR> ISDNWatch
30.01.2006 12:29 <DIR> MAGIX
21.07.2004 15:54 <DIR> Matrox
08.01.2006 19:18 <DIR> Microsoft Help
22.03.2006 13:07 1.383 QTSBandwidthCache
10.02.2005 10:15 <DIR> Raxco
03.03.2006 14:04 <DIR> Real
12.03.2004 17:27 <DIR> ScanSoft
02.04.2006 11:25 <DIR> SmartSound Software Inc
12.05.2004 07:57 <DIR> SSScanAppDataDir
12.05.2004 07:57 <DIR> SSScanWizard
27.03.2006 22:45 <DIR> Symantec
27.01.2005 17:37 <DIR> TuneUp Software
13.12.2005 11:56 <DIR> Ulead Systems
14.08.2005 15:33 <DIR> Windows Genuine Advantage
1 Datei(en) 1.383 Bytes
22 Verzeichnis(se), 115.216.728.064 Bytes frei
Datentr„ger in Laufwerk C: ist Klawuhn
Volumeseriennummer: 04DC-5EA0

Verzeichnis von C:\Programme\Gemeinsame Dateien

04.10.2006 17:13 <DIR> .
04.10.2006 17:13 <DIR> ..
04.10.2006 14:20 <DIR> ACD Systems
30.09.2006 10:26 <DIR> Adobe
23.10.2006 19:16 <DIR> Ahead
04.08.2005 13:52 <DIR> AVM
05.01.2006 18:23 <DIR> Borland Shared
04.10.2006 17:14 <DIR> Corel
12.03.2004 15:17 <DIR> Designer
06.03.2004 16:55 <DIR> Dienste
12.03.2004 12:20 <DIR> GIS
09.03.2004 10:27 <DIR> Hewlett-Packard
05.01.2006 21:28 <DIR> InstallShield
12.03.2004 17:22 <DIR> L&H Shared
12.03.2004 15:23 <DIR> Lhspf
23.07.2006 11:29 <DIR> Logitech
31.10.2006 13:54 <DIR> MAGIX Shared
28.04.2006 12:04 <DIR> Mapserv
05.01.2006 21:29 <DIR> Merge Modules
24.10.2006 17:07 <DIR> Microsoft Shared
06.03.2004 16:47 <DIR> MSSoap
06.03.2004 16:39 <DIR> ODBC
10.02.2005 10:12 <DIR> Raxco
12.03.2004 17:34 <DIR> ScanSoft Shared
13.12.2005 11:47 <DIR> SONY Digital Images
06.03.2004 16:39 <DIR> SpeechEngines
01.07.2004 17:26 <DIR> SWF Studio
05.04.2006 17:22 <DIR> Symantec Shared
13.04.2006 11:58 <DIR> System
13.12.2005 11:57 <DIR> Ulead Systems
12.03.2004 15:49 <DIR> Visio Shared
12.03.2004 15:23 <DIR> WexTech Shared
16.01.2006 10:58 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
33 Verzeichnis(se), 115.216.728.064 Bytes frei
Datentr„ger in Laufwerk C: ist Klawuhn
Volumeseriennummer: 04DC-5EA0

MfG H.J. Klawuhn
Seitenanfang Seitenende
08.11.2006, 22:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 von dem Virus ist nichts mehr zu sehen , wenigstens nicht unter Anwendungsdaten

Verzeichnis von C:\Dokumente und Einstellungen\Heinz-Jrgen\Lokale Einstellungen\Anwendungsdaten

Zitat

Email-Worm.Win32.Brontok.a
http://www.viruslist.com/en/viruses/encyclopedia?virusid=96428
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<user name>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
___________________________________

scanne mit kaspersky (auch die Mails mitscannen lassen) und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2006, 17:19
Member

Themenstarter

Beiträge: 15
#11 Hallo Sabina!
Uff! Das war ein langer Törn. Ich habe meinen Arbeitsplatz komplett scannen lassen. Das Ergebnis ist nachstehend. 1Virus und 4 infizierte Objekte. Aber sieh selbst.

KasperskyLog 09.11.2006 17:14

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 9. November 2006 17:07:19
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 9/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 225829
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 163018
Viren gefunden: 1
Infizierte Objekte gefunden: 4 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 04:20:12

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Heinz-Jürgen\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\Matrox.PowerDesk.PDeskNet.exe.fb36f8d2.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\Matrox\PowerDesk\8.0x\PDeskNet.Log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\Acr8ADD.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\BCGE.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\~DF242A.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\~DF25BA.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temp\~DFDD70.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006110920061110\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Heinz-Jürgen\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe/data.rar/xpsp26_260_full.exe/irsetup.dat Infizierte Objekte: Trojan-Downloader.Win32.Agent.bay übersprungen
C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe/data.rar/xpsp26_260_full.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.bay übersprungen
C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Agent.bay übersprungen
C:\Download\Software_Anwendungen\Microsoft\Jac-WXP-Update-Service\xpsp26_260_full.exe RarSFX: infiziert - 3 übersprungen

C:\gobackio.bin Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\KLAWUHN.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SCARDSRV.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_5a0.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT0025c.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT05ca1.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\gobackio.bin Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Ich habe die Datei xpsp26_260_full.exe im Verzeichnis als erste Maßnahme umbenannt. Wo finde ich denn die Objekte, denn im Log steht ja die seien übersprungen worden?

MfG H.-J. Klawuhn
Dieser Beitrag wurde am 09.11.2006 um 17:33 Uhr von Klawuhn editiert.
Seitenanfang Seitenende
09.11.2006, 20:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 der kaspersky loescht nicht, sondern zeigt nur an (mit ueberspringen)
du musst also manuell loeschen

wo hast du diese xpsp26_260_full.exe her ? von einer ofiziellen MS-Seite ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2006, 11:54
Member

Themenstarter

Beiträge: 15
#13 Den habe ich von von einer Site, die sich Jac-WXP-Update-Service nannte. Dort wurde propagiert, dass MS nicht alle Updates für XP zum frühest möglichen Zeitpunkt zur Verfügung stellt. Jac würde mit seinem Programm alle SP und weitere Updates kontinuierlich und automatisch updaten. Die Software würde prüfen welche Updates gelaufen sind und welche fehlen.
Und jetzt kommt der Hammer. Als ich damals die Software habe laufen lassen war noch alles ok. Beim neuen Hochfahren des Rechners schlug mein Symantec-Virenscanner an. Und auch damals habe ich mich an Euch gewendet, da Norton auf meine Ansprache überhaupt nicht reagierte.

SVKP.sys von Norton Antivir als Hacktool.Rootkit erkannt ...Am 19.10. habe ich den Jac-WXP-Update-Service 2.6 laufen lassen. Am 20.10. präsentiert mir Norton bei der Datei SVKP.sys nach dem Hochfahren des Systems ...
board.protecus.de/t19781.htm - 76k


Das war am 21.10.2005. Die involvierte SVKP.sys lief damals auch über etliche Virenscanner im Netz und bekam, bis auf Symantec, überall ein OK.
Also habe ich jetzt wohl das auslösende Programm gefunden?

Ich habe den Filenamen einmal im Netz suchen lassen und er taucht z.B. bei nachfolgender URL auf: www.torrentreactor.to/torrents/view_65744.
Ob die Virenmeldung von Kaspersky einen wirklichen Schädling erkannt hat, oder ob die in dem File angetroffene Signatur des Loaders heuristisch auf einen Schädling verweist, ist wohl nicht eindeutig zu klären. Da ich eine Sicherung habe, ist das File vom aktiven System jetzt gelöscht.
Weist Du, ob das SVKP-File MS Windows-eigen ist? Oder könnte ich das SVKP-File aus System32 ebenfalls eliminieren?

Ansonsten scheint mein System doch wohl sauber zu sein? Oder gibt es nach Deiner Ansicht noch prüfenswertes?
Langsam werde ich wieder ruhiger. Im Moment lasse ich meine Anti-Spyware von AVG mit dem AnalyseFenster meiner Verbindungen zum Internet ständig auf dem Bildschirm.

MfG H.J. KLawuhn
Seitenanfang Seitenende
10.11.2006, 12:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ueber die SVKP.sys
gibt es verschiedene Meinungen:

http://www.sophos.de/security/analyses/w32rbotajr.html
Wenn W32/Rbot-AGP installiert ist, erstellt er die Datei <Windows-Systemordner>\svkp.sys, bei der es sich um einen legitimen Treiber für NT-basierte Systeme handelt.

Die Datei SVKP.sys wird als neuer Systemtreiberdienst namens "SVKP" mit dem Anzeigenamen "SVKP" und dem Starttyp "Automatisch" registriert, so dass sie während des Systemstarts automatisch ausgeführt wird. An folgender Stelle werden Registrierungseinträge erzeugt:
HKLM\SYSTEM\CurrentControlSet\Services\SVKP\
--------------------------------------------------------------
Hier ist die SVKP.sys nötig für Spiele:
http://board.protecus.de/t19781.htm

%System%\SVKP.sys (Dies ist ein sauberer Treiber, der für schädliche Zwecke eingesetzt werden kann.)
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-backdoor.sdbot.html

---------------------------------------------------------------

das beste hochladen und pruefen lassen

Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:Windows\System32\SVKP.sys

_________________________________________________________

««
IceSword - laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module darstellen
http://virus-protect.org/artikel/tools/icesword.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2006, 14:21
Member

Themenstarter

Beiträge: 15
#15 Das Ergebnis der Virenprüfung meiner SVKP.sys:

STATUS: FINISHEDComplete scanning result of "SVKP.sys", received in VirusTotal at 11.10.2006, 14:14:04 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.10.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.09.2006 no virus found
AVG 386 11.09.2006 no virus found
BitDefender 7.2 11.10.2006 no virus found
CAT-QuickHeal 8.00 11.10.2006 TrojanSpy.Joiner.av
ClamAV devel-20060426 11.10.2006 Trojan.PcClient-42

DrWeb 4.33 11.10.2006 no virus found
eTrust-InoculateIT 23.73.51 11.10.2006 no virus found
eTrust-Vet 30.3.3186 11.10.2006 no virus found
Ewido 4.0 11.10.2006 no virus found
Fortinet 2.82.0.0 11.10.2006 SPY/Joiner
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.09.2006 no virus found
Ikarus 0.2.65.0 11.09.2006 no virus found
Kaspersky 4.0.2.24 11.10.2006 no virus found
McAfee 4892 11.09.2006 no virus found
Microsoft 1.1609 11.10.2006 no virus found
NOD32v2 1861 11.10.2006 no virus found
Norman 5.80.02 11.10.2006 no virus found
Panda 9.0.0.4 11.09.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.116 11.09.2006 no virus found
UNA 1.83 11.09.2006 no virus found
VBA32 3.11.1 11.09.2006 no virus found
VirusBuster 4.3.15:9 11.09.2006 no virus found

Und nun?

MfG H.J. Klawuhn
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: