emails bei startup werden versendet

#0
19.11.2006, 12:29
...neu hier

Beiträge: 5
#1 Hallo an alle,
ich bin ein wenig verzweifelt. Hab seit 2 Tagen ein Problem mit meinem PC: immer wenn ich ihn hochfahre versucht er ca. 50 emails zu versenden. Mein Norton schiest sich immer ab. Hab schon versucht mit Spyware Doctor, Spybot S&D das problem zu lösen, aber es hat alles nix gebracht.
Könnt ihr mir irgendwie bitte helfen?
Ich poste hier mal noch das Reg file von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:29:28, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\services.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Spyware-Anti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [WinMedia] C:\msupd017201140.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146390313093
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Vielen dank schonmal im voraus!
Gruß obelix
Seitenanfang Seitenende
19.11.2006, 13:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2006, 14:20
...neu hier

Themenstarter

Beiträge: 5
#3 Ok, CleanUp hab ich drüber laufen lassen, hab aber Prefetch dateien auch löschen lassen, ist hoffentlich kein Problem!?
Hier hab ich die Log Files:
Combofix:
((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{B63FCD5A-2396-11D1-B762-00A0C90646A4}]
@=""

[HKEY_CLASSES_ROOT\clsid\{B63FCD5A-2396-11D1-B762-00A0C90646A4}\InprocServer32]
@="C:\\Programme\\CorelDraw8\\programs\\CMFFnd80.dll"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


Granting sedebugprivilege to Administratoren ... successful


((((((((((((((((((((((((((((((( Files Created from 2006-10-19 to 2006-11-19 ))))))))))))))))))))))))))))))))))


2006-11-19 01:18 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-11-19 01:18 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-11-19 01:13 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-11-19 01:13 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-11-19 01:13 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-11-17 00:15 3,584 -r-hs---- C:\msupd017201140.exe
2006-11-17 00:15 28,672 --a------ C:\msupd017238390.exe
2006-11-17 00:15 28,672 --a------ C:\msupd017206890.exe
2006-11-17 00:14 2,560 --a------ C:\36110103225.exe
2006-11-14 20:48 32,256 --a------ C:\msupd02.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-19 13:56 -------- d-------- C:\Programme\CleanUp!
2006-11-19 12:10 -------- d-------- C:\Programme\Executive Software
2006-11-19 12:10 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Leadertech
2006-11-19 01:50 -------- d-------- C:\Programme\Spyware Doctor
2006-11-19 01:18 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\PC Tools
2006-11-19 01:14 -------- d-------- C:\Programme\Defenza
2006-11-19 01:13 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-04 15:55 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Babylon
2006-11-04 14:12 -------- d---s---- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Microsoft
2006-11-04 13:59 -------- d-------- C:\Programme\Babylon
2006-10-13 23:11 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\MyPhoneExplorer
2006-10-09 16:17 -------- d-------- C:\Programme\MyPhoneExplorer
2006-10-08 12:37 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Adobe
2006-09-24 19:55 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Opera


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Gainward"="C:\\WINDOWS\\TBPanel.exe /A"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Babylon Client"="C:\\Programme\\Babylon\\Babylon-Pro\\Babylon.exe -AutoStart"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"=""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Corel MEDIA FOLDERS INDEXER 8.LNK"
"backup"="C:\\WINDOWS\\pss\\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\CORELD~1\\Programs\\MFINDE~1.EXE "
"item"="Corel MEDIA FOLDERS INDEXER 8"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Schneider^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Schneider\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Application Launcher"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="C:\\Programme\\Steam\\Steam.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HDAudPropShortcut"
"hkey"="HKLM"
"command"="HDAudPropShortcut.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zango"
"hkey"="HKLM"
"command"="\"c:\\programme\\zango\\zango.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SandraTheSrv"=dword:00000003
"SandraDataSrv"=dword:00000003
"IDriverT"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20061119-123534-618
O4 - Startup: PowerReg Scheduler.exe
backup-20061119-123534-701
O4 - HKCU\..\Run: [WinMedia] C:\msupd017201140.exe
backup-20061119-021104-803
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
backup-20051103-191041-147
O4 - HKLM\..\RunServices: [virtual-ie] winlogi.exe

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Schneider.job

Completion time: 06-11-19 14:05:38.04
C:\ComboFix.txt ... 06-11-19 14:05

DatFindBat: C.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2471-C0F4

Verzeichnis von C:\

19.11.2006 14:16 0 sys.txt
19.11.2006 14:16 511 down.txt
19.11.2006 14:15 117 tmp.txt
19.11.2006 14:15 9.658 system.txt
19.11.2006 14:14 783 systemtemp.txt
19.11.2006 14:14 95.747 system32.txt
19.11.2006 14:09 1.610.612.736 pagefile.sys
19.11.2006 14:07 12.026 ComboFix.txt
19.11.2006 02:03 211 boot.ini
17.11.2006 00:15 28.672 msupd017238390.exe
17.11.2006 00:15 28.672 msupd017206890.exe
17.11.2006 00:15 3.584 msupd017201140.exe
17.11.2006 00:14 2.560 36110103225.exe
14.11.2006 20:48 32.256 msupd02.exe

23.01.2006 10:13 90 CDSetup.log
23.01.2006 09:55 0 AUTOEXEC.BAT
23.01.2006 09:55 0 MSDOS.SYS
23.01.2006 09:55 0 CONFIG.SYS
23.01.2006 09:55 0 IO.SYS
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
22 Datei(en) 1.611.131.323 Bytes
0 Verzeichnis(se), 149.579.767.808 Bytes frei

Downd.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2471-C0F4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.09.2006 12:11 65 desktop.ini
27.03.2006 12:00 5.019 swflash.inf
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
03.11.2005 20:24 495 LegitCheckControl.inf
26.05.2005 03:19 291 wuweb.inf
5 Datei(en) 6.746 Bytes
0 Verzeichnis(se), 149.580.034.048 Bytes frei

System32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2471-C0F4

Verzeichnis von C:\WINDOWS\system32

19.11.2006 14:09 43.518 nvapps.xml
19.11.2006 14:09 38.208 ikhcore.log
19.11.2006 01:13 3.120 118290.54
06.11.2006 16:05 13.646 wpa.dbl
29.10.2006 11:45 380.350 perfh009.dat
29.10.2006 11:45 391.000 perfh007.dat
29.10.2006 11:45 52.764 perfc009.dat
29.10.2006 11:45 63.580 perfc007.dat
29.10.2006 11:45 897.954 PerfStringBackup.INI
09.10.2006 12:52 159.544 FNTCACHE.DAT
17.09.2006 12:16 288 $winnt$.inf
17.09.2006 12:13 16.832 amcompat.tlb
17.09.2006 12:13 23.392 nscompat.tlb
17.09.2006 12:11 488 WindowsLogon.manifest
17.09.2006 12:11 488 logonui.exe.manifest
17.09.2006 12:11 749 cdplayer.exe.manifest
17.09.2006 12:11 749 sapi.cpl.manifest
17.09.2006 12:11 749 ncpa.cpl.manifest
17.09.2006 12:11 749 nwc.cpl.manifest
17.09.2006 12:11 749 wuaucpl.cpl.manifest
17.09.2006 12:11 23.552 emptyregdb.dat
11.09.2006 18:37 8.960.936 MRT.exe
03.08.2006 16:34 466.944 capicom.dll

Systemtemp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2471-C0F4

Verzeichnis von C:\DOKUME~1\SCHNEI~1\LOKALE~1\Temp

19.11.2006 14:10 512 ~DF489E.tmp
19.11.2006 14:10 147.456 ~DF4803.tmp
19.11.2006 14:10 512 ~DF8DC3.tmp
19.11.2006 14:10 163.840 ~DF8D94.tmp
19.11.2006 14:10 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}1871.html
19.11.2006 14:10 16.384 ~DFFC73.tmp
19.11.2006 14:10 512 ~DFC0C7.tmp
19.11.2006 14:10 16.384 ~DFBF9F.tmp
12.11.2006 23:29 145 DFC5A2B2.TMP
30.07.2006 05:44 16.330.024 BIT3.tmp
10 Datei(en) 16.676.752 Bytes
0 Verzeichnis(se), 149.579.902.976 Bytes frei

temp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2471-C0F4

Verzeichnis von C:\WINDOWS\Temp


windows.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2471-C0F4

Verzeichnis von C:\WINDOWS

19.11.2006 14:10 549.572 WindowsUpdate.log
19.11.2006 14:10 0 0.log
19.11.2006 14:09 2.048 bootstat.dat
19.11.2006 14:08 32.496 SchedLgU.Txt
19.11.2006 13:57 513 DFC.INI
19.11.2006 02:03 227 system.ini
19.11.2006 02:03 594 win.tmp
19.11.2006 02:03 594 win.ini
19.11.2006 02:03 227 system.tmp
19.11.2006 01:13 3.120 118294.78
17.11.2006 00:00 449 wiadebug.log
16.11.2006 22:34 50 wiaservc.log
15.11.2006 22:11 331.869 setupapi.log
13.11.2006 20:15 163.998 wmsetup.log
04.11.2006 12:10 116 NeroDigital.ini
30.10.2006 11:46 0 mngui.INI
05.10.2006 11:00 12.862 EPISMG00.SWB
27.09.2006 20:35 33.993 LUINSTALL.LOG



Ich hoffe das passt so alles?!
Dieser Beitrag wurde am 19.11.2006 um 14:35 Uhr von obelix88 editiert.
Seitenanfang Seitenende
19.11.2006, 16:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\msupd017201140.exe
C:\msupd017238390.exe
C:\msupd017206890.exe
C:\36110103225.exe
C:\msupd02.exe
C:\WINDOWS\system32\winlogi.exe
C:\WINDOWS\system32\118290.54
C:\WINDOWS\118294.78
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das log vom avenger, was nach neustart erscheint

**
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2006, 23:55
...neu hier

Themenstarter

Beiträge: 5
#5 avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nxbdbjst

*******************

Script file located at: \??\C:\kbfxhfhs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\msupd017201140.exe deleted successfully.


File C:\msupd017238390.exe not found!
Deletion of file C:\msupd017238390.exe failed!

Could not process line:
C:\msupd017238390.exe
Status: 0xc0000034



File C:\msupd017206890.exe not found!
Deletion of file C:\msupd017206890.exe failed!

Could not process line:
C:\msupd017206890.exe
Status: 0xc0000034



File C:\36110103225.exe not found!
Deletion of file C:\36110103225.exe failed!

Could not process line:
C:\36110103225.exe
Status: 0xc0000034



File C:\msupd02.exe not found!
Deletion of file C:\msupd02.exe failed!

Could not process line:
C:\msupd02.exe
Status: 0xc0000034



File C:\WINDOWS\system32\winlogi.exe not found!
Deletion of file C:\WINDOWS\system32\winlogi.exe failed!

Could not process line:
C:\WINDOWS\system32\winlogi.exe
Status: 0xc0000034

File C:\WINDOWS\system32\118290.54 deleted successfully.
File C:\WINDOWS\118294.78 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Prüfpfad] C:\
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Schneider\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Schneider\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Temp\PERFLI~1.DAT - Lesefehler
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll - Lesefehler
C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0477NAV~.TMP - Lesefehler
C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0989NAV~.TMP - Lesefehler
>C:\RECYCLER\S-1-5-21-1659004503-1343024091-839522115-1004\Dc6.exe infiziert mit Trojan.Upload - gelöscht
>C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP42\A0006087.exe ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP45\A0008412.exe infiziert mit Trojan.DownLoader.14946 - gelöscht
>C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP45\A0008418.exe infiziert mit Trojan.Upload - gelöscht
C:\WINDOWS\SoftwareDistribution\EventCache\{E3BB0~1.BIN - Lesefehler
C:\WINDOWS\SoftwareDistribution\EventCache\{F4702~1.BIN - Lesefehler
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\software - Lesefehler
C:\WINDOWS\system32\config\software.LOG - Lesefehler
C:\WINDOWS\system32\config\system - Lesefehler
C:\WINDOWS\system32\config\system.LOG - Lesefehler

[Prüfpfad] F:\
F:\Christian\xampp\apache\bin\pv.exe ist ein Risk-Programm Program.PrcView.3725
F:\S45\Software\Passwort\Hacking- password revealer.exe ist ein Hacktool Tool.Snitch
F:\S45\Software\Passwort\Passwort Stealer.exe infiziert mit Trojan.Aimtor.101 - gelöscht
F:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP45\A0008419.exe infiziert mit Trojan.Aimtor.101 - gelöscht

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 127405
Infizierte Objekte gefunden: 5
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 1
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 5
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 375 Kb/s
Dauer:: 03:05:16
-----------------------------------------------------------------------------

C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP42\A0006087.exe - nicht desinfizierbar - verschoben
F:\Christian\xampp\apache\bin\pv.exe - nicht desinfizierbar - verschoben
F:\S45\Software\Passwort\Hacking- password revealer.exe - nicht desinfizierbar - verschoben

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 127732
Infizierte Objekte gefunden: 5
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 1
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 5
Umbenannte Objekte: 0
Verschobene Objekte: 3
Ignorierte Objekte: 0
Leistung:: 8 Kb/s
Dauer:: 03:05:28
=============================================================================

So, soweit hab ich bis jetzt alles gemacht. Der Trojaner ist auch nicht mehr offensichtlich, sprich es wird beim PC-Start nicht mehr versucht emails zu verschicken. Passt das jetzt alles wieder auf meinem PC?
Vielen vielen Dank schonmal für die Hilfe!
Gruß obelix
Seitenanfang Seitenende
20.11.2006, 10:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 0.
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

WinMedia

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

-------------------------------------------------------------------------

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
mache einen Onlinescan mit kaspersky und poste hier den scanreport (lasse auch die mails mitscannen)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 19:56
...neu hier

Themenstarter

Beiträge: 5
#7 No Instance of "WinMedia" found.

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 20. November 2006 17:40:10
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 20/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 229457
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 74173
Viren gefunden: 10
Infizierte Objekte gefunden: 28 / 0
Verdächtige Objekte gefunden: 12
Untersuchungszeit: 01:10:39

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Confid.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Content.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Privacy.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Restrict.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\WebHist.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\HPPAppActivity.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\HPPHomePageActivity.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2006-11-20_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\054D2075.tmp Infizierte Objekte: Trojan-Downloader.Win32.IstBar.er übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\228E4D54.tmp/ist1.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.is übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\228E4D54.tmp ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\228E4D54.tmp CryptFF: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\29962D00.tmp/data0003 Infizierte Objekte: Trojan-Clicker.Win32.VB.ku übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\29962D00.tmp NSIS: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\29962D00.tmp CryptFF: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\332A323A.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.lt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp NSIS: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp CryptFF: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp NSIS: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp CryptFF: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe NSIS: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe CryptFF: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.htm Infizierte Objekte: Trojan-Downloader.JS.IstBar.j übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp NSIS: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp CryptFF: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7046218A.wma Infizierte Objekte: Trojan-Downloader.WMA.Wimad.d übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\71790C38.wma Infizierte Objekte: Trojan-Downloader.WMA.Wimad.d übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Babylon\log_file.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Symantec\PendingAlertsQueue.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Schneider\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-11-20.13-43-25.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\Log\Spam.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBConfig.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDebug.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDetect.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBNotify.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBRefr.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetDev.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMNot.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMReg.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStHash.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStMSI.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBValid.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0635NAV~.TMP Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0789NAV~.TMP Das Objekt ist gesperrt übersprungen
C:\RECYCLER\S-1-5-21-1659004503-1343024091-839522115-1004\Dc7.exe Infizierte Objekte: Backdoor.Win32.Small.nk übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{E3BB00F4-886B-4200-98DB-646067CF8FC9}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{F4702C74-75A2-4784-B303-D0CCB825F616}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\spool\PRINTERS\FP00000.SHD Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\spool\PRINTERS\FP00000.SPL Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

sodala, wars das!
Seitenanfang Seitenende
20.11.2006, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger

Zitat

Files to delete:
C:\RECYCLER\S-1-5-21-1659004503-1343024091-839522115-1004\Dc7.exe
poste das log vom neustart, damit wie sehen, ob die datei wirklich geloescht wurde
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 09:25
...neu hier

Themenstarter

Beiträge: 5
#9 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vacuieoj

*******************

Script file located at: \??\C:\WINDOWS\system32\bojtmlor.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\RECYCLER\S-1-5-21-1659004503-1343024091-839522115-1004\Dc7.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
21.11.2006, 09:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende