Home » Viren, Trojaner & Malware Forum » Hijackerthis nach dem Scannen von Droppern etc. » Themenansicht

Hijackerthis nach dem Scannen von Droppern etc.

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.12.2006, 12:53
Phong
Member

Beiträge: 17
#1 hallo bei mir kommen ständig meldungen von verschiedenen droppern
und trojanern. habe das programm hijackerthis gestartet und gescannt und dann
kam folgendes dabei raus:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Dokumente und Einstellungen\Phong Vo\winstall.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\1_99_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Phong Vo\winstall.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: ICQ 5.1.lnk = C:\Programme\ICQLite\ICQLite.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110027460785
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E5F2345-5B57-40A5-93E4-AFD714A06783}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pacific Image Comm. Fax Server - Unknown owner - C:\SUPERVOC\PROGRAM\PICPMON.EXE (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Nur jetzt weiss ich nicht mehr weiter.... Kann mir jemand bitte dabei helfen? LG
Seitenanfang Seitenende
07.12.2006, 12:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Phong

««
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
scanne und poste den scanreport
http://virus-protect.org/ewido.html

««
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2006, 14:48
Phong
Member

Themenstarter

Beiträge: 17
#3 danke für die hilfe erstmal^^
aber wo soll ich die logfiles hinposten?
hier in diesem thread einfach? da steht nämlich in einem forum posten....
Seitenanfang Seitenende
07.12.2006, 15:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 na ja, das Forum ist hier ;) Natuerlich will ich die Daten sehen, was soll diese Haar/Wort-spalterei ????
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2006, 18:41
Phong
Member

Themenstarter

Beiträge: 17
#5 ich habe das jetzt gemacht, aber habe jedesmal wo ein text ist einzeln kopiert!!
also die dateien die jetzt kommen sind alle nach der reihenfolge gemacht worden!

06-12-07 17:37:02.06 Service Pack 2
ComboFix 06.11.27W - Running from: "F:\"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\{28B4A5FA-0190-1031-0811-000905020031}
C:\Programme\Gemeinsame Dateien\{38B4A5FA-0190-1031-0811-000905020031}


((((((((((((((((((((((((((((((( Files Created from 2006-11-07 to 2006-12-07 ))))))))))))))))))))))))))))))))))


2006-12-07 15:39 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-07 15:39 <DIR> d-------- C:\Programme\Grisoft
2006-12-07 15:33 <DIR> dr-h----- C:\Dokumente und Einstellungen\Phong Vo\Recent
2006-12-07 15:28 <DIR> d-------- C:\Programme\CleanUp!
2006-12-07 12:38 <DIR> d-------- C:\Programme\Hijackthis
2006-12-03 01:48 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-12-03 01:48 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-12-03 01:47 <DIR> d-------- C:\Programme\Spyware Doctor
2006-12-03 01:47 <DIR> d-------- C:\Dokumente und Einstellungen\Phong Vo\Anwendungsdaten\PC Tools
2006-12-03 01:21 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-12-03 01:21 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2006-12-03 01:21 <DIR> d-------- C:\Programme\Zone Labs
2006-12-02 17:31 122,880 --a------ C:\WINDOWS\system32\winstall.exe
2006-12-02 12:23 122,880 --a------ C:\Dokumente und Einstellungen\Phong Vo\winstall.exe
2006-11-21 23:58 <DIR> d-------- C:\Programme\Lavalys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-07 17:38 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-07 15:36 -------- d-------- C:\Programme\OpenOffice.org1.1.4
2006-12-07 15:36 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-07 15:33 -------- d-------- C:\Dokumente und Einstellungen\Phong Vo\Anwendungsdaten\FRITZ!
2006-12-03 21:01 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-12-03 20:59 -------- d-------- C:\Programme\MSN Messenger
2006-11-26 17:26 -------- d-------- C:\Dokumente und Einstellungen\Phong Vo\Anwendungsdaten\Azureus
2006-11-19 03:02 -------- d-------- C:\Programme\Internet Explorer
2006-11-18 22:23 -------- d-------- C:\Programme\Java
2006-10-31 19:17 -------- d-------- C:\Programme\QIP
2006-10-24 20:48 -------- d-------- C:\Dokumente und Einstellungen\Phong Vo\Anwendungsdaten\Google
2006-10-22 16:42 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-22 16:42 -------- d-------- C:\Programme\Google
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-10 23:16 -------- d-------- C:\Programme\Azureus
2006-10-08 23:16 -------- d-------- C:\Programme\ICQLite
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\FRITZWLANMini.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"D-Link AirPlus G"="C:\\Programme\\D-Link\\AirPlus G\\AirGCFG.exe"
"ANIWZCS2Service"="C:\\Programme\\ANI\\ANIWZCS2 Service\\WZCSLDR2.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-12-07 17:42:44.18
C:\ComboFix.txt ... 06-12-07 17:42
C:\ComboFix2.txt ... 06-12-07 17:36

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 28B4-A5FA

Verzeichnis von C:\WINDOWS\system32

07.12.2006 15:21 54.112 vsconfig.xml
07.12.2006 15:19 34.933 ikhcore.log
03.12.2006 01:24 4.212 zllictbl.dat
02.12.2006 18:25 122.880 winstall.exe
02.12.2006 18:19 3.284 ANIWZCS{F00D8130-187D-4452-B8CF-83B227ED0999}
02.12.2006 15:10 122.880 winstall.ex0
02.12.2006 11:33 1.632 d3d8caps.dat
27.11.2006 15:39 2.206 wpa.dbl
18.11.2006 22:23 8.891 jupdate-1.5.0_09-b03.log
08.11.2006 02:38 10.342.824 MRT.exe
29.10.2006 12:41 380.350 perfh009.dat
29.10.2006 12:41 52.764 perfc009.dat
29.10.2006 12:41 391.000 perfh007.dat
29.10.2006 12:41 63.580 perfc007.dat
29.10.2006 12:41 897.954 PerfStringBackup.INI
28.10.2006 12:29 1.744 d3d9caps.dat
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 64.000 nwapi32.dll
13.10.2006 13:35 146.432 nwprovau.dll
13.10.2006 13:35 65.536 nwwks.dll
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
18.09.2006 15:21 34.064 lhacm.acm
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 1.056.256 danim.dll
14.09.2006 09:39 1.022.976 browseui.dll
14.09.2006 09:39 152.064 cdfview.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 28B4-A5FA

Verzeichnis von C:\DOKUME~1\PHONGV~1\LOKALE~1\Temp

07.12.2006 18:02 289 datFind.zip
07.12.2006 15:34 49.152 ~DFD36A.tmp
07.12.2006 15:09 54.784 installer.exe
3 Datei(en) 104.225 Bytes
0 Verzeichnis(se), 167.522.304 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 28B4-A5FA

Verzeichnis von C:\WINDOWS

07.12.2006 15:27 1.133.907 WindowsUpdate.log
07.12.2006 15:21 0 0.log
07.12.2006 15:19 2.048 bootstat.dat
07.12.2006 15:08 1.125 winamp.ini
07.12.2006 00:03 32.546 SchedLgU.Txt
06.12.2006 18:14 983.562 setupapi.log
03.12.2006 00:01 239 system.ini
03.12.2006 00:01 497 win.ini
02.12.2006 17:15 664.168 iis6.log
02.12.2006 17:15 203.910 comsetup.log
02.12.2006 17:15 124.188 ntdtcsetup.log
02.12.2006 17:15 275.029 tsoc.log
02.12.2006 17:15 29.864 tabletoc.log
02.12.2006 17:15 1.917 imsins.log
02.12.2006 17:15 32.730 ocmsn.log


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 28B4-A5FA

Verzeichnis von C:\WINDOWS\Temp

07.12.2006 15:20 256 ZLT00279.TMP
07.12.2006 15:20 256 ZLT0024e.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 167.510.016 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 28B4-A5FA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.06.2006 10:09 1.249 erma.inf
05.03.2005 13:35 65 desktop.ini
03.08.2004 14:51 293 wuweb.inf
3 Datei(en) 1.607 Bytes
0 Verzeichnis(se), 167.510.016 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 28B4-A5FA

Verzeichnis von C:\

07.12.2006 18:14 0 sys.txt
07.12.2006 18:13 382 down.txt
07.12.2006 18:12 320 tmp.txt
07.12.2006 18:10 10.663 system.txt
07.12.2006 18:09 388 systemtemp.txt
07.12.2006 18:03 98.223 system32.txt
07.12.2006 17:42 8.366 ComboFix.txt
07.12.2006 17:36 95 ComboFix2.txt
07.12.2006 16:31 466.616.320 pagefile.sys
07.12.2006 15:19 335.073.280 hiberfil.sys
03.12.2006 00:01 211 boot.ini
Seitenanfang Seitenende
07.12.2006, 23:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Phong

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein (in das schwarze DOS-Fenster: )

dir /s /a "c:\winstall*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2006, 20:21
Phong
Member

Themenstarter

Beiträge: 17
#7 Habe den schritt gemacht und das kam dabei raus:



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 28B4-A5FA

Verzeichnis von c:\Dokumente und Einstellungen\Phong Vo

02.12.2006 23:58 122.880 winstall.exe
1 Datei(en) 122.880 Bytes

Verzeichnis von c:\WINDOWS\system32

02.12.2006 15:10 122.880 winstall.ex0
02.12.2006 18:25 122.880 winstall.exe
2 Datei(en) 245.760 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 368.640 Bytes
0 Verzeichnis(se), 322.338.816 Bytes frei
Seitenanfang Seitenende
08.12.2006, 20:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\run|explorer

Files to delete:
C:\WINDOWS\system32\winstall.exe
C:\WINDOWS\system32\winstall.ex0
C:\Dokumente und Einstellungen\Phong Vo\winstall.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\installer.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb
__________________
««
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.12.2006, 10:38
Phong
Member

Themenstarter

Beiträge: 17
#9 Hier der Avenger Log:




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ulwfhlel

*******************

Script file located at: \??\C:\qjpebjmx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\winstall.exe deleted successfully.
File C:\WINDOWS\system32\winstall.ex0 deleted successfully.
File C:\Dokumente und Einstellungen\Phong Vo\winstall.exe deleted successfully.


Could not open file %Dokumente und Einstellungen%\Phong Vo\Lokale Einstellungen\Temp\installer.exe for deletion
Deletion of file %Dokumente und Einstellungen%\Phong Vo\Lokale Einstellungen\Temp\installer.exe failed!

Could not process line:
%Dokumente und Einstellungen%\Phong Vo\Lokale Einstellungen\Temp\installer.exe
Status: 0xc000003a



Could not delete registry value HKLM\software\microsoft\windows\currentversion\run|explorer
Deletion of registry value HKLM\software\microsoft\windows\currentversion\run|explorer failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.





Nach dem Scannen:


AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 10:26:42 09.12.2006

+ Scan-Ergebnis:



C:\System Volume Information\_restore{F43E5FF4-354A-4AEA-A190-9282D8CEFA8A}\RP168\A0126316.exe -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{F43E5FF4-354A-4AEA-A190-9282D8CEFA8A}\RP168\A0126326.exe -> Adware.PurityScan : Gesäubert.
C:\Dokumente und Einstellungen\Phong Vo\Cookies\phong vo@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Phong Vo\Cookies\phong vo@adserver.71i[1].txt -> TrackingCookie.71i : Gesäubert.
C:\Dokumente und Einstellungen\Phong Vo\Cookies\phong vo@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.


::Berichtende
Seitenanfang Seitenende
09.12.2006, 15:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 kopiere noch mal in den avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\installer.exe
poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 23:12
Phong
Member

Themenstarter

Beiträge: 17
#11 Hier der Avenger Log:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pggjwftp

*******************

Script file located at: \??\C:\Program Files\xypgjqhj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Phong Vo\Lokale Einstellungen\Temp\installer.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Phong Vo\Lokale Einstellungen\Temp\installer.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Phong Vo\Lokale Einstellungen\Temp\installer.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
10.12.2006, 23:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 scanne mit Panda und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2006, 15:41
Phong
Member

Themenstarter

Beiträge: 17
#13 Hallo Sabina,
wollte den Panda Scan starten, aber da ich das zum ersten mal starte,
muss ich das Active X Programm runterladen und dabei hat mein Anti Vir
Programm gemeldet das es Spuren von dem Windows-Virus enthält.
Was nun?
Seitenanfang Seitenende
12.12.2006, 15:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 akzeptiere den download, es ist ein bug vom antivirus, er haelt es fuer malware - ist es aber nicht
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2006, 21:06
Phong
Member

Themenstarter

Beiträge: 17
#15 Sabina, ist das normal das dieser Scan so lange dauert?
ich bin da schon fast 5 stunden dran....
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123