Backdoorprogramm vollständig weg? Paranoia!

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.12.2006, 13:15
Member

Beiträge: 17
#1 Einen guten Tag!
Nun, dass ist mein erster Post und ich hoffe ich mach alles richtig soweit. Falls etwas unstimmig ist, fehlt, oder es schon beantwortet wurde, macht mich bitte darauf aufmerksam.

Folgendes Problem:
Durch einen dummen Zufall habe ich mir ddas Backdoorprogramm BDS/Ciadoor.13.B eingefangen. Eigentlich überprüfe ich sämtliche .exe immer mit antiVir, aber da ich das von nem Freund bekommen hab (der anscheinend keinen guten Virenscan besitzt) habe ich darauf verzichtet und die exe ausgeführt. Sofort meldete Anitivir 5x verschiedene Ausfürungen von dem Oben genannten programm. Ich hab alle löschen lassen. Dann hab ich noch mit Spybot eine Änderung in der Registry geblockt. Anschließened Spybot, Antivir und Ad-Aware vollständig alles durchscannen lassen. Antivir fand 6 Viren und löschte 5 (laut log). Ich hab danach noch einen Zweiten lauf gestartet wo nichts gefunden wurde.
Ich hab mich über das programm schlau gemacht und eigentlich sollten so fehlermeldungen kommen oderso, passiert ist nichts dergleichen. Auffälligkeiten an meinem PC fallen mir auch nicht auf...Bis jetzt sind mir auch keine Fehlenden Adminrechte aufgefallen.
Ich hab halt jetzt ein wenig Angst ins Netz zu gehen, wenn noch Rückstände von dem Programm auf meinem Rechner sein sollten.
Ich hoffe ihr könnt mir dabei helfen.

Wie ich es in den anderen Posts gesehen habe, poste ich mal die Log. Datei von hijackthis. Bei bedarf kann ich auch beide log-files von Antivir dazueditieren.

Logfile of HijackThis v1.99.1
Scan saved at 11:45:44, on 10.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Gamez\Valve\Steam\Steam.exe
C:\Programme\Opera\Opera.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] E:\Gamez\Valve\Steam\Steam.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - h**p://www.nutzwerk.de/control/NutzNavi.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Syntek DC-112X Service (StkSSrv) - Unknown owner - C:\WINDOWS.0\System32\StkSrv2K.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Bin für jede Hilfe dankbar!
mfg

/edit #2

Logfile 1:system32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C74-5D7A

Verzeichnis von C:\WINDOWS.0\system32

08.12.2006 15:56 2.206 wpa.dbl
06.12.2006 20:55 1.334.812 o9jlw1b6U1.ini
26.11.2006 13:10 113.376 FNTCACHE.DAT
21.11.2006 19:41 2.006 ealregsnapshot1.reg
16.11.2006 06:20 10.474.920 MRT.exe
09.11.2006 15:59 418.454 perfh009.dat
09.11.2006 15:59 82.672 perfc007.dat


Logfile2:systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C74-5D7A

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.12.2006 11:36 1.996 browserview-180dd54.htm
10.12.2006 11:35 15.312 browserview-180d984.htm
2 Datei(en) 17.308 Bytes
0 Verzeichnis(se), 8.760.631.296 Bytes frei

Logfile3:windows.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C74-5D7A

Verzeichnis von C:\WINDOWS.0

10.12.2006 11:21 1.530.442 WindowsUpdate.log
10.12.2006 11:15 0 0.log
10.12.2006 11:14 2.048 bootstat.dat
10.12.2006 02:20 21.682 SchedLgU.Txt
09.12.2006 16:12 7.699 ccscan6.ini
09.12.2006 16:10 649 cclean13.ini
09.12.2006 02:25 216 wiadebug.log
09.12.2006 00:21 50 wiaservc.log
08.12.2006 20:02 37.014 wmsetup.log
07.12.2006 17:45 116 NeroDigital.ini
05.12.2006 14:23 2.321 ie7_main.log
04.12.2006 14:32 258 game.ini
03.12.2006 19:39 95 winamp.ini
03.12.2006 19:38 439.549 setupapi.log


Logfile4:temp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C74-5D7A

Verzeichnis von C:\WINDOWS.0\Temp

Logefile5:down.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C74-5D7A

Verzeichnis von C:\WINDOWS.0\Downloaded Program Files

19.10.2006 17:35 65 desktop.ini
12.10.2006 04:07 896 jinstall-1_5_0_09.inf
21.07.2006 15:05 1.652.512 Rawflow.ocx
12.07.2006 09:00 75.520 NutzNavi.dll
22.06.2006 10:41 5.032 swflash.inf
16.06.2004 05:02 323.584 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
03.06.2002 17:53 144 QTPlugin.inf
9 Datei(en) 2.278.937 Bytes
0 Verzeichnis(se), 8.760.602.624 Bytes frei

Logefile5:c.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C74-5D7A

Verzeichnis von C:\

10.12.2006 11:40 0 sys.txt
10.12.2006 11:40 704 down.txt
10.12.2006 11:40 119 tmp.txt
10.12.2006 11:39 8.843 system.txt
10.12.2006 11:39 368 systemtemp.txt
10.12.2006 11:39 99.173 system32.txt
10.12.2006 11:14 1.610.612.736 pagefile.sys
09.12.2006 16:16 1.077 c.txt
08.12.2006 23:56 0 log.txt
20.10.2006 14:20 280 sqmdata00.sqm
20.10.2006 14:20 244 sqmnoopt00.sqm



hoffe jetzt stimmts.
Dieser Beitrag wurde am 10.12.2006 um 11:43 Uhr von Vael editiert.
Seitenanfang Seitenende
09.12.2006, 15:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Vael

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 11:34
Member

Themenstarter

Beiträge: 17
#3 Alles Erledigt wie aufgeführt.
Clean Up in der Einstellung drüberlaufen lassen.
LogFiles gepostet.
ComboFix Logfile auchnoch von nöten?
Dieser Beitrag wurde am 10.12.2006 um 11:49 Uhr von Vael editiert.
Seitenanfang Seitenende
10.12.2006, 12:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Start->Ausführen --> regedit

oben links - bearbeiten - suchen - eingeben: o9jlw1b6U1.ini

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
o9jlw1b6U1.ini
- loeschen
_______________________________________________________

2.
Killbox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"......

C:\WINDOWS.0\system32\o9jlw1b6U1.ini

PC neustarten

________________________________________________________________

**
scanne und poste den scanreport hier
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 14:38
Member

Themenstarter

Beiträge: 17
#5 Scannlog:

Spyware Scan Details
Start Date: 10.12.2006 13:39:42
End Date: 10.12.2006 14:36:27
Total Time: 56 mins 45 secs

Detected spyware

Infected files detected
c:\dokumente und einstellungen\all users\startmenü\programme\bearshare.lnk
F:\BearShare\BSidle.dll
F:\BearShare\Webstats.exe
F:\BearShare\Webstats.ini

Infected registry entries detected
HKEY_CLASSES_ROOT\gnufile
HKEY_CLASSES_ROOT\gnufile\shell\open\command "F:\BearShare\BearShare.exe" "%1"
HKEY_CLASSES_ROOT\gnufile gnutella
HKEY_CLASSES_ROOT\gnufile BrowserFlags 8
HKEY_CLASSES_ROOT\gnufile EditFlags 65536
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current F:\BearShare\sounds\notify.wav
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Version 5,2,5,1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} ComponentID BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} IsInstalled 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Locale EN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BearShare Changed 0


NewDotNet Browser Plug-in more information...
Details: New.Net is an Internet Explorer spyware/hijacker plug-in that adds subdomains of 'new.net' to your name resolution system (Windows Host file), resulting in what appear to be extra top-level domains (.shop, and so on) being resolvable.
Status: Deleted

Infected files detected
D:\Programme\NewDotNet\newdotnet6_38.dll
D:\Programme\NewDotNet\uninstall6_38.exe
D:\WINDOWS\NDNuninstall6_38.exe


InstaFinder Hijacker more information...
Details: InstaFinder is an Internet Explorer Browser Helper search hijacker.
Status: Deleted

Infected files detected
D:\WINDOWS\system32\InstaFinder_inst245.exe


AdwareSheriff Adware (General) more information...
Details: AdwareSheriff is a purported anti-spyware application to scan for and remove spyware from users' computers.
Status: Deleted

Infected files detected
E:\Gamez\WoW-Save\Addons\VFL\Skin\beep3.wav


AntiLeech Plugin Adware (General) more information...
Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software.
Status: Deleted

Infected files detected
E:\WAREZ\Internet toolz\Leech\ALPlugin-1.0.1.6-setup.exe


Desktop Links Adware (General) more information...
Details: Desktop Links consists of various links and shortcuts placed on the desktop by adware and spyware programs. It includes folders and links placed in Internet Explorer's favorites list.
Status: Deleted

Infected files detected
E:\WAREZ\Morpheus\Get 250 Dollars Free- Golden Tiger Casino.ico


WhenU.Save Adware (General) more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Deleted

Infected files detected
F:\BearShare\RunMSC.dll


Backdoor.Rbot.steam Backdoor more information...
Details: Rbot is the name of a family of backdoor trojans, also known as worms, used by hackers to control a machine without the owner's knowledge.
Status: Deleted

Infected files detected
F:\russeneinssechs\Valve\platform\steam_dev.exe


Backdoor.Win32.Rbot.adf Backdoor more information...
Details: Rbot is the name of a family of backdoor trojans, also known as worms, used by hackers to control a machine without the owner's knowledge.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


Backdoor.SdBot.aad Backdoor more information...
Details: SdBot is the name of a family of trojans, also known as backdoors or worms, used by hackers to control a machine without the owner's knowledge.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


Backdoor.Win32.IRCBot.az Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


Backdoor.Win32.EggDrop.v Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


Backdoor.Win32.Agobot.zo Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


Backdoor.Win32.Rbot.bis Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


Trojan-Downloader.Win32.Banload.bkm Trojan Downloader more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations


Backdoor.Win32.Rbot.bjm Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


Backdoor.Win32.Rbot.aeu Backdoor more information...
Details: Rbot is the name of a family of backdoor trojans, also known as worms, used by hackers to control a machine without the owner's knowledge.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE


W32.IRCBot Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\OLE
Seitenanfang Seitenende
10.12.2006, 14:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Vael

««
LSPfix
http://www.spychecker.com/program/lspfix.html
- hake an: "I know what Im doing" -- Remove
- und loesche die newdotnet6_38.dll - falls sie vorhanden ist ....(eventuell musst du die dll von links nach rechts bringen) + Remove

«
F:\BearShare - loeschen/deinstallieren

»»
scanne mit dr.web und berichte
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 21:43
Member

Themenstarter

Beiträge: 17
#7 LSPFix hat die Datei newdotnet6_38.dll nicht gefunden/angezeigt

Bearshare war nach meiner Systemneuaufsetzung (etwa 2 Monate her) noch drauf, ich hab den Ordner entfernt.

Dr. Web Log reiche ich morgen nach, da das scannen aller Partitionen min. 4-6h braucht.
Seitenanfang Seitenende
10.12.2006, 22:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 gut, poste dann den scanreport, wenn du ihn hast ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.12.2006, 14:04
Member

Themenstarter

Beiträge: 17
#9 Also. Ich habe 2 Suchläufe mit Dr. Web durchgeführt. Den ersten musste ich wegen Zeitmangels abbrechen, den Zweiten hab ich komplett durchlaufen lassen. Ich hab die LOG. Dateien Getrennt.

Außerdem habe ich mir erlaubt (Affektreaktion) den Quarantäneordner des ersten Durchlaufes mit Tune UP Shredder zu löschen. Ich hoffe das war kein Fehler.

Den Quarantäneordner des zweiten Durchlaufes hab ich noch auf der Platte.
Hier das Scan Log (Ich hoffe es ist vollständig): (im anhang)

Anhang: CureIt1.txt
Dieser Beitrag wurde am 11.12.2006 um 14:19 Uhr von Vael editiert.
Seitenanfang Seitenende
11.12.2006, 14:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Folders to delete:
D:\Dokumente und Einstellungen\Default User\fL!PpY\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R71NZHCW
D:\Programme\QuickSearch
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter d:\Avenger\backup.zip + leere den Papierkorb

**
dann sollte wieder alles i.o. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.12.2006, 14:26
Member

Themenstarter

Beiträge: 17
#11 So:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\okkafnpr

*******************

Script file located at: \??\C:\dewqcbce.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder D:\Dokumente und Einstellungen\Default User\fL!PpY\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R71NZHCW deleted successfully.
Folder D:\Programme\QuickSearch deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ich hoffe jetzt hat der Spuk ein Ende und ich danke vielmals für die Hilfe!

Eine letzte Frage:
Mein PC ist an einem Router angeschlossen, der die Internetverbindung an einen weiteren Computer leitet. Ist es möglich, dass sich das Programm dortin ausgebreitet hat?

mfg & THX!
Dieser Beitrag wurde am 11.12.2006 um 14:42 Uhr von Vael editiert.
Seitenanfang Seitenende
11.12.2006, 15:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 keine ahnung, dazu muesste ich die logs vom anderen Rechner sehen...........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.12.2006, 15:23
Member

Themenstarter

Beiträge: 17
#13 okay. Dann würde ich
das Hijack this Log
und die 6 Datfind Logs noch einmal zur sicherheit posten.
Danke.
Seitenanfang Seitenende
11.12.2006, 15:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ja, kannst du machen ;) .............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.12.2006, 15:47
Member

Themenstarter

Beiträge: 17
#15 Also die Logs vom anderen PC sehen folgendermaßen aus:

Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 15:34:12, on 11.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Palms\Desktop\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tauchenundfreizeit.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [vgt] "C:\DOKUME~1\Palms\LOKALE~1\Temp\vgt.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: eBay Powersuche - h**p://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - h**p://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - h**p://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Log 1: system32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EB-8E37

Verzeichnis von C:\WINDOWS\system32

11.12.2006 15:41 2.206 wpa.dbl
16.11.2006 06:20 10.474.920 MRT.exe
29.10.2006 14:25 316.594 perfh007.dat
29.10.2006 14:25 39.992 perfc009.dat
29.10.2006 14:25 311.604 perfh009.dat
29.10.2006 14:25 48.156 perfc007.dat
29.10.2006 14:25 723.744 PerfStringBackup.INI
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 65.536 nwwks.dll
13.10.2006 13:35 146.432 nwprovau.dll
13.10.2006 13:35 64.000 nwapi32.dll
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 152.064 cdfview.dll
14.09.2006 09:39 1.022.976 browseui.dll
14.09.2006 09:39 1.056.256 danim.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll

Log 2: systemtemp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EB-8E37

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

11.12.2006 15:41 352 STS33F.tmp
11.12.2006 15:41 1.285 MAR33C.tmp
11.12.2006 15:41 1.342 MAR33B.tmp
11.12.2006 15:41 604.110 hpodvd09.log
4 Datei(en) 607.089 Bytes
0 Verzeichnis(se), 73.911.582.720 Bytes frei

Log 3: windows
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EB-8E37

Verzeichnis von C:\WINDOWS

11.12.2006 15:37 2.005.388 WindowsUpdate.log
11.12.2006 15:30 0 0.log
11.12.2006 15:29 2.048 bootstat.dat
11.12.2006 00:54 32.520 SchedLgU.Txt
23.11.2006 21:55 73.731 setupapi.log
18.11.2006 23:44 710.582 iis6.log
18.11.2006 23:44 211.091 comsetup.log
18.11.2006 23:44 127.153 ntdtcsetup.log
18.11.2006 23:44 1.393 imsins.log
18.11.2006 23:44 280.703 tsoc.log
18.11.2006 23:44 33.756 ocmsn.log
18.11.2006 23:44 29.673 tabletoc.log
18.11.2006 23:44 15.530 KB923980.log
18.11.2006 23:44 298.435 ocgen.log
18.11.2006 23:44 42.827 medctroc.Log
18.11.2006 23:44 103.193 netfxocm.log
18.11.2006 23:44 30.435 msgsocm.log
18.11.2006 23:44 597.544 FaxSetup.log
18.11.2006 23:44 195.236 msmqinst.log
18.11.2006 23:44 1.393 imsins.BAK
18.11.2006 23:44 15.198 KB924270.log
18.11.2006 23:44 36.076 updspapi.log
18.11.2006 23:43 14.745 KB920213.log
18.11.2006 23:43 17.365 KB922760.log
13.10.2006 19:02 12.448 KB924191.log
13.10.2006 19:02 12.267 KB922819.log
13.10.2006 19:02 11.429 KB923414.log
13.10.2006 19:02 11.431 KB924496.log
13.10.2006 19:01 8.805 KB923191.log
27.09.2006 19:00 11.408 KB925486.log
13.09.2006 22:21 12.001 KB920685.log
13.09.2006 22:21 13.782 KB920872.log
13.09.2006 22:20 12.153 KB919007.log
13.09.2006 22:20 8.410 KB922582.log
12.09.2006 23:06 216 wiadebug.log
12.09.2006 18:07 50 wiaservc.log

Log 4: temp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EB-8E37

Verzeichnis von C:\WINDOWS\Temp

11.12.2006 15:41 409 WGANotify.settings
11.12.2006 15:41 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 73.911.554.048 Bytes frei

Log 5: down
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EB-8E37

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.09.2004 18:43 65 desktop.ini
22.08.2003 20:10 226 opuc.inf
2 Datei(en) 291 Bytes
0 Verzeichnis(se), 73.911.554.048 Bytes frei

Log 6: c
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EB-8E37

Verzeichnis von C:\

11.12.2006 15:43 0 sys.txt
11.12.2006 15:43 342 down.txt
11.12.2006 15:43 334 tmp.txt
11.12.2006 15:43 10.346 system.txt
11.12.2006 15:43 437 systemtemp.txt
11.12.2006 15:42 99.798 system32.txt
11.12.2006 15:29 352.321.536 pagefile.sys
27.09.2004 20:55 211 boot.ini
27.09.2004 20:49 47.564 NTDETECT.COM
27.09.2004 20:49 251.184 ntldr
27.09.2004 20:16 429 TO_InstallLog.txt
27.09.2004 18:44 0 IO.SYS
27.09.2004 18:44 0 MSDOS.SYS
27.09.2004 18:44 0 AUTOEXEC.BAT
27.09.2004 18:44 0 CONFIG.SYS
23.08.2001 13:00 4.952 bootfont.bin
16 Datei(en) 352.737.133 Bytes
0 Verzeichnis(se), 73.911.549.952 Bytes frei

Ich hoffe ma, dass er sauber ist :p
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: