Home » Viren, Trojaner & Malware Forum » anti-vermins verseucht » Themenansicht

anti-vermins verseucht
#0
01.01.2007, 18:08
MasterET
Member
Avatar MasterET

Beiträge: 28
#1 Hallo!

Mein PC ist total im eimer seitdem ich diesen "anti-vermins" Virus oben habe.
Ich habe gelesen, dass der anti-vermins ein Virus ist und dass ihr schon mal einem anderen opfer geholfen habt.
Ich würde auch hilfe brauchen.

Logfile of HijackThis v1.99.1
Scan saved at 18:06:42, on 01.01.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Mein Hijackthis Report und unten ist auch der combofix report
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\symantec\liveupdate\aluschedulersvc.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
c:\programme\ati technologies\ati.ace\cli.exe
c:\programme\gemeinsame dateien\symantec shared\ccapp.exe
c:\windows\system32\ctfmon.exe
c:\progra~1\lavasoft\ad-awa~1\ad-watch.exe
c:\programme\eisfeld datentechnik\posterjet 7 server hosting\eisfeld.posterjet.server.hosting.ui.exe
c:\programme\scanwizard 5\scannerfinder.exe
c:\programme\ati technologies\ati.ace\cli.exe
c:\programme\ati technologies\ati.ace\cli.exe
c:\programme\internet explorer\iexplore.exe
c:\windows\system32\notepad.exe
c:\dokumente und einstellungen\neuhold1\desktop\etienne test\hijackthis\hijackthis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {E70783C2-5BC0-4535-B131-0A806CC3E4BD} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PosterJet Server Hosting.lnk = C:\Programme\Eisfeld Datentechnik\PosterJet 7 Server Hosting\Eisfeld.PosterJet.Server.Hosting.UI.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140239793343
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://213.47.105.90//activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E38CE85-D4E9-4C2E-A311-5B98605F728B}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - c:\programme\symantec\liveupdate\aluschedulersvc.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - c:\progra~1\symantec\liveup~1\lucoms~1.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe




Neuhold1 - 07-01-01 18:03:19,40 Service Pack 2, v.2096
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Neuhold1\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-12-01 to 2007-01-01 ))))))))))))))))))))))))))))))))))


2007-01-01 16:33 90,112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-01-01 16:33 87,424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-01-01 16:33 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-01-01 16:33 666,240 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-01-01 16:33 36,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-01-01 16:33 24,560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-01-01 16:33 16,352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-12-28 18:17 <DIR> d-------- C:\Programme\Alwil Software
2006-12-22 18:53 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2006-12-22 18:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2006-12-22 18:47 20,480 --a------ C:\WINDOWS\system32\ixt1.dll
2006-12-22 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Neuhold1\Anwendungsdaten\HP
2006-12-22 18:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2006-12-22 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2006-12-22 18:32 <DIR> d-------- C:\Programme\Hewlett-Packard
2006-12-22 18:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2006-12-22 18:28 20,992 --a------ C:\WINDOWS\system32\vwfps.dll
2006-12-22 18:20 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2006-12-22 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2006-12-22 18:02 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2006-12-22 18:02 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2006-12-22 18:01 77,824 -ra------ C:\WINDOWS\system32\hpzids01.dll
2006-12-22 18:01 48,128 --a------ C:\WINDOWS\system32\hpz3l4pi.dll
2006-12-22 18:00 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2006-12-22 18:00 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2006-12-22 18:00 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe
2006-12-22 18:00 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2006-12-22 18:00 282,680 --a------ C:\WINDOWS\system32\HPZidr12.dll
2006-12-22 18:00 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2006-12-22 17:59 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2006-12-22 17:59 <DIR> d--h----- C:\Config.Msi
2006-12-22 17:59 <DIR> d-------- C:\Programme\HP
2006-12-13 09:25 <DIR> d-------- C:\Dokumente und Einstellungen\Neuhold1\Anwendungsdaten\dvdcss
2006-12-12 14:21 <DIR> d-------- C:\Musiktemp
2006-12-09 17:02 <DIR> d-------- C:\Programme\Games


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-01 17:59 -------- d-------- C:\Dokumente und Einstellungen\Neuhold1\Anwendungsdaten\U3
2006-12-28 18:16 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-12-28 18:16 -------- d-------- C:\Dokumente und Einstellungen\Neuhold1\Anwendungsdaten\Symantec
2006-12-28 18:15 -------- d-------- C:\Programme\Symantec
2006-12-28 18:14 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-18 11:30 -------- d-------- C:\Programme\ScanWizard 5
2006-12-16 10:46 -------- d-------- C:\Dokumente und Einstellungen\Neuhold1\Anwendungsdaten\Adobe
2006-12-09 15:00 -------- d---s---- C:\Dokumente und Einstellungen\Neuhold1\Anwendungsdaten\Microsoft
2006-11-30 19:32 -------- d-------- C:\Dokumente und Einstellungen\Neuhold1\Anwendungsdaten\AdobeUM
2006-11-03 11:05 -------- d-------- C:\Programme\Outlook Express
2006-10-13 08:31 6656 --a------ C:\WINDOWS\system32\haspvdd.dll
2006-10-13 08:31 383 --a------ C:\WINDOWS\system32\haspdos.sys
2006-10-13 08:31 304640 --a------ C:\WINDOWS\system32\hlvdd.dll
2006-10-09 17:09 126976 --a------ C:\zip.exe
2006-10-09 17:09 1080 --a------ C:\jprfhmym.bat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"AWMON"="\"C:\\PROGRA~1\\Lavasoft\\AD-AWA~1\\Ad-Watch.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"NWEReboot"=""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,56,01,00,00,00,00,00,00,ca,01,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,56,01,00,00,00,00,00,00,ca,01,00,00,3a,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{951a98d0-dad6-4a77-8280-a494279a884b}"="beeper"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:0000005f

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Photosmart Premier – Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HP Photosmart Premier – Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Photosmart Premier – Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqthb08.exe -s"
"item"="HP Photosmart Premier – Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rxx5ot.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rxx6ot.sys
Completion time: 07-01-01 18:03:47.09
C:\ComboFix.txt ... 07-01-01 18:03



lg
ET
__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Seitenanfang Seitenende
01.01.2007, 19:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 MasterET

auf dem rechner ist ein Haxdoor-Trojaner
O20 - Winlogon Notify: rxx5ot - C:\WINDOWS\SYSTEM32\rxx5ot.dll
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rxx5ot.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rxx6ot.sys

««
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste das log hier

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 16:37
MasterET
Member

Themenstarter
Avatar MasterET

Beiträge: 28
#3 Hallo Sabina!

Ich war gestern nicht mehr im Büro und hab erst später deine Nachricht gelesen.
Anbei der Blacklightlog

01/02/07 16:28:41 [Info]: BlackLight Engine 1.0.55 initialized
01/02/07 16:28:41 [Info]: OS: 5.1 build 2600 (Service Pack 2, v.2096)
01/02/07 16:28:41 [Note]: 7019 4
01/02/07 16:28:41 [Note]: 7005 0
01/02/07 16:28:42 [Note]: 7006 0
01/02/07 16:28:42 [Note]: 7011 1376
01/02/07 16:28:42 [Note]: 7026 0
01/02/07 16:28:42 [Note]: 7026 0
01/02/07 16:28:45 [Note]: FSRAW library version 1.7.1021
01/02/07 16:30:27 [Note]: 2000 1012
01/02/07 16:30:27 [Note]: 7007 0

und der Datfind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78B4-1732

Verzeichnis von C:\WINDOWS\system32

01.01.2007 17:45 282 zapracs.ocx
01.01.2007 16:33 3.046 CONFIG.NT
01.01.2007 16:23 2.206 wpa.dbl
22.12.2006 18:47 20.480 ixt1.dll
22.12.2006 18:41 196.960 FNTCACHE.DAT
22.12.2006 18:28 20.992 vwfps.dll
22.12.2006 18:28 4.286 ot.ico
30.10.2006 14:48 380.350 perfh009.dat
30.10.2006 14:48 52.764 perfc009.dat
30.10.2006 14:48 391.000 perfh007.dat
30.10.2006 14:48 63.580 perfc007.dat
30.10.2006 14:48 897.954 PerfStringBackup.INI
13.10.2006 08:31 304.640 hlvdd.dll
13.10.2006 08:31 383 haspdos.sys
13.10.2006 08:31 6.656 haspvdd.dll
09.10.2006 20:06 2.953 config.hsp
09.10.2006 17:44 74 ObjHelpr32.txt
25.09.2006 17:45 666.240 aswBoot.exe
25.09.2006 17:37 90.112 AVASTSS.scr
04.09.2006 06:55 16 idname.sig
04.09.2006 06:55 1.049.088 kernel32.dll
04.09.2006 06:55 656.384 wininet.dll
03.08.2006 16:34 466.944 capicom.dll
13.06.2006 09:35 425.984 PJ7_Core.dll
03.06.2006 21:29 48.128 hpz3l4pi.dll

Danke für deine Hilfe,
lg
Etienne
__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Seitenanfang Seitenende
02.01.2007, 17:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 datfindbat hat 6 textdateien , nicht nur eine ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 17:23
MasterET
Member

Themenstarter
Avatar MasterET

Beiträge: 28
#5 Ups :-)

Hier ist alles :-)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78B4-1732

Verzeichnis von C:\WINDOWS\system32

01.01.2007 17:45 282 zapracs.ocx
01.01.2007 16:33 3.046 CONFIG.NT
01.01.2007 16:23 2.206 wpa.dbl
22.12.2006 18:47 20.480 ixt1.dll
22.12.2006 18:41 196.960 FNTCACHE.DAT
22.12.2006 18:28 20.992 vwfps.dll
22.12.2006 18:28 4.286 ot.ico
30.10.2006 14:48 380.350 perfh009.dat
30.10.2006 14:48 52.764 perfc009.dat
30.10.2006 14:48 391.000 perfh007.dat
30.10.2006 14:48 63.580 perfc007.dat
30.10.2006 14:48 897.954 PerfStringBackup.INI
13.10.2006 08:31 304.640 hlvdd.dll
13.10.2006 08:31 383 haspdos.sys
13.10.2006 08:31 6.656 haspvdd.dll
09.10.2006 20:06 2.953 config.hsp
09.10.2006 17:44 74 ObjHelpr32.txt
25.09.2006 17:45 666.240 aswBoot.exe
25.09.2006 17:37 90.112 AVASTSS.scr
04.09.2006 06:55 16 idname.sig
04.09.2006 06:55 1.049.088 kernel32.dll
04.09.2006 06:55 656.384 wininet.dll
03.08.2006 16:34 466.944 capicom.dll
13.06.2006 09:35 425.984 PJ7_Core.dll
03.06.2006 21:29 48.128 hpz3l4pi.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78B4-1732

Verzeichnis von C:\DOKUME~1\Neuhold1\LOKALE~1\Temp

02.01.2007 10:37 16.384 Perflib_Perfdata_bc0.dat
02.01.2007 10:36 16.384 Perflib_Perfdata_bb4.dat
02.01.2007 10:36 16.384 Perflib_Perfdata_910.dat
02.01.2007 10:36 16.384 Perflib_Perfdata_95c.dat
4 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 50.737.905.664 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78B4-1732

Verzeichnis von C:\WINDOWS

02.01.2007 10:36 0 0.log
02.01.2007 10:36 157 wiadebug.log
02.01.2007 10:36 539 win.ini
02.01.2007 10:36 50 wiaservc.log
02.01.2007 10:36 2.048 bootstat.dat
01.01.2007 18:37 32.634 SchedLgU.Txt
01.01.2007 18:00 834.698 setupapi.log
01.01.2007 16:57 112.793 WindowsUpdate.log
01.01.2007 16:28 227 system.ini
28.12.2006 18:15 1.454 LUINSTALL.LOG
22.12.2006 18:37 136.166 HPHins12.dat
22.12.2006 18:35 68.579 wmsetup.log
22.12.2006 18:35 316.640 WMSysPr9.prx
20.12.2006 09:33 116 NeroDigital.ini
18.12.2006 11:30 35 Ulead32.INI
13.10.2006 08:32 1.894 aksdrvsetup.log
13.10.2006 08:25 2.908 COM+.log
12.06.2006 19:31 14.916 hphmdl12.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78B4-1732

Verzeichnis von C:\WINDOWS\Temp

02.01.2007 10:36 16.384 Perflib_Perfdata_750.dat
02.01.2007 10:36 16.384 Perflib_Perfdata_7a8.dat
01.01.2007 17:30 16.384 Perflib_Perfdata_74c.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 50.737.905.664 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78B4-1732

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.01.2006 11:14 65 desktop.ini
27.08.2005 13:30 5.065 swflash.inf
26.05.2005 04:19 291 wuweb.inf
15.12.2003 14:28 248 setup.inf
4 Datei(en) 5.669 Bytes
0 Verzeichnis(se), 50.737.905.664 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78B4-1732

Verzeichnis von C:\

02.01.2007 17:22 0 sys.txt
02.01.2007 17:22 439 down.txt
02.01.2007 17:22 413 tmp.txt
02.01.2007 17:21 5.056 system.txt
02.01.2007 17:21 494 systemtemp.txt
02.01.2007 17:20 96.075 system32.txt
02.01.2007 10:36 1.073.270.784 hiberfil.sys
02.01.2007 10:36 2.147.483.648 pagefile.sys
01.01.2007 18:03 9.899 ComboFix.txt
01.01.2007 16:28 194 boot.ini
09.10.2006 17:10 1.432 avenger.txt
09.10.2006 17:09 1.080 jprfhmym.bat
09.10.2006 17:09 126.976 zip.exe
08.01.2006 11:15 0 CONFIG.SYS
08.01.2006 11:15 0 IO.SYS
08.01.2006 11:15 0 MSDOS.SYS
08.01.2006 11:15 0 AUTOEXEC.BAT


http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID=58616
* Download an executable to %System%\loadupd.jpg from dedmoroz.8866.org and execute it.
* Update the configuration file %System32%\ObjHelpr32.txt from a URL specified by the response.
* Download additional DLL files and register them as ActiveX controls.
* Create the file %System%\zapracs.ocx. This file contains a list of URLs that are checked against the URL specified in the “InternetCrackUrlA” calling argument. If a match is found, the URLs specified in zapracs.ocx will be inaccessible on affected machines.

The trojan downloads a DLL from dedmazay.3322.org, saves it to %System%\ObjHelpr32.dll and registers the file as an ActiveX control and as a BHO (Browser Helper Object). At the time of publication, the file downloaded is a Win32/Bankash variant (a family of trojans that attempt to steal Internet banking details). The trojan also downloads a configuration file to %System32%\ObjHelpr32.txt. This file contains a CLSID string (used for registering %System%\ObjHelpr32.dll as a BHO) and a URL to check for an updated version of the DLL.

The trojan then checks the URL contained in the configuration file (%System32%\ObjHelpr32.txt) for updated versions of the DLL and matching configuration file. It saves the updated DLL to %System%\helpupd.dll, which is then renamed to %System%\ObjHelpr32.dll. The trojan may force the system to reboot after twenty-four hours to ensure that the updated version is loaded.

%System%\Hasp3_1.sys



«
__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Seitenanfang Seitenende
02.01.2007, 17:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

rxx5ot

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 17:43
MasterET
Member

Themenstarter
Avatar MasterET

Beiträge: 28
#7 Den Zugang auf den ServiceFilter hat er mir verweigert und lässt mich die Datei nicht öffnen. KOmisch, kann das dieser Trojaner gesperrt haben?


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 02.01.2007 17:40:37 for strings:
; 'rxx5ot'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\rxx5ot.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rxx5ot.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\rxx5ot.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\rxx5ot.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rxx5ot.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rxx5ot.sys]

; End Of The Log...
__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Seitenanfang Seitenende
02.01.2007, 17:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________

««
rechtsklick auf diese datei - oeffnen mit dem texteditor, kopiere ab, was du findest

C:\WINDOWS\system32\zapracs.ocx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 17:47
MasterET
Member

Themenstarter
Avatar MasterET

Beiträge: 28
#9 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /images/personal.php was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.33 Server at 66.36.229.78 Port 80</ADDRESS>
</BODY></HTML>
__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Seitenanfang Seitenende
02.01.2007, 17:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 17:53
MasterET
Member

Themenstarter
Avatar MasterET

Beiträge: 28
#11 Hallo Sabina,

Der Computer lässt mich nicht öffnen :-(

Anhang: Geht leider nicht (Large).JPG

__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Seitenanfang Seitenende
02.01.2007, 17:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 unten rechts: Problem: Windows Script Host
http://virus-protect.org/silentrunner.html
abarbeiten, rechner neustarten und dann noch mal versuchen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 18:06
MasterET
Member

Themenstarter
Avatar MasterET

Beiträge: 28
#13 Ich kann leider keine Script Files öffnen,
wie kann ich das wieder einstellen, buw umgehen?
__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Seitenanfang Seitenende
02.01.2007, 18:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 http://virus-protect.org/artikel/tools/icesword.html

1.
Windows-Services - abkopieren (siehe: Log)

2.
FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht
- poste, was gefunden wird
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 18:29
MasterET
Member

Themenstarter
Avatar MasterET

Beiträge: 28
#15 Ich kann die leider nicht ganz folgen

Ich habe einen Log von Windows services gemacht

weiß aber nicht was ich mitn Dos-Fenster machen soll

Wenn ich im Dosfenster search eingebe, dann schreibt er nur folgenes:

Hidden file: \System Volume Information\tracking.log



Started Service:

Service Name:aswUpdSv Display Name:avast! iAVS4 Control Service
Service Name:Ati HotKey Poller Display Name:Ati HotKey Poller
Service Name:AudioSrv Display Name:Windows Audio
Service Name:Automatisches LiveUpdate - Scheduler Display Name:Automatisches LiveUpdate - Scheduler
Service Name:avast! Antivirus Display Name:avast! Antivirus
Service Name:avast! Mail Scanner Display Name:avast! Mail Scanner
Service Name:avast! Web Scanner Display Name:avast! Web Scanner
Service Name:ccEvtMgr Display Name:Symantec Event Manager
Service Name:ccSetMgr Display Name:Symantec Settings Manager
Service Name:CryptSvc Display Name:Kryptografiedienste
Service Name;)comLaunch Display Name;)COM-Server-Prozessstart
Service Name;)hcp Display Name;)HCP-Client
Service Name:dmserver Display Name:Verwaltung logischer Datenträger
Service Name;)nscache Display Name;)NS-Client
Service Name:Eventlog Display Name:Ereignisprotokoll
Service Name:EventSystem Display Name:COM+-Ereignissystem
Service Name:GEARSecurity Display Name:GEARSecurity
Service Name:helpsvc Display Name:Hilfe und Support
Service Name:InCDsrv Display Name:InCD Helper
Service Name:lanmanserver Display Name:Server
Service Name:LightScribeService Display Name:LightScribeService Direct Disc Labeling Service
Service Name:LmHosts Display Name:TCP/IP-NetBIOS-Hilfsprogramm
Service Name:Netman Display Name:Netzwerkverbindungen
Service Name:Nla Display Name:NLA (Network Location Awareness)
Service Name:Norton Ghost Display Name:Norton Ghost
Service Name:plugPlay Display Name:plug & Play
Service Name:pml Driver HPZ12 Display Name:pml Driver HPZ12
Service Name:protectedStorage Display Name:Geschützter Speicher
Service Name:RasMan Display Name:RAS-Verbindungsverwaltung
Service Name:RemoteRegistry Display Name:Remote-Registrierung
Service Name:RpcSs Display Name:Remoteprozeduraufruf (RPC)
Service Name:SamSs Display Name:Sicherheitskontenverwaltung
Service Name:Schedule Display Name:Taskplaner
Service Name:seclogon Display Name:Sekundäre Anmeldung
Service Name:SENS Display Name:Systemereignisbenachrichtigung
Service Name:ShellHWDetection Display Name:Shellhardwareerkennung
Service Name:Spooler Display Name;)ruckwarteschlange
Service Name:srservice Display Name:Systemwiederherstellungsdienst
Service Name:stisvc Display Name:Windows-Bilderfassung (WIA)
Service Name:Symantec Core LC Display Name:Symantec Core LC
Service Name:TapiSrv Display Name:Telefonie
Service Name:TermService Display Name:Terminaldienste
Service Name:Themes Display Name;)esigns
Service Name:TrkWks Display Name:Überwachung verteilter Verknüpfungen (Client)
Service Name:WebClient Display Name:WebClient
Service Name:winmgmt Display Name:Windows-Verwaltungsinstrumentation
Service Name:WZCSVC Display Name:Konfigurationsfreie drahtlose Verbindung
__________
Es ist noch kein Meister vom Himmel gefallen,.... ;-)
Dieser Beitrag wurde am 02.01.2007 um 18:33 Uhr von MasterET editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123