6 Trojaner, Dropper "DR/Cydoor.A.1", heuristischer Treffer "HEUR/Crypted

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.01.2007, 19:16
Member

Beiträge: 17
#1 Ich hab gestern den Trojaner TR/Dldr.Swizzor.Gen gefunden. Ich hab allerdings keine Ahnung wie ich den wieder los werde. Ich hatte auch noch nie Trojaner auf meinem PC. Ich hab "AntiVir PE Classic" als Antivirenprogramm.

Ich hab das Programm heut nochmal laufen lassen bzw es läuft immernoch und ich habe 5 weitere Trojaner:
- TR/Dldr.Swizzor.CO,
- TR/Dldr.Swizzor.A,
- TR/Dldr.Swizzor.DO.1,
- TR/Obfuscated.BL
- TR/Wimad.A.Gen

Kann gut sein das noch mehr auftauchen werden

Trojaner sind keine mehr aufgetaucht, allerdings noch ein Dropper: DR/Cydoor.A.1 und ein heuristischer Treffer: HEUR/Crypted

Wäre nett wenn mir einer hilft. Ich kenn mich nämlich nich wirklich mit sowas aus. Also bitte auch für nich bewandete verständlich schreiben.


Logfile of HijackThis v1.99.1
Scan saved at 19:13:42, on 26.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\SAV\vptray.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\SAV\DefWatch.exe
C:\PROGRA~1\SAV\Rtvscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mirjam\Eigene Dateien\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: die von Microsoft TCP/IP
O1 - Hosts: 85.14.216.95 l2patcher.lineage2.com
O1 - Hosts: 89.163.145.153 l2authd.lineage2.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7827FB03-1073-1DE2-D139-0075B40ED5BE} - C:\DOKUME~1\Mirjam\ANWEND~1\peakidol\AboutBows.exe (file missing)
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\vptray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\RunServices: [ITUNES] itune.exe
O4 - HKCU\..\Run: [hold data] C:\DOKUME~1\Mirjam\ANWEND~1\THISME~1\option loud.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\GetFlash.exe -p
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://s1.teamlearn.de/qp2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F2D9A9E-92DE-4C6A-A9B3-1CE2279FF98F}: NameServer = 217.237.150.51 217.237.151.142
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDACA2E9-CCEF-4C09-966B-804804778CBA}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\\NavLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SAV\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINDOWS\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: Symantec AntiVirus Server (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SAV\Rtvscan.exe
Seitenanfang Seitenende
27.01.2007, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
28.01.2007, 16:39
Member

Themenstarter

Beiträge: 17
#3 "Mirjam" - 07-01-28 16:28:47 Service Pack 2
ComboFix 07-01-25 - Running from: "C:\Dokumente und Einstellungen\Mirjam\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\vbuzip10.dll


((((((((((((((((((((((((((((((( Files Created from 2006-12-28 to 2007-01-28 ))))))))))))))))))))))))))))))))))


2007-01-25 20:38 34,304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2007-01-25 20:38 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2007-01-25 20:37 <DIR> d-------- C:\Programme\AntiVir PersonalEdition Classic
2007-01-25 20:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-01-24 18:59 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-01-24 18:59 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-01-24 18:58 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-01-24 18:58 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-01-24 18:58 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-01-24 18:58 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-01-24 18:58 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-01-24 18:58 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-01-24 18:56 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-01-19 19:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sandlot Shared
2007-01-19 19:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Sandlot Games


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-28 16:26 -------- d-------- C:\Programme\mozilla firefox
2007-01-26 13:44 -------- d-------- C:\Programme\adverts
2007-01-26 13:09 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\this meow
2007-01-25 23:28 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\peakidol
2007-01-25 23:13 -------- d-------- C:\Programme\icqlite
2007-01-25 10:41 -------- d-------- C:\Programme\sav
2007-01-24 20:50 -------- d-------- C:\Programme\zylom games
2007-01-22 00:15 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\skype
2007-01-21 21:19 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\zylom
2007-01-21 21:19 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\identities
2007-01-19 18:08 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\playfirst
2007-01-17 14:48 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\macromedia


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"hold data"="C:\\DOKUME~1\\Mirjam\\ANWEND~1\\THISME~1\\option loud.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AWatch"="C:\\Programme\\FRITZ!DSL\\Awatch.exe"
"vptray"="C:\\PROGRA~1\\SAV\\vptray.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"C-Media Mixer"="Mixer.exe /startup"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"ITUNES"="itune.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ITUNES]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="itune"
"hkey"="HKLM"
"command"="itune.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\A4D329999184A645.job

Completion time: 07-01-28 16:36:03
Seitenanfang Seitenende
28.01.2007, 16:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Nomja

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 16:59
Member

Themenstarter

Beiträge: 17
#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.03.2004 01:55 503.808 qp2.dll
20.02.2004 12:42 160 qp2.inf
09.11.2006 14:36 5.019 swflash.inf
3 Datei(en) 508.987 Bytes
0 Verzeichnis(se), 5.033.672.704 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Program Files

19.07.2006 16:58 <DIR> .
19.07.2006 16:58 <DIR> ..
02.10.2005 16:41 <DIR> Altnet
16.02.2006 20:25 <DIR> BFG
19.07.2006 16:58 <DIR> C-Media
22.05.2006 19:35 <DIR> ICQLite
0 Datei(en) 0 Bytes
6 Verzeichnis(se), 5.033.668.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Lokale Einstellungen\Temporary Internet Files\Content.IE5

28.01.2007 16:42 65.536 index.dat
1 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 5.033.668.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Lokale Einstellungen\Temp

28.01.2007 16:58 <DIR> .
28.01.2007 16:58 <DIR> ..
28.01.2007 16:57 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31310.html
28.01.2007 16:43 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}6389.html
28.01.2007 16:57 16.384 ~DF8253.tmp
28.01.2007 16:57 512 ~DF8266.tmp
28.01.2007 16:57 16.384 ~DF827B.tmp
28.01.2007 16:57 512 ~DF828E.tmp
28.01.2007 16:57 16.384 ~DF82A3.tmp
28.01.2007 16:57 512 ~DF82B6.tmp
28.01.2007 16:57 16.384 ~DF82CB.tmp
28.01.2007 16:57 512 ~DF82DE.tmp
28.01.2007 16:43 16.384 ~DF907.tmp
28.01.2007 16:43 16.384 ~DFF63B.tmp
28.01.2007 16:43 512 ~DFF64E.tmp
13 Datei(en) 102.825 Bytes
2 Verzeichnis(se), 5.033.668.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\WINDOWS\Temp

28.01.2007 16:36 <DIR> .
28.01.2007 16:36 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.033.668.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Temp

10.01.2006 16:14 <DIR> .
10.01.2006 16:14 <DIR> ..
10.01.2006 16:20 23.360.376 AdbeRdr705_deu_full.exe
10.01.2006 16:14 7.241.896 psa30se_de_de.exe
10.01.2006 16:12 762.512 ytb612_efgsip.exe
3 Datei(en) 31.364.784 Bytes
2 Verzeichnis(se), 5.033.668.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Programme

25.01.2007 23:26 <DIR> .
25.01.2007 23:26 <DIR> ..
11.02.2006 10:20 <DIR> Adobe
26.01.2007 13:44 <DIR> Adverts
26.01.2007 12:11 <DIR> AntiVir PersonalEdition Classic
05.03.2006 13:49 <DIR> C2Media
01.03.2005 18:48 <DIR> ComPlus Applications
03.01.2006 12:45 <DIR> FRITZ!DSL
06.10.2006 15:57 <DIR> Gamenext
19.01.2007 19:23 <DIR> Gemeinsame Dateien
25.01.2007 23:13 <DIR> ICQLite
14.08.2005 20:12 <DIR> ICQToolbar
18.07.2006 11:47 <DIR> Internet Explorer
17.07.2006 18:51 <DIR> Java
04.10.2006 23:08 <DIR> LimeWire
07.10.2005 12:06 <DIR> Lionhead Studios Ltd
27.07.2005 21:53 <DIR> Maxis
05.03.2005 19:11 <DIR> Messenger
05.03.2006 13:48 <DIR> MessengerPlus! 3
21.12.2005 18:24 <DIR> microsoft frontpage
21.12.2005 18:24 <DIR> Microsoft Office
27.12.2005 15:43 <DIR> Microsoft Picture It!
01.03.2005 18:51 <DIR> Movie Maker
28.01.2007 16:37 <DIR> Mozilla Firefox
05.03.2005 18:37 <DIR> MSN
01.03.2005 18:47 <DIR> MSN Gaming Zone
21.01.2006 12:34 <DIR> MSN Messenger
27.09.2005 17:23 <DIR> Need2Find
19.08.2005 21:21 <DIR> neo Software Produktions GmbH
01.03.2005 18:51 <DIR> NetMeeting
01.03.2005 18:47 <DIR> Online Services
01.03.2005 18:53 <DIR> Online-Dienste
01.03.2005 18:51 <DIR> Outlook Express
02.07.2006 12:41 <DIR> PartyGaming
02.07.2006 12:43 <DIR> PartyGaming.Net
19.07.2006 16:59 <DIR> PCI Audio Applications
27.12.2005 15:46 <DIR> Ravensburger Interactive
05.10.2006 11:44 <DIR> rondomedia
03.10.2005 11:24 <DIR> RXToolBar
25.01.2007 10:41 <DIR> SAV
27.08.2005 20:00 <DIR> Sierra On-Line
20.10.2006 17:41 <DIR> Skype
18.07.2006 12:19 <DIR> Sony Ericsson
01.03.2005 19:41 <DIR> Symantec
20.05.2006 09:40 <DIR> This Meow
19.07.2006 17:01 <DIR> Windows Media Player
01.03.2005 18:46 <DIR> Windows NT
06.10.2006 13:17 <DIR> WinRAR
01.03.2005 19:00 <DIR> xerox
02.07.2006 13:40 <DIR> Yahoo!
24.01.2007 20:50 <DIR> Zylom Games
0 Datei(en) 0 Bytes
51 Verzeichnis(se), 5.033.664.512 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Lokale Einstellungen\Anwendungsdaten

17.07.2005 23:33 <DIR> Adobe
18.07.2006 12:15 <DIR> ApplicationHistory
12.08.2006 18:59 11.776 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
18.07.2006 11:39 139 fusioncache.dat
01.03.2005 19:17 12.328 GDIPFONTCACHEV1.DAT
10.04.2006 22:39 <DIR> Google
02.07.2006 12:49 <DIR> Help
05.03.2005 23:36 <DIR> Identities
02.07.2006 13:10 <DIR> Microsoft
11.07.2006 12:16 <DIR> Mozilla
30.01.2006 18:20 <DIR> Phenomedia
01.03.2005 19:55 <DIR> Symantec
3 Datei(en) 24.243 Bytes
9 Verzeichnis(se), 5.033.664.512 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten

17.07.2006 22:07 <DIR> Adobe
10.01.2006 16:25 2.108 AdobeDLM.log
17.07.2005 23:34 <DIR> AdobeUM
10.01.2006 16:25 0 dm.ini
01.08.2006 23:10 <DIR> EA
10.04.2006 22:39 <DIR> Google
14.04.2005 22:59 <DIR> Help
01.03.2005 20:37 <DIR> ICQLite
21.01.2007 21:19 <DIR> Identities
11.02.2006 10:19 <DIR> Leadertech
17.01.2007 14:48 <DIR> Macromedia
29.07.2006 00:57 <DIR> Magic Match
21.12.2005 18:24 <DIR> Microsoft Web Folders
01.03.2005 20:12 <DIR> Mozilla
05.03.2005 18:37 <DIR> MSNInstaller
25.01.2007 23:28 <DIR> peakidol
19.01.2007 18:08 <DIR> PlayFirst
22.01.2007 00:15 <DIR> Skype
13.10.2005 20:54 <DIR> Sun
18.07.2006 12:24 <DIR> Teleca
26.01.2007 13:09 <DIR> This Meow
21.01.2007 21:19 <DIR> Zylom
2 Datei(en) 2.108 Bytes
20 Verzeichnis(se), 5.033.664.512 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

26.01.2007 12:08 305 addr_file.html
10.01.2006 16:35 <DIR> Adobe
26.01.2007 20:39 <DIR> AntiVir PersonalEdition Classic
01.08.2006 23:10 <DIR> EA
20.05.2006 09:40 <DIR> FORD WINDOW PROC NOUN
08.10.2005 14:57 <DIR> Messenger Plus!
30.01.2006 18:24 <DIR> Phenomedia
19.01.2007 18:08 <DIR> PlayFirst
19.01.2007 19:23 <DIR> Sandlot Games
20.10.2006 17:42 <DIR> Skype
18.07.2006 12:21 <DIR> Sony Ericsson
01.03.2005 19:40 <DIR> Symantec
18.07.2006 12:21 <DIR> Teleca
12.02.2006 13:41 <DIR> Zylom
1 Datei(en) 305 Bytes
13 Verzeichnis(se), 5.033.660.416 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Programme\Gemeinsame Dateien

19.01.2007 19:23 <DIR> .
19.01.2007 19:23 <DIR> ..
10.01.2006 16:49 <DIR> Adobe
01.03.2005 19:23 <DIR> AVM
21.12.2005 18:31 <DIR> Designer
01.03.2005 18:51 <DIR> Dienste
19.07.2006 17:24 <DIR> InstallShield
18.02.2006 22:33 <DIR> Java
27.12.2005 15:42 <DIR> Microsoft Shared
01.03.2005 18:51 <DIR> MSSoap
01.03.2005 18:35 <DIR> ODBC
19.01.2007 19:23 <DIR> Sandlot Shared
01.03.2005 18:35 <DIR> SpeechEngines
03.01.2006 23:10 <DIR> SWF Studio
01.03.2005 19:41 <DIR> Symantec Shared
21.12.2005 18:29 <DIR> System
18.07.2006 12:21 <DIR> Teleca Shared
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 5.033.660.416 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE

Verzeichnis von C:\Windows\tasks
Seitenanfang Seitenende
28.01.2007, 18:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Nomja

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|C-Media Mixer

Files to delete:
C:\WINDOWS\tasks\A4D329999184A645.job
C:\WINDOWS\Downloaded Program Files\qp2.dll
C:\WINDOWS\Downloaded Program Files\qp2.inf

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN
C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\This Meow
C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\peakidol
C:\Programme\Adverts
C:\Programme\C2Media
C:\Programme\MessengerPlus! 3
C:\Programme\This Meow
C:\Programme\RXToolBar
C:\Programme\SAV
C:\Programme\PartyGaming
C:\Programme\PartyGaming.Net
C:\Programme\Need2Find
C:\Program Files\Altnet
C:\Program Files\C-Media
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

-------
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: die von Microsoft TCP/IP
O1 - Hosts: 85.14.216.95 l2patcher.lineage2.com
O1 - Hosts: 89.163.145.153 l2authd.lineage2.com

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)

O2 - BHO: (no name) - {7827FB03-1073-1DE2-D139-0075B40ED5BE} - C:\DOKUME~1\Mirjam\ANWEND~1\peakidol\AboutBows.exe (file missing)

O4 - HKLM\..\RunServices: [ITUNES] itune.exe

O4 - HKCU\..\Run: [hold data] C:\DOKUME~1\Mirjam\ANWEND~1\THISME~1\option loud.exe

O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
PC neustarten

»»
scanne mit Counterspy ud lasse den ganzen muell der auf deinem Rechner ist mit remove loschen
http://virus-protect.org/counterspy.html

________

um an den backdoor zu kommen:
http://www.sophos.de/security/analyses/w32rbotzu.html


SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 19:16
Member

Themenstarter

Beiträge: 17
#7 O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll

diesen punkt gibt es nicht mehr dafür steht da jetzt

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Seitenanfang Seitenende
28.01.2007, 20:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nur fixen, was ich geschrieben habe ! wenn es nicht mehr vorhanden ist...nun, dann kannst du es auch nicht fixen - logisch

arbeite alles weitere ab, denn auf dem rechner ist ungebetener besuch..ein backdoor
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 20:35
Member

Themenstarter

Beiträge: 17
#9 ja ok mach ich dann. was ist denn ein backdoor?
Seitenanfang Seitenende
28.01.2007, 20:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
backdoor
http://www.sophos.de/security/analyses/w32rbotzu.html

««
http://virus-protect.org/backdoor.html
* Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
* Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
* Installieren von Software zur Aufzeichnung von Tastatureingaben
* Konfigurieren von Firewall-Regeln
* Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
* Löschen und Bearbeiten von Dateien
* Versenden von anstößigem oder diskriminierendem Material von einem E-Mail-Benutzerkonto
* Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
* Löschen von Protokolldateien, um solche Aktivitäten zu verbergen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 21:37
Member

Themenstarter

Beiträge: 17
#11 aha gut zu wissen.

ich hab ein problem und zwar läuft counterspy nicht richtig bei mir. das hängt sich andauernd auf. un eben hab ich ne neue meldung von antivir bekommen:

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN\Ace Enc.exe'
wurde ein Virus oder unerwünschtes Programm 'PCK/UPC' [PCK/UPC] gefunden.
Seitenanfang Seitenende
28.01.2007, 22:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12

Zitat

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN\Ace Enc.exe'
wurde ein Virus oder unerwünschtes Programm 'PCK/UPC' [PCK/UPC] gefunden.
vielleicht machst du dir die muehe und arbeitest das avengerscript ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 22:46
Member

Themenstarter

Beiträge: 17
#13 wie komme ich an Sophos Anti-Virus? ich versteh das nich so ganz

counterspy läuft nach dem keine ahnung wievielsten versuch
Dieser Beitrag wurde am 28.01.2007 um 23:34 Uhr von Nomja editiert.
Seitenanfang Seitenende
28.01.2007, 23:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ««
die seite von sophos ist nur informativ

««
hast du das avengerscript abgearbeitet ?
poste den report, der nach neustart erscheint.

--------------------------------------------
««
dann:

SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 23:47
Member

Themenstarter

Beiträge: 17
#15 meinst du das mit hijack wo ich die sachen anklicken un fixen musste? als ich den pc neu gestartet hab kam aber nix mehr
Seitenanfang Seitenende