Home » Spyware & Browser Hijacker Support Forum » C:\WINDOWS\Temp\winxx.tmp Trojaner » Themenansicht

C:\WINDOWS\Temp\winxx.tmp Trojaner

Thema ist geschlossen!
Thema ist geschlossen!
#0
31.01.2007, 23:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqn

Files to delete:
C:\WINDOWS\system32\nqstv.ini2
C:\WINDOWS\system32\nqstv.bak2
C:\WINDOWS\system32\nqstv.ini
C:\WINDOWS\system32\nqstv.tmp
C:\WINDOWS\system32\ptloaugr.dll
C:\WINDOWS\system32\nqstv.bak1
C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32\fccyvww.dll
C:\WINDOWS\Temp\win82.tmp.exe
C:\WINDOWS\Temp\deltemp.bat
C:\WINDOWS\Temp\win28.tmp
C:\WINDOWS\Temp\win27.tmp.exe
C:\WINDOWS\Temp\win26.tmp
C:\WINDOWS\Temp\win56D.tmp
C:\WINDOWS\Temp\win56C.tmp
C:\WINDOWS\Temp\win56B.tmp
C:\WINDOWS\Temp\winB2.tmp.exe
C:\WINDOWS\Temp\win26.tmp.exe
C:\WINDOWS\Temp\win25.tmp
C:\WINDOWS\Temp\win22.tmp
C:\WINDOWS\Temp\win24.tmp
C:\WINDOWS\Temp\win23.tmp
C:\WINDOWS\Temp\win20.tmp
C:\WINDOWS\Temp\win1E.tmp
C:\WINDOWS\Temp\win16.tmp
C:\WINDOWS\Temp\win14.tmp
C:\WINDOWS\Temp\winB.tmp
C:\WINDOWS\Temp\win11.tmp
C:\WINDOWS\Temp\winD.tmp
C:\WINDOWS\Temp\winC.tmp
C:\WINDOWS\Temp\winB.tmp.exe
C:\WINDOWS\Temp\win21.tmp
C:\WINDOWS\Temp\win1F.tmp
C:\WINDOWS\Temp\win1D.tmp
C:\WINDOWS\Temp\win1C.tmp
C:\WINDOWS\Temp\win1B.tmp
C:\WINDOWS\Temp\win1A.tmp
C:\WINDOWS\Temp\win19.tmp
C:\WINDOWS\Temp\win18.tmp
C:\WINDOWS\Temp\win17.tmp
C:\WINDOWS\Temp\removalfile.bat
C:\WINDOWS\Temp\win15.tmp
C:\WINDOWS\Temp\win13.tmp
C:\WINDOWS\Temp\win12.tmp
C:\WINDOWS\Temp\winE.tmp
C:\WINDOWS\Temp\winF.tmp
C:\WINDOWS\Temp\win10.tmp
»»
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2007, 23:13
neo1984
Member

Themenstarter

Beiträge: 13
#17 datfindbat:

system 32

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\system32

31.01.2007 23:08 24 erin.pfd
31.01.2007 23:08 88.566 nvapps.xml
31.01.2007 23:07 49.152 CompiledAdapter
31.01.2007 21:17 16 coh.cache
31.01.2007 21:17 56.424 EraserAHS.tlg
31.01.2007 17:26 7.252 EraserAHS.log
31.01.2007 17:16 2.550 tmp.reg
31.01.2007 17:16 0 tmp.txt
31.01.2007 17:13 13.646 wpa.dbl
28.01.2007 16:48 7.930 ikhcore.log
20.01.2007 02:00 2.722.304 logonuiX.exe
14.01.2007 17:14 330.688 FNTCACHE.DAT
04.01.2007 18:57 50 blue.SITENAME
04.01.2007 18:28 401.084 perfh009.dat
04.01.2007 18:28 412.330 perfh007.dat
04.01.2007 18:28 61.224 perfc009.dat
04.01.2007 18:28 72.214 perfc007.dat
04.01.2007 18:28 907.650 PerfStringBackup.INI
29.12.2006 21:25 48.776 S32EVNT1.DLL
01.12.2006 05:20 79.360 swxcacls.exe

systemtemp

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\DOKUME~1\neo1984\LOKALE~1\Temp

31.01.2007 23:08 512 ~DFAF04.tmp
31.01.2007 23:08 65.536 ~DFAD2F.tmp
31.01.2007 23:08 512 ~DFD5E2.tmp
31.01.2007 23:08 65.536 ~DFD5CB.tmp
31.01.2007 23:08 16.384 ~DF71E3.tmp
31.01.2007 22:32 16.384 ~DFAD56.tmp
31.01.2007 22:30 18.004 7fa2_appcompat.txt
31.01.2007 22:29 52.012 5ba2_appcompat.txt
31.01.2007 19:16 16.384 ~DFE687.tmp
31.01.2007 17:13 16.384 ~DF98D4.tmp
10 Datei(en) 267.648 Bytes
0 Verzeichnis(se), 16.197.074.944 Bytes frei
system

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS

31.01.2007 23:10 192.460 setupact.log
31.01.2007 23:08 24 LogonStudio.ini
31.01.2007 23:07 0 0.log
31.01.2007 23:07 561.958 WindowsUpdate.log
31.01.2007 23:07 159 wiadebug.log
31.01.2007 23:07 50 wiaservc.log
31.01.2007 23:06 2.048 bootstat.dat
31.01.2007 23:05 32.586 SchedLgU.Txt
31.01.2007 21:16 873.102 setupapi.log
31.01.2007 18:22 54.156 QTFont.qfn
30.01.2007 19:04 895.542 ntbtlog.txt
29.01.2007 23:51 8.432 WGA.log
29.01.2007 23:51 18.590 ntdtcsetup.log
29.01.2007 23:51 119.291 iis6.log
29.01.2007 23:51 32.104 comsetup.log
29.01.2007 23:51 1.374 imsins.log
29.01.2007 23:51 33.813 tsoc.log
29.01.2007 23:51 3.471 tabletoc.log
29.01.2007 23:51 3.682 ocmsn.log
29.01.2007 23:51 7.283 KB898461.log
07.11.2006 20:58 40 mp4891en.dll
07.11.2006 20:56 11 amunres.lsl
02.09.2006 23:14 795 TargetExpress.ini
02.09.2006 08:29 290.816 Setup1.exe
02.09.2006 08:29 74.752 ST6UNST.EXE

tmp

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\Temp

31.01.2007 23:07 16.384 Perflib_Perfdata_460.dat
30.01.2007 19:18 16.384 Perflib_Perfdata_d90.dat
30.01.2007 18:50 32.768 ~DF1A0D.tmp
3 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 16.152.293.376 Bytes frei
down

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3


Verzeichnis von C:\

31.01.2007 23:13 0 sys.txt
31.01.2007 23:12 2.902 down.txt
31.01.2007 23:12 394 tmp.txt
31.01.2007 23:11 9.104 system.txt
31.01.2007 23:11 743 systemtemp.txt
31.01.2007 23:10 111.396 system32.txt
31.01.2007 23:06 6.406 avenger.txt
31.01.2007 23:06 1.207.959.552 pagefile.sys
31.01.2007 17:18 1.110 rapport.txt
31.01.2007 17:10 4.306 ptaxmkco.txt
31.01.2007 16:55 45 TEST.XML
30.01.2007 18:57 787 VundoFix.txt
30.01.2007 17:11 16.273 ComboFix.txt
22.01.2007 17:08 27.262.976 VIRTPART.DAT
20.01.2007 01:37 353 boot.ini
20.01.2007 01:26 478 boot.bed
04.01.2007 18:17 87 AUTOEXEC.BAT
31.12.2006 01:54 53 MSDOS.SYS
27.12.2006 16:28 4.306 _NavCClt.Log
08.08.2006 16:46 0 IO.SYS
08.08.2006 16:46 0 CONFIG.SYS
08.08.2006 16:40 211 BOOT.BKK
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
25 Datei(en) 1.235.685.182 Bytes
0 Verzeichnis(se), 16.195.596.288 Bytes frei
Seitenanfang Seitenende
31.01.2007, 23:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 wende noch mal sdfix an (im abges.Modus)
und poste den report
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2007, 23:26
neo1984
Member

Themenstarter

Beiträge: 13
#19 report:

Zitat

SDFix: Version 1.63

31.01.2007 - 23:20:49,98

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Internet\\eMule44\\emule.exe"="D:\\Internet\\eMule44\\emule.exe:*:Enabled:eMule"
"D:\\Internet\\SmartFTP\\SmartFTP.exe"="D:\\Internet\\SmartFTP\\SmartFTP.exe:*:Enabled:SmartFTP"
"D:\\Internet\\SmartFTP Client 2.0\\SmartFTP.exe"="D:\\Internet\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"
"C:\\Dokumente und Einstellungen\\neo1984\\Lokale Einstellungen\\Temp\\Temporäres Verzeichnis 2 für webfolder.zip\\WebFolder.exe"="C:\\Dokumente und Einstellungen\\neo1984\\Lokale Einstellungen\\Temp\\Temporäres Verzeichnis 2 für webfolder.zip\\WebFolder.exe:*:Enabled:Einfache Laufwerksfreigabe über http"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\\Internet\\GetRight\\getright.exe"="D:\\Internet\\GetRight\\getright.exe:*:Enabled:GetRight® www.getright.com"
"D:\\Programme\\Pinnacle Studio10\\programs\\RM.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\RM.exe:*:Enabled:Render Manager"
"D:\\Programme\\Pinnacle Studio10\\programs\\Studio.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\Studio.exe:*:Enabled:Studio"
"D:\\Programme\\Pinnacle Studio10\\programs\\PMSRegisterFile.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\PMSRegisterFile.exe:*:Enabled:pMSRegisterFile"
"D:\\Programme\\Pinnacle Studio10\\programs\\umi.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\umi.exe:*:Enabled:umi"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Remoteunterstützung - Windows Messenger und Voice"
"C:\\DOKUME~1\\neo1984\\LOKALE~1\\Temp\\win135.tmp.exe"="C:\\DOKUME~1\\neo1984\\LOKALE~1\\Temp\\win135.tmp.exe:*:Enabled:win135.tmp"
"C:\\WINDOWS\\TEMP\\win20.tmp.exe"="C:\\WINDOWS\\TEMP\\win20.tmp.exe:*:Enabled:win20.tmp"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c509 Packet\3C5X9PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c556 Packet\3C556.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c59x Packet\3C59XPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1200 Packet\EC32PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1203 Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1204 Packet\VLNWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207 Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207C Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207D Packet\ACCPKT.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207F Packet\EN5251PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207TX Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1208 Packet\1208PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1625 Packet\NEPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1640 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1650 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1651 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1652 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1653 Packet\NE2PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1656 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1657 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1658 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN166X Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2216 Packet\PCMPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2218 Packet\PCMPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2228 Packet\PCMPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2320 Packet\EN5251PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DEVICE.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYB.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MODE.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MOUSE.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\NETBIND.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Paralink.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\command.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMBIO.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMDOS.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE450 Packet\DE450.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE500 Packet\DE500.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWorks ISA (DE305) Packet\DE305.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DE400 Packet\De400pd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DMF560-TX Packet\Lmpd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DT620 Packet\Dt620pd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\IBM Crystal LAN Packet\Epktisa.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Kingston EtheRx KNE110TX Packet\Ktc110p.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD 10-100AL Packet\L100al.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-CDF Packet\Ldcdt.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-PCI2TL Packet\Ldpcil.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Melco LPC2-T\Lpchkat2.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FNW9x00T - ENW8300T Packet\fetpkt.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\FETPKT.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\Rtspkt.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\PXE Packet Driver\Undipd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\SN 2000p Packet\PNPPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\WaveLAN Packet\Wvlan42.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX Packet\Cbepd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS Packet\Xpspd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10 - RE100 Packet\Ce3pd.com
C:\Dokumente und Einstellungen\neo1984\Netzwerkumgebung\waechter auf www.neo1984.com\Desktop.ini
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS16.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\E.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\GUEST.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MSCDEX.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Net.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OHCI.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\PROTMAN.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\UHCI.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe
C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Elndis.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Usbd.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI1394.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI2DOS.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI4DOS.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8DOS.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8U2.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPICD.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIEHCI.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIOHCI.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIUHCI.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BOOTSRV.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\bootsrv16.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTCDROM.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTDOSM.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\COUNTRY.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DISPLAY.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DLSHELP.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\FLASHPT.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\HIMEM.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYBOARD.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\msbootsrv16.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OAKCDROM.SYS

Finished
Seitenanfang Seitenende
31.01.2007, 23:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 1.
Avenger

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win20.tmp.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\neo1984\Lokale Einstellungen\Temp\win135.tmp.exe

Files to delete:
C:\WINDOWS\TEMP\win20.tmp.exe
C:\Dokumente und Einstellungen\neo1984\Lokale Einstellungen\Temp\win135.tmp.exe

2.
scanne und poste den scanreport (stelle vorher alles auf remove)
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2007, 00:25
neo1984
Member

Themenstarter

Beiträge: 13
#21 erledigt.

Zitat

Spyware Scan Details
Start Date: 31.01.2007 23:42:31
End Date: 01.02.2007 00:22:28
Total Time: 39 mins 57 secs

Detected spyware

Doly Trojan RAT more information...
Details: Doly Trojan is a backdoor RAT Trojan software that allows an attacker to control other people's computers by the Internet and execute a number of command without the user’s knowledge or consent.
Status: Deleted

Infected files detected
D:\Homepage\Zubehör\SWISH1ENG\Setup\SETUPLNG.DLL


Messenger Plus! Adware Bundler more information...
Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.
Status: Deleted

Infected files detected
D:\Internet\MessengerPlus3.62\RichEdHook.dll

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MsgPlus.Encrypted
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MsgPlus.Encrypted\DefaultIcon D:\Internet\Messenger Plus! Live\Log Viewer.exe,1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MsgPlus.Encrypted\shell\open\command "D:\Internet\Messenger Plus! Live\Log Viewer.exe" /ViewLog="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MsgPlus.Encrypted Encrypted Log File


RealVNC Commercial Remote Control more information...
Details: VNC (Virtual Network Computing) software makes it possible to view and fully-interact with one computer from any other computer or mobile device anywhere on the Internet.
Status: Deleted

Infected files detected
D:\Internet\winvnc\omnithread_rt.dll
D:\Programme\VNC\WINVNC\omnithread_rt.dll


TightVNC Commercial Remote Control more information...
Status: Deleted

Infected files detected
D:\Programme\VNC\TightVNC\VNCHooks.dll
D:\Programme\VNC\TightVNC\vncviewer.exe
D:\Programme\VNC\TightVNC\WinVNC.exe
D:\Programme\VNC\TightVNC\Web\compare.html
D:\Programme\VNC\TightVNC\Web\WhatsNew.txt
D:\Programme\VNC\TightVNC\Web\winst.html
D:\Programme\VNC\TightVNC\Web\doc\man\vncconnect.1.html
D:\Programme\VNC\TightVNC\Web\doc\man\vncpasswd.1.html
D:\Programme\VNC\TightVNC\Web\doc\man\vncserver.1.html
D:\Programme\VNC\TightVNC\Web\doc\man\vncviewer.1.html
D:\Programme\VNC\TightVNC\Web\doc\man\Xvnc.1.html
D:\Programme\VNC\TightVNC\Web\doc\win32\BUILDING-bcc32.txt


Download Accelerator Plus Low Risk Adware more information...
Details: Download Accelerator Plus (DAP) is an advertising-supported download manager program from SpeedBit.com.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\classes\anigifctrl.anigif\insertable
HKEY_LOCAL_MACHINE\software\classes\anigifctrl.anigif\insertable
HKEY_LOCAL_MACHINE\software\classes\interface\{82351440-9094-11d1-a24b-00a0c932c7df}
HKEY_LOCAL_MACHINE\software\classes\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\TypeLib {82351433-9094-11D1-A24B-00A0C932C7DF}
HKEY_LOCAL_MACHINE\software\classes\interface\{82351440-9094-11d1-a24b-00a0c932c7df}\TypeLib Version 1.5
HKEY_LOCAL_MACHINE\software\classes\interface\{82351440-9094-11d1-a24b-00a0c932c7df} IAniGIF
HKEY_LOCAL_MACHINE\software\classes\interface\{5252ac41-94bb-11d1-b2e7-444553540000}
HKEY_LOCAL_MACHINE\software\classes\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\TypeLib {82351433-9094-11D1-A24B-00A0C932C7DF}
HKEY_LOCAL_MACHINE\software\classes\interface\{5252ac41-94bb-11d1-b2e7-444553540000}\TypeLib Version 1.5
HKEY_LOCAL_MACHINE\software\classes\interface\{5252ac41-94bb-11d1-b2e7-444553540000} IAniGIFEvents


Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\neo1984\cookies\neo1984@mediaplex[1].txt
Seitenanfang Seitenende
01.02.2007, 11:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 nun muesste es eigentlich sauber sein...
dennoch mache noch mal einen Onlinescan mit ewido
http://virus-protect.org/onlinescan.html
und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2007, 17:14
neo1984
Member

Themenstarter

Beiträge: 13
#23 so, habe mal einen scan gemacht, das ist dabei rausgekommen:

Zitat

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Trojan.Dialer.rt
Path: C:\avenger\backup-31.01.2007-23.08.03,89.zip/avenger/udial.exe
Risk: High

Name: Adware.Virtumonde
Path: C:\avenger\backup.zip/avenger/fccyvww.dll
Risk: Medium

Name: Trojan.Dialer.rt
Path: C:\avenger\backup.zip/avenger/win82.tmp.exe
Risk: High

ich lösch mal und mach noch einen scan und poste nochmal.


=====================================================
=====================================================

So, ich hab jetzt noch einmal einen scan durchgeführt und er hat nichts mehr gefunden!

Bericht kann man zum Schluss leider keinen mehr machen, aber ich hab diesen screenshot hier:

http://img180.imageshack.us/my.php?image=unbenanntqc0.jpg

HERZLICHEN DANK!

Soll ich jetzt noch etwas machen, oder ist es geschafft?
Dieser Beitrag wurde am 01.02.2007 um 17:40 Uhr von neo1984 editiert.
Seitenanfang Seitenende
01.02.2007, 18:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 C:\avenger\backup.zip - hast du ja bestimmt schon geloescht + Papierkorb leeren
Alles Gute ;) - und wenn es noch irgendwie hakt - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2007, 18:41
neo1984
Member

Themenstarter

Beiträge: 13
#25 japp


Vielen herzlichen Dank nocheinmal für die Mühe!
Danke! ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12