TR/Dldr.Agent.AP.2 immer wieder neue TR/Spy.Agent.PS 1-4 |
||
---|---|---|
#0
| ||
04.02.2007, 19:57
...neu hier
Beiträge: 4 |
||
|
||
04.02.2007, 23:41
Ehrenmitglied
Beiträge: 29434 |
#2
savashi
«« Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) «« combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html «« Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2007, 00:37
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo,
danke schon mal für die schnelle Antwort. Ich bin den Anweisungen gefolgt und hier sind die jeweiligen Reports/Logfiles: von Combofix: "............" - 07-02-05 0:17:14 Service Pack 2 ComboFix 07.02.04 - Running from: "C:\Dokumente und Einstellungen\..............." (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\bszip.dll C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\REGEDIT.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com ((((((((((((((((((((((((((((((( Files Created from 2007-01-05 to 2007-02-05 )))))))))))))))))))))))))))))))))) 2007-02-04 19:30 <DIR> d-------- C:\Programme\HijackThis 2007-02-04 18:00 <DIR> d-------- C:\Programme\ahead 2007-02-03 18:42 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Anwendungsdaten\T-Online 2007-01-31 19:13 <DIR> d-------- C:\WINDOWS\SYSTEM32\NtmsData 2007-01-30 22:32 <DIR> d-------- C:\WINDOWS\Hewlett-Packard 2007-01-30 22:31 <DIR> d-------- C:\Programme\Overland 2007-01-30 19:53 626,960 -ra------ C:\WINDOWS\SYSTEM32\hpvaut32.dll 2007-01-30 19:53 487,424 -ra------ C:\WINDOWS\SYSTEM32\hpvcp70.dll 2007-01-30 19:53 44,544 -ra------ C:\WINDOWS\SYSTEM32\MSXML4a.dll 2007-01-30 19:53 344,064 -ra------ C:\WINDOWS\SYSTEM32\hpvcr70.dll 2007-01-30 19:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard 2007-01-30 19:41 <DIR> d-------- C:\Programme\HP 2007-01-28 21:11 <DIR> d-------- C:\DOKUME~1\DANIEL~1\Anwendungsdaten\HP 2007-01-26 14:53 170 --a------ C:\WINDOWS\SYSTEM32\iebdfex.dll 2007-01-26 14:53 0 --a------ C:\WINDOWS\SYSTEM32\iedebug.dll 2007-01-25 18:59 4 --a------ C:\WINDOWS\SYSTEM32\ieurld.dll 2007-01-25 18:48 80 --a------ C:\WINDOWS\SYSTEM32\iepref32.dll 2007-01-25 18:48 0 --a------ C:\WINDOWS\SYSTEM32\ierplc.dll 2007-01-06 11:44 50,688 --------- C:\WINDOWS\SYSTEM32\wbhelp2.dll 2007-01-05 19:59 81,920 --a------ C:\WINDOWS\SYSTEM32\ZDPN50.dll 2007-01-05 19:59 32,768 --a------ C:\WINDOWS\Zdcndis5a64.sys 2007-01-05 19:59 31,744 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ZDPSp50a64.sys 2007-01-05 19:59 28,672 --a------ C:\WINDOWS\SYSTEM32\InsDrvZD.dll 2007-01-05 19:59 24,576 --a------ C:\WINDOWS\SYSTEM32\ZyDelReg.exe 2007-01-05 19:59 20,608 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\BRGSp50.sys 2007-01-05 19:59 18,944 --a------ C:\WINDOWS\ZDCndis5.sys 2007-01-05 19:59 17,664 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ZDPSp50.sys 2007-01-05 19:59 17,151 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ZDPNDIS5.sys 2007-01-05 19:59 15,872 --a------ C:\WINDOWS\SYSTEM32\InsDrvZD64.DLL 2007-01-05 19:59 102,400 --a------ C:\WINDOWS\ZDCN50.dll 2007-01-05 19:59 102,400 --a------ C:\WINDOWS\SYSTEM32\W32N55.DLL 2007-01-05 19:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero 2007-01-05 18:52 <DIR> dr--s---- C:\WINDOWS\assembly 2007-01-05 18:52 <DIR> d-------- C:\WINDOWS\SYSTEM32\URTTemp 2007-01-05 18:52 <DIR> d-------- C:\WINDOWS\Microsoft.NET 2007-01-05 18:48 <DIR> d-------- C:\DOKUME~1\DANIEL~1\Anwendungsdaten\T-Online 2007-01-05 18:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\T-Online 2007-01-05 18:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared 2007-01-05 18:45 <DIR> d--hs---- C:\WINDOWS\ftpcache 2007-01-05 18:45 <DIR> d-------- C:\Programme\T-Online (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-05 00:14 -------- d-------- C:\Programme\mozilla firefox 2007-02-04 18:36 -------- d-------- C:\Programme\antivir personaledition classic 2007-02-04 14:03 -------- d-------- C:\Programme\intervideo 2007-01-31 19:09 -------- d-------- C:\Programme\hewlett-packard 2007-01-30 22:34 1819 --a------ C:\DOKUME~1\DANIEL~1\Anwendungsdaten\hpcom_48bitscanupdate.log 2007-01-30 22:31 -------- d---s---- C:\DOKUME~1\DANIEL~1\Anwendungsdaten\microsoft 2007-01-13 18:17 -------- d-------- C:\Programme\warcraft iii 2007-01-10 19:16 -------- d-------- C:\Programme\java 2007-01-08 09:44 -------- d-------- C:\Programme\hp deskjet 840c series 2007-01-07 12:22 -------- d-------- C:\Programme\zero g registry 2007-01-07 12:13 -------- d--h----- C:\Programme\installshield installation information 2007-01-07 12:13 -------- d-------- C:\Programme\fotostation easy 2007-01-07 12:11 -------- d-------- C:\Programme\sony ericsson 2007-01-07 12:11 -------- d-------- C:\Programme\Gemeinsame Dateien\teleca shared 2007-01-07 12:07 -------- d-------- C:\Programme\phase5 2007-01-07 12:07 -------- d-------- C:\Programme\mywebsearch 2007-01-07 12:07 -------- d-------- C:\Programme\microsoft works 2007-01-07 12:07 -------- d-------- C:\Programme\microsoft picture it! 2007-01-07 12:06 -------- d-------- C:\Programme\icq 2007-01-07 12:06 -------- d-------- C:\Programme\common files 2007-01-07 12:06 -------- d-------- C:\Programme\bearshare 2006-12-27 13:18 -------- d-------- C:\Programme\pokerstars 2006-12-24 15:16 352137 --a------ C:\swlist.reg 2006-11-08 06:06 679424 --a------ C:\WINDOWS\SYSTEM32\inetcomm.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "WorksFUD"="C:\\Programme\\Microsoft Works\\wkfud.exe" "Microsoft Works Portfolio"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers" "AdaptecDirectCD"="\"C:\\Programme\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\"" "type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\"" "IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\point32.exe\"" "nwiz"="nwiz.exe /install" "BTUSRBDG"="BtUsrBdg.exe" "BTSETBOOTKEY"="BTSetBootKey.exe" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart" "BCMSMMSG"="BCMSMMSG.exe" "ZwSystemService"="spoolsrv.exe" "HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb12.exe" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0 tapisrv REG_MULTI_SZ Tapisrv\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Symantec NetDetect.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-05 0:24:37 1. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30D0-00C4 Verzeichnis von C:\WINDOWS\SYSTEM32 05.02.2007 00:13 1.170 WPA.DBL 04.02.2007 14:05 6 reboot.txt 02.02.2007 21:29 4 ieurld.dll 02.02.2007 16:50 170 iebdfex.dll 02.02.2007 16:43 0 ierplc.dll 26.01.2007 14:53 0 iedebug.dll 25.01.2007 18:59 80 iepref32.dll 10.01.2007 19:16 9.132 jupdate-1.5.0_10-b03.log 09.01.2007 13:15 380.486 PERFH009.DAT 09.01.2007 13:15 391.330 PERFH007.DAT 09.01.2007 13:15 52.900 PERFC009.DAT 09.01.2007 13:15 63.778 PERFC007.DAT 09.01.2007 13:15 897.778 PerfStringBackup.INI 08.01.2007 09:44 202.528 FNTCACHE.DAT 07.01.2007 12:19 4.326 qtplugin.log 06.01.2007 11:45 70.637 NULL 03.01.2007 00:19 10.980.776 MRT.exe 28.11.2006 16:09 16.832 amcompat.tlb 28.11.2006 16:09 23.392 nscompat.tlb 09.11.2006 15:07 127.078 javaws.exe 09.11.2006 15:07 49.265 jpicpl32.cpl 09.11.2006 13:28 53.346 javaw.exe 09.11.2006 13:28 49.248 java.exe 08.11.2006 06:06 679.424 inetcomm.dll 04.11.2006 14:14 1.245.696 msxml4.dll 03.11.2006 10:02 8.282.112 wmploc.dll 03.11.2006 09:56 99.840 wmpshell.dll 03.11.2006 09:55 275.968 wmerror.dll 03.11.2006 09:54 8.192 asferror.dll 02.11.2006 11:51 43.008 wpdshextres.dll 23.10.2006 16:17 664.576 wininet.dll 23.10.2006 16:17 615.936 urlmon.dll 23.10.2006 16:17 1.494.528 shdocvw.dll 23.10.2006 16:17 474.624 shlwapi.dll 23.10.2006 16:17 39.424 pngfilt.dll 23.10.2006 16:17 448.512 mshtmled.dll 23.10.2006 16:17 3.076.096 mshtml.dll 23.10.2006 16:17 146.432 msrating.dll 23.10.2006 16:17 532.480 mstime.dll 23.10.2006 16:17 96.768 inseng.dll 23.10.2006 16:17 205.312 dxtrans.dll 23.10.2006 16:17 16.384 jsproxy.dll 23.10.2006 16:17 1.022.976 browseui.dll 23.10.2006 16:17 251.392 iepeers.dll 23.10.2006 16:17 1.056.256 danim.dll 23.10.2006 16:17 55.808 extmgr.dll 23.10.2006 16:17 357.888 dxtmsft.dll 23.10.2006 16:17 152.064 cdfview.dll 23.10.2006 12:42 123.392 xpsp3res.dll 20.10.2006 02:38 715.776 sxs.dll 18.10.2006 21:58 8.704 uwdf.exe 18.10.2006 21:58 8.704 wdfmgr.exe 18.10.2006 21:47 603.648 WMSPDMOD.dll 18.10.2006 21:47 1.329.152 WMSPDMOE.dll 18.10.2006 21:47 4.096 WMVADVD.dll 18.10.2006 21:47 4.096 WMVADVE.DLL 18.10.2006 21:47 2.450.944 wmvcore.dll 18.10.2006 21:47 1.543.680 WMVDECOD.dll 18.10.2006 21:47 4.096 wmsdmoe2.dll 18.10.2006 21:47 4.096 wmvdmod.dll 18.10.2006 21:47 133.632 WPDShServiceObj.dll 18.10.2006 21:47 2.603.008 WpdShext.dll 18.10.2006 21:47 2.450.944 SET7D.tmp 18.10.2006 21:47 4.096 wmvdmoe2.dll 18.10.2006 21:47 63.488 wpdmtpus.dll 18.10.2006 21:47 1.574.912 WMVENCOD.dll 18.10.2006 21:47 356.352 wpdsp.dll 18.10.2006 21:47 629.760 wpd_ci.dll 18.10.2006 21:47 1.382.912 WMVSDECD.dll 18.10.2006 21:47 767.488 WMVSENCD.dll 18.10.2006 21:47 656.896 WMVXENCD.dll 18.10.2006 21:47 154.624 wpdmtp.dll 18.10.2006 21:47 35.840 wpdconns.dll 18.10.2006 21:47 4.096 wmsdmod.dll 18.10.2006 21:47 348.672 wmdrmnet.dll 18.10.2006 21:47 204.288 wmpsrcwp.dll 18.10.2006 21:47 535.040 wmdrmsdk.dll 18.10.2006 21:47 130.048 wmpps.dll 18.10.2006 21:47 157.184 wmidx.dll 18.10.2006 21:47 613.376 wmpmde.dll 18.10.2006 21:47 937.984 WMNetMgr.dll 18.10.2006 21:47 1.661.440 wmpencen.dll 18.10.2006 21:47 295.936 wmpeffects.dll 18.10.2006 21:47 314.880 wmpdxm.dll 18.10.2006 21:47 10.834.432 wmp.dll 18.10.2006 21:47 242.688 SETC0.tmp 18.10.2006 21:47 242.688 wmpasf.dll 18.10.2006 21:47 199.168 PortableDeviceWMDRM.dll 18.10.2006 21:47 222.208 wmasf.dll 18.10.2006 21:47 33.792 wmdmlog.dll 18.10.2006 21:47 1.117.696 WMADMOE.dll 18.10.2006 21:47 4.096 wdfapi.dll 18.10.2006 21:47 166.912 PortableDeviceTypes.dll 18.10.2006 21:47 757.248 WMADMOD.dll 18.10.2006 21:47 284.160 PortableDeviceApi.dll 18.10.2006 21:47 222.208 SET71.tmp 18.10.2006 21:47 37.376 wmdmps.dll 18.10.2006 21:47 429.056 wmdrmdev.dll 18.10.2006 21:47 211.456 qasf.dll 18.10.2006 21:47 132.096 PortableDeviceWiaCompat.dll 18.10.2006 21:47 101.888 PortableDeviceClassExtension.dll 18.10.2006 21:47 27.136 mspmsnsv.dll 18.10.2006 21:47 179.712 msnetobj.dll 18.10.2006 21:47 321.536 mswmdm.dll 18.10.2006 21:47 414.208 msscp.dll 18.10.2006 21:47 175.616 mspmsp.dll 18.10.2006 21:47 4.096 MP4SDMOD.dll 18.10.2006 21:47 259.072 MPG4DECD.dll 18.10.2006 21:47 259.072 MP43DECD.dll 18.10.2006 21:47 4.096 MP43DMOD.dll 18.10.2006 21:47 212.992 MFPLAT.dll 18.10.2006 21:47 4.096 MPG4DMOD.dll 18.10.2006 21:47 11.264 LAPRXY.dll 18.10.2006 21:47 317.440 MP4SDECD.dll 18.10.2006 21:47 542.720 blackbox.dll 18.10.2006 21:47 229.376 cewmdm.dll 18.10.2006 21:47 991.744 drmv2clt.dll 18.10.2006 21:47 276.992 audiodev.dll 18.10.2006 20:05 232.448 l3codecp.acm 18.10.2006 20:03 100.864 logagent.exe 18.10.2006 20:00 249.856 drmupgds.exe 18.10.2006 20:00 17.408 wpdshextautoplay.exe 13.10.2006 13:35 146.432 nwprovau.dll 02.10.2006 15:28 312.128 msdelta.dll 2 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30D0-00C4 Verzeichnis von C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp 05.02.2007 00:14 49.152 ~DF1C53.tmp 1 Datei(en) 49.152 Bytes 0 Verzeichnis(se), 51.318.616.064 Bytes frei 3 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30D0-00C4 Verzeichnis von C:\WINDOWS 05.02.2007 00:14 71 WinNetOptimize98ag.cfg 05.02.2007 00:13 0 0.log 05.02.2007 00:13 159 WIADEBUG.LOG 05.02.2007 00:13 1.828.109 WindowsUpdate.log 05.02.2007 00:12 50 WIASERVC.LOG 05.02.2007 00:12 2.048 BOOTSTAT.DAT 05.02.2007 00:11 32.084 SchedLgU.Txt 04.02.2007 18:00 42.736 setupapi.log 04.02.2007 16:37 69 NeroDigital.ini 04.02.2007 16:00 8.704 Thumbs.db 03.02.2007 16:16 456.008 wmsetup.log 02.02.2007 10:36 54.156 QTFont.qfn 31.01.2007 18:35 1.044 WIN.INI 30.01.2007 22:34 214 HP_48BitScanUpdatePatch.ini 30.01.2007 22:00 86.226 DirectX.log 16.01.2007 18:44 43.723 wmsetup10.log 11.01.2007 00:09 161.560 IIS6.LOG 11.01.2007 00:09 405.596 TSOC.LOG 11.01.2007 00:09 1.374 imsins.log 11.01.2007 00:09 213.823 ntdtcsetup.log 11.01.2007 00:09 50.364 OCMSN.LOG 11.01.2007 00:09 302.616 comsetup.log 11.01.2007 00:09 10.597 KB929969.log 11.01.2007 00:09 458.504 ocgen.log 11.01.2007 00:09 52.353 MSGSOCM.LOG 11.01.2007 00:09 1.021.683 FaxSetup.log 10.01.2007 11:42 1.409 QTFont.for 09.01.2007 13:14 1.086.885 setupapi.log.1.old 06.01.2007 11:43 211 uno.ini 05.01.2007 22:13 8.620 ModemLog_BCM V.92 56K Modem.txt 05.01.2007 19:13 1.452 COM+.log 16.12.2006 03:06 1.393 imsins.BAK 16.12.2006 03:06 17.910 KB925454.log 16.12.2006 03:06 42.289 updspapi.log 16.12.2006 03:06 17.204 KB925398.log 16.12.2006 03:02 11.200 KB926255.log 16.12.2006 03:02 11.066 KB923694.log 11.12.2006 11:58 1.187 ie7_main.log 28.11.2006 16:09 79.844 spupdsvc.log 27.11.2006 21:57 5.707 KB926239.log 27.11.2006 21:56 4.110 MSCompPackV1.log 27.11.2006 21:55 24.793 wmp11.log 27.11.2006 21:53 33.265 WMFDist11.log 27.11.2006 21:52 316.640 WMSysPr9.prx 27.11.2006 21:51 19.038 Wudf01000Inst.log 17.11.2006 00:29 15.993 KB923980.log 17.11.2006 00:29 16.122 KB924270.log 17.11.2006 00:28 15.337 KB920213.log 17.11.2006 00:28 18.109 KB922760.log 4 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30D0-00C4 Verzeichnis von C:\WINDOWS\temp 5 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30D0-00C4 Verzeichnis von C:\WINDOWS\Downloaded Program Files 03.11.2005 20:24 495 LegitCheckControl.inf 15.10.2004 07:53 110.592 PURde-xx.dll 08.10.2004 16:13 587 MSNPupld.inf 08.10.2004 16:01 372.736 MsnPUpld.dll 22.09.2004 15:59 110.592 PURen-us.dll 11.03.2004 12:35 1.271 erma.inf 27.05.2003 18:24 233.472 yacscom.dll 24.02.2003 15:10 3.540 swflash.inf 15.11.2002 12:23 901 iuctl.inf 31.08.2001 14:45 65 DESKTOP.INI 17.04.2000 13:04 3.072 voxacm.inf 10.04.2000 17:12 1.765 fhg.inf 20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd 13 Datei(en) 840.250 Bytes 0 Verzeichnis(se), 51.318.558.720 Bytes frei 6 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30D0-00C4 Verzeichnis von C:\ 05.02.2007 00:30 0 sys.txt 05.02.2007 00:30 910 down.txt 05.02.2007 00:30 117 tmp.txt 05.02.2007 00:30 18.028 system.txt 05.02.2007 00:29 295 systemtemp.txt 05.02.2007 00:28 109.832 system32.txt 05.02.2007 00:24 8.581 ComboFix.txt 05.02.2007 00:12 267.243.520 hiberfil.sys 05.02.2007 00:12 402.653.184 pagefile.sys 04.02.2007 16:40 4.382 devicetable.log 06.01.2007 11:45 532 TO_InstallLog.txt 24.12.2006 15:16 352.137 swlist.reg 06.08.2005 13:56 210 BOOT.INI 27.10.2004 17:55 211 BOOT.BKK 27.10.2004 17:45 47.564 NTDETECT.COM 27.10.2004 17:45 251.184 NTLDR 22.05.2004 15:30 192 BcBtRmv.log 16.11.2003 14:56 201 UVS7_WKLog.txt 13.08.2003 10:59 11.451 plugins.htm 13.08.2003 10:59 4.329 versions.dat 26.06.2003 12:21 0 IO.SYS 26.06.2003 12:21 0 MSDOS.SYS 15.01.2003 18:34 1.821 aconti.log1 20.08.2002 15:55 3.498 DELL.SDR 31.08.2001 14:46 0 AUTOEXEC.BAT 31.08.2001 14:46 0 CONFIG.SYS 31.08.2001 14:24 512 BOOTSECT.DOS 18.08.2001 05:00 4.952 BOOTFONT.BIN 24.05.2001 11:59 162.304 UNWISE.EXE 29 Datei(en) 670.879.947 Bytes 0 Verzeichnis(se), 51.318.546.432 Bytes frei so hier sind alle Reports. Es sollte ansich nichts fehlen. Bin gespannt ob man mit diesen Hyroglyphen was anfange kann. Nochmals vielen vielen dank im vorraus. Dieser Beitrag wurde am 05.02.2007 um 00:46 Uhr von savashi editiert.
|
|
|
||
05.02.2007, 09:58
Ehrenmitglied
Beiträge: 29434 |
#4
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Network Security Service in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) atlhz32 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) {DFAA31C8-A356-4313-9D95-5EDAB46C5070} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ------------------------------------------------------------------------ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4«« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» poste hier das log vom Avenger, was nach neustart erscheint «« smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html ---------------------------------------------------------------------- «« SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und hier in den Beitrag ____________________________________________________________________________________ öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2007, 12:14
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo, nochmals danke für die schnelle Antwort.
Ich habe die fixme.reg zur Regestry zugefügt. Aber Anwendung mit http://virus-protect.org/artikel/tools/regsearch.html funktioniert nicht ganz so, wie es sein sollte. Wenn ich {DFAA31C8-A356-4313-9D95-5EDAB46C5070} , Network Security Service oder atlhz32 in Registry Search eingebe, erscheint nach dem search ein Fenster mit der Nachricht ,,Integer overflow''. Was jetzt? |
|
|
||
05.02.2007, 12:22
Ehrenmitglied
Beiträge: 29434 |
#6
versuche es mit diesem proggie
Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: (siehe oben) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2007, 20:34
...neu hier
Themenstarter Beiträge: 4 |
#7
Ok habe jetzt alles versucht zu befolgen wie angewiesen. Hier dir Logfiles:
Network Security Service REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Network Security Service" 05.02.2007 12:59:04 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3\0000] "DeviceDesc"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3] "DisplayName"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY___NS_SERVICE_3\0000] "DeviceDesc"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\__NS_Service_3] "DisplayName"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3\0000] "DeviceDesc"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3] "DisplayName"="Network Security Service" atlhz32 REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "atlhz32" 05.02.2007 13:02:54 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8464B42A-E958-F9B3-589D-652C9F6B2883}\LocalServer32] @="C:\\WINDOWS\\system32\\atlhz32.exe" {DFAA31C8-A356-4313-9D95-5EDAB46C5070} REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{DFAA31C8-A356-4313-9D95-5EDAB46C5070}" 05.02.2007 12:53:44 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\KeyPhrasesFileName] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter\CLSID] @="{DFAA31C8-A356-4313-9D95-5EDAB46C5070}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter.1\CLSID] @="{DFAA31C8-A356-4313-9D95-5EDAB46C5070}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html] "CLSID"="{DFAA31C8-A356-4313-9D95-5EDAB46C5070}" Avenger Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hegbctod ******************* Script file located at: \??\C:\WINDOWS\system32\rghikhxl.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\atlhz32.exe not found! Deletion of file C:\WINDOWS\system32\atlhz32.exe failed! Could not process line: C:\WINDOWS\system32\atlhz32.exe Status: 0xc0000034 File C:\WINDOWS\Downloaded Program Files\instafin.dll not found! Deletion of file C:\WINDOWS\Downloaded Program Files\instafin.dll failed! Could not process line: C:\WINDOWS\Downloaded Program Files\instafin.dll Status: 0xc0000034 File C:\WINDOWS\system32\lmf32v.dll not found! Deletion of file C:\WINDOWS\system32\lmf32v.dll failed! Could not process line: C:\WINDOWS\system32\lmf32v.dll Status: 0xc0000034 File C:\WINDOWS\SYSTEM32\reboot.txt deleted successfully. File C:\WINDOWS\SYSTEM32\ieurld.dll deleted successfully. File C:\WINDOWS\SYSTEM32\iebdfex.dll deleted successfully. File C:\WINDOWS\SYSTEM32\ierplc.dll deleted successfully. File C:\WINDOWS\SYSTEM32\iedebug.dll deleted successfully. File C:\WINDOWS\SYSTEM32\iepref32.dll deleted successfully. File C:\WINDOWS\SYSTEM32\lmdv.bin not found! Deletion of file C:\WINDOWS\SYSTEM32\lmdv.bin failed! Could not process line: C:\WINDOWS\SYSTEM32\lmdv.bin Status: 0xc0000034 File C:\WINDOWS\SYSTEM32\PreUninstall.exe not found! Deletion of file C:\WINDOWS\SYSTEM32\PreUninstall.exe failed! Could not process line: C:\WINDOWS\SYSTEM32\PreUninstall.exe Status: 0xc0000034 File C:\WINDOWS\SYSTEM32\uninst.exe deleted successfully. File C:\WINDOWS\SYSTEM32\Uninst.log not found! Deletion of file C:\WINDOWS\SYSTEM32\Uninst.log failed! Could not process line: C:\WINDOWS\SYSTEM32\Uninst.log Status: 0xc0000034 File C:\WINDOWS\SYSTEM32\HyperLinker3.exe not found! Deletion of file C:\WINDOWS\SYSTEM32\HyperLinker3.exe failed! Could not process line: C:\WINDOWS\SYSTEM32\HyperLinker3.exe Status: 0xc0000034 Folder C:\Programme\pokerstars deleted successfully. Folder C:\Programme\quickbar deleted successfully. Folder C:\Programme\mywebsearch deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} failed! Status: 0xc0000034 Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DFAA31C8-A356-4313-9D95-5EDAB46C5070} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DFAA31C8-A356-4313-9D95-5EDAB46C5070} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter.1 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HyperLinker not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HyperLinker failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\LM not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\LM failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. smitfraud.fix - hat nicht funktioniert SDFix SDFix: Version 1.63 05.02.2007 - 20:07:00,15 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: drivemngr Path: \??\C:\WINDOWS\System32\drivemngr.sys drivemngr Deleted Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\AdsGone\\adsgone.exe"="C:\\Programme\\AdsGone\\adsgone.exe:*isabledopup Killer Spyware blocker powered by AdsGone" "C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*isabled:Firefox" "C:\\UT2004Demo\\System\\UT2004.exe"="C:\\UT2004Demo\\System\\UT2004.exe:*:Enabled:UT2004" "C:\\Programme\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe"="C:\\Programme\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe:*isabled:jk2mp" "C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "C:\\UT2003Demo\\System\\UT2003.exe"="C:\\UT2003Demo\\System\\UT2003.exe:*isabled:UT2003" "C:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"="C:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe:*:Enabled:ma3platform" "C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*isabled:Windows Media Player" "C:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe:*:Enabled:Internet-Telefon" "C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"="C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe:*:Enabled:ZyXEL G-220 v2 Wireless Adapter Utility-Programm" "C:\\WINDOWS\\SYSTEM32\\mshta.exe"="C:\\WINDOWS\\SYSTEM32\\mshta.exe:*:Enabled:Microsoft (R) HTML Application host" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108450.com C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108451.com C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108452.com C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108453.com C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108454.com C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108455.com C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108456.com C:\WINDOWS\SYSTEM32\comctl32.dll C:\WINDOWS\SYSTEM32\mfc42.dll C:\WINDOWS\SYSTEM32\MFC42ENU.DLL C:\WINDOWS\SYSTEM32\msvcp60.dll C:\WINDOWS\SYSTEM32\msvcrt.dll C:\WINDOWS\SYSTEM32\MSVCRT20.DLL C:\WINDOWS\SYSTEM32\vbajet32.dll C:\hiberfil.sys C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp Finished so ich hoffe ich hab alles richtig gemacht. Sind die Trojanischen Pferde jetz weg????? danke schonmal |
|
|
||
06.02.2007, 00:06
Ehrenmitglied
Beiträge: 29434 |
#8
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: drivemngr poste, was erscheint ------------------------------------------------------------------------ Avenger Zitat Registry values to delete:-------- poste hier das log vom avenger, was nach neustart erscheint ** scanne und berichte, ob was gefunden wurde AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html ** http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport _____________________________________________________________________________ drivemngr.sys Command: C:\Windows\System32\drivemngr.sys Description: Added by the Troj/LdPinch-QB rootkit. This program, once loaded, hides other files related to this infection. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
kann mir bitte jemand helfen. Mein PC ist seit ein paar Tagen von unterschiedlichen Trojanischen Pferden befallen.
Ich habe folgende Trojanische Pferde in unterschiedlciehn Dateien mit Antivir gefunden:
TR/Dldr.Agent.AP.2
TR/Spy.Agent.PS.4
TR/Spy.Agent.PS.3
TR/Spy.Agent.PS.2
TR/Spy.Agent.PS.1
Das Problem ist, dass ständig neue Trojaner bei mir auftauchen in total unterschiedlcihen Dateien. Obwohl die infizierten Datein in Quarantäne sind oder zum Teil gelöscht wurden, tauchen trotzem immer wieder die selben Trojaner an unterschiedlcihen Orten (Datein/Quellen) auf.
Kann mir jemand sagen, wie ich diese nervigen Trojanischen Pferde entgültig loswerde? BITTE
Hier der Logfile von HiJackthis:
Logfile of HijackThis v1.99.1
Scan saved at 19:31:46, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Programme\AdsGone\adsgone.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis\HijackThis.exe\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O2 - BHO: InstaFinder - {4E7BD74F-2B8D-469E-DCF7-F96DA086B434} - C:\WINDOWS\DOWNLO~1\instafin.dll (file missing)
O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\system32\lmf32v.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [ZwSystemService] spoolsrv.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AdsGone 2004.lnk = C:\Programme\AdsGone\adsgone.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\system32\lmf32v.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe
O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\system32\atlhz32.exe (file missing)
Ich wäre euch sehr dankebar, wenn mir jemand helfen kann.
Danke im Vorraus