Netpumper Trojaner! Wie bekomm ich ihn weg?

#0
08.02.2007, 18:27
...neu hier

Beiträge: 3
#1 Moin Leute,

habe mir dummerweise netpumper gezogen. nun hab ich den salat...habe jetzt mit hijackthis einen scan gemacht, kann mir jemand bei der auswertung helfen, oder mir erklären, was ich nun tun muss? Vielen Dank im voraus

Logfile of HijackThis v1.99.1
Scan saved at 17:03:40, on 08.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\slserv.exe
D:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
D:\Pass\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - Winlogon Notify: WB - D:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe

Welche Dateien muss ich löschen?
Seitenanfang Seitenende
09.02.2007, 14:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Kässe

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 18:33
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo habe die Anweisungen mit dem Editor ausgeführt:
Ergebnis ist folgende Meldung:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Programme

09.02.2007 14:16 <DIR> .
09.02.2007 14:16 <DIR> ..
17.12.2006 21:53 <DIR> Adobe
09.02.2007 14:51 <DIR> AntiVir PersonalEdition Classic
14.11.2006 00:00 <DIR> AppleJuice
01.06.2006 15:50 <DIR> ATI Technologies
01.06.2006 16:02 <DIR> avmwlanstick
13.06.2006 12:43 <DIR> Canon
09.02.2007 00:08 <DIR> cFosSpeed
08.02.2007 17:07 <DIR> CleanUp!
01.06.2006 15:34 <DIR> ComPlus Applications
05.09.2006 20:33 <DIR> D-Tools
26.01.2007 18:26 <DIR> EA SPORTS
29.08.2006 12:46 <DIR> Easy CD & DVD Cover Creator
31.12.2006 21:53 <DIR> eMule
26.01.2007 13:24 <DIR> Fifa Master
25.11.2006 15:52 <DIR> FreeDoko
02.08.2006 13:43 <DIR> FRITZ!Box
02.08.2006 13:44 <DIR> FRITZ!DSL
02.08.2006 15:41 <DIR> Gemeinsame Dateien
14.08.2006 08:10 <DIR> GhostSurf
01.06.2006 19:31 <DIR> Hamachi
19.08.2006 10:03 <DIR> Hi-Speed USB Bridge-Network Cable
08.07.2006 16:40 <DIR> HP
26.09.2006 13:43 <DIR> ICOO Loader
02.08.2006 14:15 <DIR> ICQLite
03.06.2006 19:23 <DIR> ICQToolbar
01.06.2006 15:54 <DIR> Intel
15.12.2006 07:00 <DIR> Internet Explorer
09.02.2007 00:21 <DIR> JAP
09.02.2007 00:04 <DIR> Java
01.06.2006 16:07 <DIR> Kaspersky Lab
27.08.2006 17:47 <DIR> Lavasoft
01.06.2006 17:10 <DIR> Messenger
01.06.2006 15:43 <DIR> microsoft frontpage
10.07.2006 21:10 <DIR> Microsoft.NET
01.06.2006 15:35 <DIR> Movie Maker
09.02.2007 18:19 <DIR> Mozilla Firefox
01.06.2006 15:33 <DIR> MSN
01.06.2006 15:33 <DIR> MSN Gaming Zone
03.06.2006 18:25 <DIR> Nero
01.06.2006 15:35 <DIR> NetMeeting
20.07.2006 08:56 <DIR> Nokia
01.06.2006 15:52 <DIR> NSC
01.06.2006 15:34 <DIR> Online Services
01.06.2006 15:36 <DIR> Online-Dienste
15.12.2006 06:58 <DIR> Outlook Express
03.06.2006 22:02 <DIR> Pinup Strip Poker
07.06.2006 12:20 <DIR> Raxco
26.01.2007 00:01 <DIR> Smart Projects
09.02.2007 14:18 <DIR> Strokes 3.0
01.06.2006 15:51 <DIR> Synaptics
15.08.2006 16:54 <DIR> Total Video Converter
01.06.2006 15:54 <DIR> VIA Technologies, Inc
13.08.2006 09:17 <DIR> Winamp
13.08.2006 09:11 <DIR> Windows Media Player
01.06.2006 15:33 <DIR> Windows NT
01.06.2006 16:04 <DIR> WinRAR
27.08.2006 20:39 <DIR> WorldLabel.Com
01.06.2006 15:43 <DIR> xerox
0 Datei(en) 0 Bytes
60 Verzeichnis(se), 3.924.201.472 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten

02.06.2006 17:05 <DIR> Adobe
18.06.2006 15:30 <DIR> Ahead
04.09.2006 18:59 <DIR> ApplicationHistory
09.02.2007 14:06 119.808 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
02.08.2006 14:30 <DIR> FRITZ!
04.09.2006 18:58 139 fusioncache.dat
18.01.2007 21:25 70.704 GDIPFONTCACHEV1.DAT
09.08.2006 20:00 <DIR> Microsoft
15.06.2006 21:21 <DIR> Mozilla
09.08.2006 20:00 <DIR> WMTools Downloaded Files
01.06.2006 15:43 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150000}
01.06.2006 17:23 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150060}
3 Datei(en) 190.651 Bytes
9 Verzeichnis(se), 3.924.201.472 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Anwendungsdaten

29.08.2006 12:41 <DIR> Acoustica
17.12.2006 21:53 <DIR> Adobe
27.01.2007 22:29 <DIR> AdobeUM
05.06.2006 08:06 <DIR> Ahead
26.10.2006 21:20 <DIR> CD-LabelPrint
28.06.2006 16:37 <DIR> Datalayer
25.11.2006 17:02 <DIR> FreeDoko
09.02.2007 17:30 <DIR> FRITZ!
08.02.2007 22:37 <DIR> Hamachi
03.06.2006 18:45 <DIR> ICQLite
01.06.2006 15:49 <DIR> Identities
14.07.2006 16:24 <DIR> Image Zone Express
27.08.2006 17:47 <DIR> Lavasoft
01.06.2006 17:36 <DIR> Macromedia
15.06.2006 21:21 <DIR> Mozilla
08.02.2007 16:38 <DIR> NetPumper
28.06.2006 17:00 <DIR> Nokia
08.07.2006 16:40 <DIR> Printer Info Cache
03.06.2006 22:47 <DIR> SimonTools
01.06.2006 16:09 <DIR> SpamTest
18.06.2006 05:50 <DIR> Sun
01.06.2006 19:57 <DIR> Symantec
12.08.2006 20:18 <DIR> Tenebril
09.07.2006 20:46 <DIR> Ulead Systems
0 Datei(en) 0 Bytes
24 Verzeichnis(se), 3.924.197.376 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

02.08.2006 15:50 305 addr_file.html
17.12.2006 21:53 <DIR> Adobe
20.12.2006 20:01 <DIR> AntiVir PersonalEdition Classic
02.08.2006 15:48 <DIR> Avg7
01.06.2006 16:07 <DIR> Kaspersky Anti-Virus Personal
07.06.2006 12:20 <DIR> Raxco
02.08.2006 15:39 <DIR> Symantec
08.02.2007 17:43 <DIR> TEMP
20.07.2006 08:55 <DIR> Ulead Systems
02.08.2006 14:33 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
9 Verzeichnis(se), 3.924.197.376 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Programme\Gemeinsame Dateien

02.08.2006 15:41 <DIR> .
02.08.2006 15:41 <DIR> ..
08.01.2007 19:28 <DIR> Adobe
03.06.2006 18:25 <DIR> Ahead
02.08.2006 13:43 <DIR> AVM
10.07.2006 21:10 <DIR> DESIGNER
01.06.2006 15:35 <DIR> Dienste
08.07.2006 16:40 <DIR> HP
20.07.2006 08:55 <DIR> InstallShield
01.06.2006 15:43 <DIR> Java
01.06.2006 19:44 <DIR> Kaspersky Lab
10.07.2006 21:12 <DIR> Microsoft Shared
01.06.2006 15:35 <DIR> MSSoap
01.06.2006 16:26 <DIR> ODBC
20.07.2006 08:51 <DIR> PCSuite
07.06.2006 12:20 <DIR> Raxco
01.06.2006 16:26 <DIR> SpeechEngines
02.08.2006 15:43 <DIR> Symantec Shared
15.12.2006 06:58 <DIR> System
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 3.924.197.376 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Windows\tasks

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Programme

09.02.2007 14:16 <DIR> .
09.02.2007 14:16 <DIR> ..
17.12.2006 21:53 <DIR> Adobe
09.02.2007 14:51 <DIR> AntiVir PersonalEdition Classic
14.11.2006 00:00 <DIR> AppleJuice
01.06.2006 15:50 <DIR> ATI Technologies
01.06.2006 16:02 <DIR> avmwlanstick
13.06.2006 12:43 <DIR> Canon
09.02.2007 00:08 <DIR> cFosSpeed
08.02.2007 17:07 <DIR> CleanUp!
01.06.2006 15:34 <DIR> ComPlus Applications
05.09.2006 20:33 <DIR> D-Tools
26.01.2007 18:26 <DIR> EA SPORTS
29.08.2006 12:46 <DIR> Easy CD & DVD Cover Creator
31.12.2006 21:53 <DIR> eMule
26.01.2007 13:24 <DIR> Fifa Master
25.11.2006 15:52 <DIR> FreeDoko
02.08.2006 13:43 <DIR> FRITZ!Box
02.08.2006 13:44 <DIR> FRITZ!DSL
02.08.2006 15:41 <DIR> Gemeinsame Dateien
14.08.2006 08:10 <DIR> GhostSurf
01.06.2006 19:31 <DIR> Hamachi
19.08.2006 10:03 <DIR> Hi-Speed USB Bridge-Network Cable
08.07.2006 16:40 <DIR> HP
26.09.2006 13:43 <DIR> ICOO Loader
02.08.2006 14:15 <DIR> ICQLite
03.06.2006 19:23 <DIR> ICQToolbar
01.06.2006 15:54 <DIR> Intel
15.12.2006 07:00 <DIR> Internet Explorer
09.02.2007 00:21 <DIR> JAP
09.02.2007 00:04 <DIR> Java
01.06.2006 16:07 <DIR> Kaspersky Lab
27.08.2006 17:47 <DIR> Lavasoft
01.06.2006 17:10 <DIR> Messenger
01.06.2006 15:43 <DIR> microsoft frontpage
10.07.2006 21:10 <DIR> Microsoft.NET
01.06.2006 15:35 <DIR> Movie Maker
09.02.2007 18:19 <DIR> Mozilla Firefox
01.06.2006 15:33 <DIR> MSN
01.06.2006 15:33 <DIR> MSN Gaming Zone
03.06.2006 18:25 <DIR> Nero
01.06.2006 15:35 <DIR> NetMeeting
20.07.2006 08:56 <DIR> Nokia
01.06.2006 15:52 <DIR> NSC
01.06.2006 15:34 <DIR> Online Services
01.06.2006 15:36 <DIR> Online-Dienste
15.12.2006 06:58 <DIR> Outlook Express
03.06.2006 22:02 <DIR> Pinup Strip Poker
07.06.2006 12:20 <DIR> Raxco
26.01.2007 00:01 <DIR> Smart Projects
09.02.2007 14:18 <DIR> Strokes 3.0
01.06.2006 15:51 <DIR> Synaptics
15.08.2006 16:54 <DIR> Total Video Converter
01.06.2006 15:54 <DIR> VIA Technologies, Inc
13.08.2006 09:17 <DIR> Winamp
13.08.2006 09:11 <DIR> Windows Media Player
01.06.2006 15:33 <DIR> Windows NT
01.06.2006 16:04 <DIR> WinRAR
27.08.2006 20:39 <DIR> WorldLabel.Com
01.06.2006 15:43 <DIR> xerox
0 Datei(en) 0 Bytes
60 Verzeichnis(se), 4.468.260.864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten

02.06.2006 17:05 <DIR> Adobe
18.06.2006 15:30 <DIR> Ahead
04.09.2006 18:59 <DIR> ApplicationHistory
09.02.2007 14:06 119.808 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
02.08.2006 14:30 <DIR> FRITZ!
04.09.2006 18:58 139 fusioncache.dat
18.01.2007 21:25 70.704 GDIPFONTCACHEV1.DAT
09.08.2006 20:00 <DIR> Microsoft
15.06.2006 21:21 <DIR> Mozilla
09.08.2006 20:00 <DIR> WMTools Downloaded Files
01.06.2006 15:43 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150000}
01.06.2006 17:23 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150060}
3 Datei(en) 190.651 Bytes
9 Verzeichnis(se), 4.468.260.864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Anwendungsdaten

29.08.2006 12:41 <DIR> Acoustica
17.12.2006 21:53 <DIR> Adobe
27.01.2007 22:29 <DIR> AdobeUM
05.06.2006 08:06 <DIR> Ahead
26.10.2006 21:20 <DIR> CD-LabelPrint
28.06.2006 16:37 <DIR> Datalayer
25.11.2006 17:02 <DIR> FreeDoko
09.02.2007 17:30 <DIR> FRITZ!
08.02.2007 22:37 <DIR> Hamachi
03.06.2006 18:45 <DIR> ICQLite
01.06.2006 15:49 <DIR> Identities
14.07.2006 16:24 <DIR> Image Zone Express
27.08.2006 17:47 <DIR> Lavasoft
01.06.2006 17:36 <DIR> Macromedia
15.06.2006 21:21 <DIR> Mozilla
08.02.2007 16:38 <DIR> NetPumper
28.06.2006 17:00 <DIR> Nokia
08.07.2006 16:40 <DIR> Printer Info Cache
03.06.2006 22:47 <DIR> SimonTools
01.06.2006 16:09 <DIR> SpamTest
18.06.2006 05:50 <DIR> Sun
01.06.2006 19:57 <DIR> Symantec
12.08.2006 20:18 <DIR> Tenebril
09.07.2006 20:46 <DIR> Ulead Systems
0 Datei(en) 0 Bytes
24 Verzeichnis(se), 4.468.256.768 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

02.08.2006 15:50 305 addr_file.html
17.12.2006 21:53 <DIR> Adobe
20.12.2006 20:01 <DIR> AntiVir PersonalEdition Classic
02.08.2006 15:48 <DIR> Avg7
01.06.2006 16:07 <DIR> Kaspersky Anti-Virus Personal
07.06.2006 12:20 <DIR> Raxco
02.08.2006 15:39 <DIR> Symantec
08.02.2007 17:43 <DIR> TEMP
20.07.2006 08:55 <DIR> Ulead Systems
02.08.2006 14:33 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
9 Verzeichnis(se), 4.468.256.768 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Programme\Gemeinsame Dateien

02.08.2006 15:41 <DIR> .
02.08.2006 15:41 <DIR> ..
08.01.2007 19:28 <DIR> Adobe
03.06.2006 18:25 <DIR> Ahead
02.08.2006 13:43 <DIR> AVM
10.07.2006 21:10 <DIR> DESIGNER
01.06.2006 15:35 <DIR> Dienste
08.07.2006 16:40 <DIR> HP
20.07.2006 08:55 <DIR> InstallShield
01.06.2006 15:43 <DIR> Java
01.06.2006 19:44 <DIR> Kaspersky Lab
10.07.2006 21:12 <DIR> Microsoft Shared
01.06.2006 15:35 <DIR> MSSoap
01.06.2006 16:26 <DIR> ODBC
20.07.2006 08:51 <DIR> PCSuite
07.06.2006 12:20 <DIR> Raxco
01.06.2006 16:26 <DIR> SpeechEngines
02.08.2006 15:43 <DIR> Symantec Shared
15.12.2006 06:58 <DIR> System
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 4.468.256.768 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64E7-7BF6

Verzeichnis von C:\Windows\tasks



Habe auch combofix ausgeführt.
Ergebnis:

"Markus" - 07-02-09 18:25:37 Service Pack 2
ComboFix 07-02-08.2 - Running from: "C:\Dokumente und Einstellungen\Markus\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2007-01-09 to 2007-02-09 ))))))))))))))))))))))))))))))))))


2007-02-09 14:16 <DIR> d-------- C:\Programme\Strokes 3.0
2007-02-08 23:27 <DIR> d-------- C:\Programme\JAP
2007-02-08 19:52 <DIR> d-------- C:\DOKUME~1\Markus\Anwendungsdaten\Hamachi
2007-02-08 16:55 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP
2007-02-08 16:38 <DIR> d-------- C:\DOKUME~1\Markus\Anwendungsdaten\NetPumper
2007-01-26 18:26 <DIR> d-------- C:\Programme\EA SPORTS
2007-01-26 13:24 <DIR> d-------- C:\Programme\Fifa Master
2007-01-26 00:01 <DIR> d-------- C:\Programme\Smart Projects


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-09 18:19 -------- d-------- C:\Programme\mozilla firefox
2007-02-09 17:30 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\fritz!
2007-02-09 14:51 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-09 00:08 -------- d-------- C:\Programme\cfosspeed
2007-02-09 00:04 -------- d-------- C:\Programme\java
2007-02-08 19:53 17480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-01-27 22:29 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\adobeum
2007-01-26 23:13 76410 --a------ C:\WINDOWS\system32\perfc007.dat
2007-01-26 23:13 419544 --a------ C:\WINDOWS\system32\perfh007.dat
2006-12-31 21:53 -------- d-------- C:\Programme\emule
2006-12-17 21:53 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\adobe
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe"
"NWEReboot"=""
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0\\bin\\jusched.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cFosSpeed]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cFosSpeed"
"hkey"="HKLM"
"command"="C:\\Programme\\cFosSpeed\\cFosSpeed.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LaunchApplication"
"hkey"="HKLM"
"command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -onlytray"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PcSync2"
"hkey"="HKCU"
"command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="wbsys.dll"


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12c999c4-f331-11da-a5ce-00040ec25925}]
Shell\AutoRun\command F:\Setup.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{33369c97-f1a3-11da-a5cc-00040ec25925}]
Shell\AutoRun\command F:\Setupx.exe


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-09 18:27:09




Ist der Trojaner nun noch da oder wurde er mittels dieser progs bereinigt?
Bitte um weitere Hilfe
Seitenanfang Seitenende
10.02.2007, 00:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9527D42F-D666-11D3-B8DD-00600838CD5F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9527D42F-D666-11D3-B8DD-00600838CD5F}

Folders to delete:
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\NetPumper
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit dr.web
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 09:26
...neu hier

Themenstarter

Beiträge: 3
#5 Vielen dank für die schnelle Hilfe.

Das Editor Ergebnis:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xeyapcdo

*******************

Script file located at: \??\C:\ydmcnync.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\NetPumper deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9527D42F-D666-11D3-B8DD-00600838CD5F} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9527D42F-D666-11D3-B8DD-00600838CD5F} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9527D42F-D666-11D3-B8DD-00600838CD5F} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: