*.tmp dateien im windows\temp ordner :(

#0
25.02.2007, 23:09
...neu hier

Beiträge: 7
#1 Hi !
Normalerweise poste ich ja nicht in solchen foren, aber hier fand ich wirklich mal super tolle posts und denke das mir hier sicher geholfen werden kann :o)

Ich hatte vor kurzen ein paar viren drauf, udial, vundo etc.
Habe schon diverse tools versucht teils viren löschen können jedoch bekomme ich immernoch permanent *.tmp dateien in mein c:\windows\temp.

Nortron schreit auch permanent:

Source: Manual Scanner
Risk category: Virus
Click for more information about this risk : Trojan Horse
Action taken: Quarantined
Description: Affected areas:
1 Files:
c:\WINDOWS\Temp\mst248.tmp - Quarantined

1 Additional areas:
Unknown - Deleted

-------

Source: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RIM27KKO\xc23[1].exe
Click for more information about this risk : Downloader
Action taken: Repair failed
Action taken: Quarantine failed
Action taken: Access denied

-------


Hier mal mein hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 23:07:59, on 25.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\AMSBG VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\Audio Deck\EnMixCPL.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Maxthon2\Maxthon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Uniblue\SpyEraser\SpyEraser.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
D:\Warez\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = amswebprx.ams.or.at:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = mozent.d0000
intranet.amsbg.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programme\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherBug] C:\Program Files\AWS\WeatherBug\WeatherBug.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "t:\backup\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Programme\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://mail1.amsbg.at/iNotes6W.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: vtutrqp - C:\WINDOWS\SYSTEM32\vtutrqp.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: winbqe32 - C:\WINDOWS\SYSTEM32\winbqe32.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: AMSBG VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\AMSBG VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


--------


datfind:

sys:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\

25.02.2007 23:03 0 sys.txt
25.02.2007 23:03 753 down.txt
25.02.2007 23:03 323 tmp.txt
25.02.2007 23:03 12.127 system.txt
25.02.2007 23:03 494 systemtemp.txt
25.02.2007 23:03 118.321 system32.txt
25.02.2007 22:58 2.184 VundoFix.txt
25.02.2007 15:44 2.146.938.880 pagefile.sys
20.02.2007 16:59 0 1290735586
11.02.2007 15:50 227 boot.ini
10.02.2007 17:43 2.757 test.txt
04.12.2006 23:35 524.164 platte.evt
05.11.2006 22:07 0 DBS.TXT
25.09.2006 19:12 0 logwmemory.bin
21.02.2006 14:39 53.248 mountdiag.exe
06.02.2006 14:28 216 DebugTrace-RockallDLL.log
06.01.2006 20:01 2.364 CtDrvStp.log
06.01.2006 20:01 97 CtDrvIns.log
28.12.2005 08:22 253.958 T-VPN-Install.log
23.11.2005 14:04 211 Kopie von boot.ini
23.11.2005 14:01 47.564 NTDETECT.COM
23.11.2005 14:01 251.184 ntldr
23.11.2005 13:28 0 MSDOS.SYS
23.11.2005 13:28 0 CONFIG.SYS
23.11.2005 13:28 0 AUTOEXEC.BAT
23.11.2005 13:28 0 IO.SYS
31.10.2005 16:56 700.416 StubInstaller.exe
23.08.2001 13:00 4.952 bootfont.bin
28 Datei(en) 2.148.914.440 Bytes
0 Verzeichnis(se), 6.675.144.704 Bytes frei


tmp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\WINDOWS\Temp

25.02.2007 22:54 0 win23C.tmp
25.02.2007 22:54 0 win23B.tmp
2 Datei(en) 0 Bytes
0 Verzeichnis(se), 6.675.152.896 Bytes frei


down:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 16:44 367 LegitCheckControl.inf
09.11.2006 14:36 5.019 swflash.inf
08.08.2006 11:45 576 kavwebscan.inf
23.11.2005 13:28 65 desktop.ini
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
02.02.2005 13:18 360 inotes6W.inf
02.02.2005 13:18 262.144 inotes6W.dll
9 Datei(en) 383.298 Bytes
0 Verzeichnis(se), 6.675.152.896 Bytes frei

system:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\WINDOWS

25.02.2007 16:10 54.156 QTFont.qfn
25.02.2007 15:51 1.786.078 WindowsUpdate.log
25.02.2007 15:45 0 0.log
25.02.2007 15:45 157 wiadebug.log
25.02.2007 15:45 50 wiaservc.log
25.02.2007 15:44 2.048 bootstat.dat
25.02.2007 15:43 32.580 SchedLgU.Txt
25.02.2007 15:27 675.158 ntbtlog.txt
25.02.2007 15:14 1.021.046 setupapi.log
20.02.2007 17:55 1.447 LUINSTALL.LOG
20.02.2007 17:00 2.146.938.880 MEMORY.DMP
20.02.2007 00:41 133.603 wmsetup.log
18.02.2007 20:47 143.469 ntdtcsetup.log
18.02.2007 20:47 820.452 iis6.log
18.02.2007 20:47 235.409 comsetup.log

systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

25.02.2007 23:02 48 WcesView.log
25.02.2007 23:00 559 WCESCOMM.LOG
25.02.2007 23:00 862.098 WCESLog.log
25.02.2007 22:48 16.384 ~DF2F73.tmp
22.02.2007 04:20 117 CE67013C.TMP
5 Datei(en) 879.206 Bytes
0 Verzeichnis(se), 6.675.165.184 Bytes frei

system32

post wird zu lange hier der link : http://dream-colour.at/wow/system32.txt

comboscan log: http://dream-colour.at/wow/ComboScan.txt

http://dream-colour.at/wow/Supplementary.txt

----------

Zitat

C:\Programme\Gemeinsame Dateien\{4CEF0FE2-096B-1031-0907-05061420002b}

C:\WINDOWS\system32\vtutrqp.dll
C:\WINDOWS\system32\winbqe32.dll
C:\WINDOWS\Temp\win23C.tmp
C:\WINDOWS\Temp\win23B.tmp

C:\WINDOWS\Tasks\Uniblue SpyEraser.job

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue
C:\Programme\Uniblue
C:\Programme\XoftSpySE
C:\Programme\DAEMON Tools
C:\Program Files\AWS\WeatherBug\WeatherBug.exe


2007-02-12 18:23:26 33792 --a------ C:\WINDOWS\system32\rundll32.exe

2007-01-31 18:09:54 0 d-------- C:\luci

--------

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"WeatherBug"=-
"Uniblue SpyEraser"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DAEMON Tools"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{010FF400-8DFB-439D-987B-DCDE5195F4D8}"=""
"{601774FD-4B3F-44F0-99E3-B0E4E0146F65}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtutrqp
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbqe32


2007-02-13 12:42:12 0 d-------- C:\WINDOWS\system32\iis
2007-02-12 21:25:52 0 d-------- C:\Programme\WinImage
2007-02-12 18:44:52 0 d-------- C:\Programme\XoftSpySE<XOFTSP~1>
2007-02-12 18:23:26 33792 --a------ C:\WINDOWS\system32\rundll32.exe
2007-02-12 18:21:21 0 d-------- C:\Programme\Uniblue



-
Dieser Beitrag wurde am 25.02.2007 um 23:18 Uhr von strangerr editiert.
Seitenanfang Seitenende
26.02.2007, 10:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 strangerr

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\rundll32.exe

poste den report

-------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' dir "an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\luci" >>files.txt
dir "C:\Programme\Uniblue" >>files.txt
dir "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{4CEF0FE2-096B-1031-0907-05061420002b}" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2007, 13:54
...neu hier

Themenstarter

Beiträge: 7
#3 Danke für die super schnelle antwort. Irgendwie hat sich mal wieder n download angeschmissen und der vundo oder wie der heisst war wieder da :/

Wie darf ich denn die rot/blau markierten sachen verstehen bzw das zitat? soll ich die dinge alle löschen? xsoftspy is zb ein sehr gutes anti spyware programm das mir sehr viele cookies und reg einträge gefunden hat. oder das programm auch nicht "sauber"?


hier das log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\luci

31.01.2007 18:10 <DIR> .
31.01.2007 18:10 <DIR> ..
29.10.2006 14:14 323.487 DSC00029.JPG
03.11.2006 17:38 292.072 DSC00032.JPG
03.11.2006 17:39 306.984 DSC00033.JPG
26.11.2006 12:33 207.889 DSC00037.JPG
26.11.2006 12:36 202.314 DSC00038.JPG
26.11.2006 12:36 192.393 DSC00039.JPG
24.12.2006 14:44 421.741 DSC00041.JPG
24.12.2006 14:44 404.414 DSC00042.JPG
24.12.2006 14:45 429.373 DSC00043.JPG
24.12.2006 14:45 362.974 DSC00044.JPG
24.12.2006 14:45 421.167 DSC00045.JPG
24.12.2006 14:46 401.557 DSC00046.JPG
24.12.2006 14:46 419.661 DSC00047.JPG
24.12.2006 14:46 416.614 DSC00048.JPG
24.12.2006 15:12 283.678 DSC00049.JPG
24.12.2006 15:14 283.424 DSC00050.JPG
24.12.2006 15:16 346.244 DSC00051.JPG
24.12.2006 15:16 345.545 DSC00052.JPG
24.12.2006 15:17 362.396 DSC00054.JPG
24.12.2006 15:33 380.394 DSC00055.JPG
24.12.2006 15:33 372.020 DSC00056.JPG
24.12.2006 15:33 365.025 DSC00057.JPG
24.12.2006 15:34 358.371 DSC00058.JPG
24.12.2006 15:34 353.081 DSC00059.JPG
24.12.2006 19:06 347.921 DSC00060.JPG
24.12.2006 19:06 363.149 DSC00061.JPG
24.12.2006 19:07 325.247 DSC00062.JPG
24.12.2006 19:07 334.887 DSC00063.JPG
24.12.2006 19:09 331.720 DSC00064.JPG
24.12.2006 19:09 347.760 DSC00065.JPG
24.12.2006 19:11 288.771 DSC00066.JPG
24.12.2006 19:12 307.037 DSC00067.JPG
24.12.2006 19:12 314.973 DSC00068.JPG
25.12.2006 14:52 339.055 DSC00069.JPG
25.12.2006 14:52 357.609 DSC00070.JPG
31.01.2007 18:10 11.882.011 luci.rar
36 Datei(en) 23.792.958 Bytes
2 Verzeichnis(se), 6.450.860.032 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue

26.02.2007 01:35 <DIR> .
26.02.2007 01:35 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.450.860.032 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.02.2005 13:18 262.144 inotes6W.dll
02.02.2005 13:18 360 inotes6W.inf
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
08.08.2006 11:45 576 kavwebscan.inf
11.12.2006 16:44 367 LegitCheckControl.inf
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
09.11.2006 14:36 5.019 swflash.inf
7 Datei(en) 269.569 Bytes
0 Verzeichnis(se), 6.450.860.032 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Programme\Gemeinsame Dateien\{4CEF0FE2-096B-1031-0907-05061420002b}

12.02.2007 19:15 <DIR> .
12.02.2007 19:15 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.450.860.032 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Program Files

18.06.2006 20:26 <DIR> .
18.06.2006 20:26 <DIR> ..
18.06.2006 20:26 <DIR> AWS
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 6.450.860.032 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5

26.02.2007 09:27 1.212.416 index.dat
1 Datei(en) 1.212.416 Bytes
0 Verzeichnis(se), 6.450.855.936 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

26.02.2007 10:55 <DIR> .
26.02.2007 10:55 <DIR> ..
21.02.2007 08:14 117 CE67013C.TMP
26.02.2007 02:44 <DIR> Domino Web Access
26.02.2007 02:40 77.824 inres6_de.dll
26.02.2007 03:03 126 ramA.ram
26.02.2007 01:59 970 TempICQCLImage9316998019495.html
26.02.2007 01:55 978 TempICQMagicNumber_9316951623945.html
26.02.2007 01:49 <DIR> VBE
26.02.2007 01:33 559 WCESCOMM.LOG
26.02.2007 02:54 1.348 WCESLog.log
26.02.2007 01:35 144 WcesView.log
26.02.2007 01:33 <DIR> WPDNSE
12.02.2007 18:21 674.138 _iu14D2N.tmp
26.02.2007 01:56 512 ~DF17FF.tmp
26.02.2007 01:54 16.384 ~DF5B99.tmp
26.02.2007 01:54 512 ~DF5BAE.tmp
26.02.2007 01:49 16.384 ~DF61CA.tmp
26.02.2007 01:49 512 ~DF61EE.tmp
26.02.2007 01:49 32.768 ~DF942F.tmp
26.02.2007 01:30 16.384 ~DFB149.tmp
16 Datei(en) 839.660 Bytes
5 Verzeichnis(se), 6.450.855.936 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\WINDOWS\Temp

26.02.2007 12:56 <DIR> .
26.02.2007 12:56 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.450.855.936 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Programme

26.02.2007 01:35 <DIR> .
26.02.2007 01:35 <DIR> ..
06.02.2007 23:27 <DIR> AC3Filter
22.12.2005 03:11 <DIR> ACD Systems
25.11.2005 17:23 <DIR> Adobe
08.01.2007 16:39 <DIR> Ahead
12.02.2007 18:24 <DIR> AMSBG VPN Client
01.05.2006 10:47 <DIR> Audio Deck
04.12.2005 21:34 <DIR> audiograbber
28.10.2006 00:10 <DIR> AV Vcs 4.0 DIAMOND
05.11.2006 22:06 <DIR> Avanquest update
25.02.2007 16:17 <DIR> CCleaner
25.02.2007 22:56 <DIR> CleanUp!
06.01.2006 20:02 <DIR> Creative
24.11.2005 19:46 <DIR> CyberLink
24.11.2005 19:45 <DIR> CyberLink DVD Solution
24.11.2005 20:47 <DIR> DAEMON Tools
06.11.2006 17:42 <DIR> Data Doctor Recovery - Sim Card (Evaluation Version)
06.11.2006 17:59 <DIR> Dekart
11.02.2007 15:50 <DIR> DIFX
05.12.2005 18:44 <DIR> directx
06.02.2007 22:58 <DIR> DivX
03.03.2006 19:52 <DIR> DJ A.C.T Demo v1.0
27.11.2005 14:32 <DIR> Driver Cleaner Pro
04.12.2005 21:31 <DIR> easetech
12.12.2005 14:08 <DIR> EPSON
12.02.2007 16:37 <DIR> Etlin HTTP Proxy
17.02.2006 18:58 <DIR> File Scavenger 3.0
07.03.2006 21:08 <DIR> FlashFXP
08.11.2006 01:19 <DIR> Fma
24.11.2005 13:02 <DIR> Futuremark
20.02.2007 18:03 <DIR> Gemeinsame Dateien
25.02.2007 16:27 <DIR> Golden FTP Server
26.10.2006 19:49 <DIR> Google
25.02.2007 02:50 <DIR> ICQ
24.11.2005 20:28 457 INSTALL.LOG
18.02.2007 20:46 <DIR> Internet Explorer
22.12.2006 17:51 <DIR> Java
07.07.2006 23:20 <DIR> LimeWire
23.11.2005 14:54 <DIR> MadOnion.com
20.02.2007 16:54 <DIR> MagicISO
10.02.2007 22:39 <DIR> Maxthon
25.02.2007 15:42 <DIR> Maxthon2
23.11.2005 14:42 <DIR> Messenger
06.11.2006 18:18 <DIR> MfGware
09.02.2007 17:22 <DIR> Microsoft ActiveSync
23.11.2005 13:29 <DIR> microsoft frontpage
23.12.2005 16:19 <DIR> Microsoft IntelliPoint
24.11.2005 20:15 <DIR> Microsoft IntelliPoint 5.2
07.06.2006 20:18 <DIR> Microsoft Office
07.06.2006 20:18 <DIR> Microsoft Visual Studio
07.06.2006 20:19 <DIR> Microsoft Works
26.11.2005 14:28 <DIR> Motherboard Monitor 5
05.11.2006 22:08 <DIR> Motorola Phone Tools
23.11.2005 14:03 <DIR> Movie Maker
09.07.2006 10:55 <DIR> MP3 Cutter 1
23.11.2005 13:26 <DIR> MSN
23.11.2005 13:26 <DIR> MSN Gaming Zone
20.02.2006 22:25 <DIR> MSN Messenger
27.11.2005 02:35 <DIR> MSXML 4.0
14.10.2006 04:14 <DIR> MyPhoneExplorer
08.01.2007 16:42 <DIR> Nero
23.11.2005 14:02 <DIR> NetMeeting
27.11.2005 15:00 <DIR> NGO NVIDIA Optimized Driver v1.7805
26.02.2007 01:48 <DIR> nnscript
09.11.2006 22:27 <DIR> nnscript_old
08.11.2006 18:24 <DIR> NoNameScript2
08.11.2006 18:25 <DIR> NoNameScriptold
20.02.2007 18:11 <DIR> Norton AntiVirus
05.12.2005 18:44 <DIR> NVIDIA Corporation
22.12.2005 21:51 <DIR> OGG to MP3 Converter
23.11.2005 13:26 <DIR> Online Services
23.11.2005 13:28 <DIR> Online-Dienste
05.12.2006 00:00 <DIR> Ontrack
15.12.2006 03:00 <DIR> Outlook Express
26.04.2006 15:51 <DIR> PartitionMagic 6.0
02.11.2006 22:16 <DIR> PartyGaming.Net
08.06.2006 19:28 <DIR> PDAmill
01.10.2006 19:57 <DIR> PECsoft
24.11.2005 19:46 <DIR> PowerDVD
07.06.2006 21:00 <DIR> PowerISO
18.02.2006 06:00 <DIR> PowerQuest
24.12.2006 00:06 <DIR> PowerStrip
18.02.2006 07:12 <DIR> PTDD Group
10.12.2005 15:04 <DIR> QuickTime
08.02.2006 01:00 <DIR> Real
17.02.2006 18:52 <DIR> Runtime Software
02.02.2007 14:24 <DIR> SecureCRT
01.01.2007 14:26 <DIR> Security Task Manager
06.11.2006 17:29 <DIR> SIM Secretary
06.11.2006 19:33 <DIR> simcon
01.12.2006 00:47 <DIR> Skype
10.03.2006 14:28 <DIR> SmartFTP Client 2.0
10.03.2006 14:28 <DIR> SmartFTP Client 2.0 Setup Files
20.02.2007 17:00 <DIR> Spybot - Search & Destroy
14.12.2006 22:28 <DIR> Steam
17.02.2006 19:00 <DIR> Stellar Phoenix NTFS
23.02.2007 14:45 <DIR> Symantec
21.09.2006 02:25 <DIR> The All-Seeing Eye
17.12.2005 09:19 <DIR> Trillian
06.07.2006 16:26 <DIR> TSO
19.11.2006 23:21 <DIR> UltraStar
31.03.2005 22:17 40.960 Uninstall_CDS.exe
09.12.2006 13:32 <DIR> uTorrent
18.12.2006 02:48 <DIR> VentriloMIX
06.01.2006 19:56 <DIR> WebCam
18.02.2006 04:22 <DIR> Western Digital
18.02.2006 04:24 <DIR> Western Digital Technologies
24.02.2007 04:01 <DIR> Winamp
27.01.2007 16:38 <DIR> Windows Media Connect 2
27.01.2007 16:50 <DIR> Windows Media Player
23.11.2005 14:02 <DIR> Windows NT
12.02.2007 21:25 <DIR> WinImage
10.02.2007 10:34 <DIR> WinRAR
23.11.2005 13:29 <DIR> xerox
23.02.2007 14:42 <DIR> XoftSpySE
11.12.2005 02:26 <DIR> XviD
2 Datei(en) 41.417 Bytes
115 Verzeichnis(se), 6.450.851.840 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten

25.11.2005 17:25 <DIR> Adobe
15.01.2007 01:44 <DIR> Ahead
09.12.2005 01:09 <DIR> Apple Computer
05.11.2006 22:06 <DIR> BVRP Software
27.01.2007 17:47 40.960 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
25.12.2005 22:12 <DIR> FotoCanvas
12.02.2007 19:02 20.840 GDIPFONTCACHEV1.DAT
26.10.2006 19:50 <DIR> Google
18.02.2006 04:28 <DIR> Help
24.11.2005 20:54 <DIR> Identities
24.02.2007 00:40 <DIR> Microsoft
10.01.2007 19:05 <DIR> WinAceUpdater
15.01.2007 22:20 <DIR> WowAceUpdater
2 Datei(en) 61.800 Bytes
11 Verzeichnis(se), 6.450.847.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

06.06.2006 13:59 2.508 $_hpcst$.hpc
22.12.2005 07:02 <DIR> ACD Systems
16.06.2006 21:21 <DIR> Adobe
06.02.2007 21:42 1.061 AdobeDLM.log
25.11.2005 21:47 <DIR> AdobeUM
09.01.2007 04:22 <DIR> Ahead
09.12.2005 01:09 <DIR> Apple Computer
25.02.2007 23:00 345.845 CleanUp!.log
27.10.2006 10:51 122.904 Cosmos Prefs
06.01.2006 20:02 <DIR> Creative
24.11.2005 14:58 <DIR> CyberLink
09.02.2007 17:43 <DIR> DivX
25.11.2005 17:23 0 dm.ini
07.03.2006 21:08 <DIR> FlashFXP
06.11.2006 18:48 <DIR> FMA
26.10.2006 19:50 <DIR> Google
18.02.2006 04:28 <DIR> Help
24.11.2005 20:28 <DIR> ICQ
23.11.2005 13:34 <DIR> Identities
11.02.2007 14:40 <DIR> InstallShield
24.11.2005 12:04 <DIR> Macromedia
14.10.2006 04:14 <DIR> MyPhoneExplorer
08.02.2006 01:01 <DIR> Real
14.02.2007 18:42 <DIR> Skype
10.03.2006 14:28 <DIR> SmartFTP
08.10.2006 04:20 <DIR> SpieleEntwicklungsKombinat
04.12.2005 15:33 <DIR> Sun
20.02.2007 17:59 <DIR> Symantec
19.09.2006 01:12 <DIR> teamspeak2
26.02.2007 01:35 <DIR> Uniblue
26.02.2007 13:17 <DIR> uTorrent
02.02.2007 14:13 <DIR> VanDyke
24.11.2005 22:10 <DIR> Ventrilo
5 Datei(en) 472.318 Bytes
28 Verzeichnis(se), 6.450.847.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

22.12.2005 03:11 <DIR> ACD Systems
25.11.2005 17:24 <DIR> Adobe
10.12.2005 15:02 <DIR> Apple Computer
05.11.2006 22:15 <DIR> BVRP Software
24.11.2005 19:50 <DIR> CyberLink
08.01.2007 16:43 <DIR> Nero
18.08.2006 05:13 <DIR> NVIDIA
11.02.2007 23:05 <DIR> nView_Profiles
25.02.2007 15:02 1.359 QTSBandwidthCache
26.02.2007 01:25 <DIR> SecTaskMan
27.09.2006 17:04 <DIR> SpieleEntwicklungsKombinat
20.02.2007 16:55 <DIR> Spybot - Search & Destroy
20.02.2007 17:58 <DIR> Symantec
23.11.2005 14:22 <DIR> Windows Genuine Advantage
1 Datei(en) 1.359 Bytes
13 Verzeichnis(se), 6.450.847.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Programme\Gemeinsame Dateien

20.02.2007 18:03 <DIR> .
20.02.2007 18:03 <DIR> ..
22.12.2005 03:11 <DIR> ACD Systems
25.11.2005 17:24 <DIR> Adobe
08.01.2007 16:45 <DIR> Ahead
14.01.2007 20:32 <DIR> Blizzard Entertainment
07.06.2006 20:19 <DIR> DESIGNER
28.12.2005 08:18 <DIR> Deterministic Networks
23.11.2005 13:27 <DIR> Dienste
24.11.2005 17:02 <DIR> InstallShield
01.12.2005 16:42 <DIR> Java
07.06.2006 20:19 <DIR> Microsoft Shared
23.11.2005 13:26 <DIR> MSSoap
26.01.2006 21:54 <DIR> NSV
23.11.2005 13:21 <DIR> ODBC
08.02.2006 01:00 <DIR> Real
23.11.2005 13:21 <DIR> SpeechEngines
25.02.2007 04:15 <DIR> Symantec Shared
15.12.2006 03:00 <DIR> System
08.02.2006 01:00 <DIR> xing shared
12.02.2007 19:15 <DIR> {4CEF0FE2-096B-1031-0907-05061420002b}
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 6.450.843.648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\Windows\tasks

23.02.2007 23:04 554 Norton AntiVirus - Run Full System Scan - Administrator.job
20.02.2007 17:09 338 Uniblue SpyEraser.job
2 Datei(en) 892 Bytes
0 Verzeichnis(se), 6.450.843.648 Bytes frei

----

scan von rundll32.exe

STATUS: FINISHEDComplete scanning result of "rundll32.exe", received in VirusTotal at 02.26.2007, 13:46:42 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.26.2007 no virus found
Authentium 4.93.8 02.25.2007 no virus found
Avast 4.7.936.0 02.26.2007 no virus found
AVG 386 02.25.2007 no virus found
BitDefender 7.2 02.26.2007 no virus found
CAT-QuickHeal 9.00 02.24.2007 no virus found
ClamAV devel-20060426 02.26.2007 no virus found
DrWeb 4.33 02.26.2007 no virus found
eSafe 7.0.14.0 02.25.2007 no virus found
eTrust-Vet 30.4.3434 02.26.2007 no virus found
Ewido 4.0 02.26.2007 no virus found
FileAdvisor 1 02.26.2007 No Thread detected
Fortinet 2.85.0.0 02.26.2007 no virus found
F-Prot 4.3.1.45 02.25.2007 no virus found
F-Secure 6.70.13030.0 02.26.2007 no virus found
Ikarus T3.1.1.3 02.26.2007 no virus found
Kaspersky 4.0.2.24 02.26.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.26.2007 no virus found
NOD32v2 2080 02.25.2007 no virus found
Norman 5.80.02 02.26.2007 no virus found
Panda 9.0.0.4 02.26.2007 no virus found
Prevx1 V2 02.26.2007 no virus found
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.26.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.25.2007 no virus found
VirusBuster 4.3.19:9 02.25.2007 no virus found


Aditional Information
File size: 33792 bytes
MD5: 9082ad264d95541ddc7cb2ac6513dc0d
SHA1: 59b60f0633c283feb42e5d30aea54d6c4555d176
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=9082ad264d95541ddc7cb2ac6513dc0d
Seitenanfang Seitenende
26.02.2007, 14:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 0.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Programme\Uniblue\SpyEraser\SpyEraser.exe" -m

1.
gehe in die registry
Start - Ausfuehren - regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

loesche, falls du es findest:
{4CEF0FE2-096B-1031-0907-05061420002b}

-------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{010FF400-8DFB-439D-987B-DCDE5195F4D8}
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{601774FD-4B3F-44F0-99E3-B0E4E0146F65}

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtutrqp
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbqe32

Files to delete:
C:\1290735586
C:\WINDOWS\system32\vtutrqp.dll
C:\WINDOWS\system32\winbqe32.dll
C:\WINDOWS\Temp\win23C.tmp
C:\WINDOWS\Temp\win23B.tmp
C:\WINDOWS\Tasks\Uniblue SpyEraser.job
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\_iu14D2N.tmp

Folders to delete:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue
C:\Programme\Uniblue
C:\Programme\Driver Cleaner Pro
C:\Programme\XoftSpySE
C:\Programme\Gemeinsame Dateien\{4CEF0FE2-096B-1031-0907-05061420002b}
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2007, 15:54
...neu hier

Themenstarter

Beiträge: 7
#5 Eine fragenhätte ich noch.

wieso xsoft antispy löschen? is das denn kein sauberes antispy tool?

laut dem log sollte nun alles weg sein oder?

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 15:55:10 26.02.2007

+ Scan-Ergebnis:



HKU\S-1-5-21-117609710-57989841-725345543-500\Software\TrustIn -> Adware.Generic : Gesäubert.
HKU\S-1-5-21-117609710-57989841-725345543-500\Software\TrustIn\Weekly Executer -> Adware.Generic : Gesäubert.
C:\System Volume Information\_restore{9CCE4119-C610-4EBF-B5E5-23EB6B3C1565}\RP1\A0000148.dll -> Adware.Virtumonde : Gesäubert.
C:\VundoFix Backups\khfcyvv.dll.bad -> Adware.Virtumonde : Gesäubert.
C:\VundoFix Backups\pmnli.dll.bad -> Adware.Virtumonde : Gesäubert.
C:\avenger\backup.zip/avenger/vtutrqp.dll -> Adware.Virtumonde : Gesäubert.
D:\Warez\backups\backup-20070226-150846-720.dll -> Adware.Virtumonde : Gesäubert.
C:\SDFix\backups\backups.zip/backups/win471.tmp.exe -> Downloader.Agent.bgn : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Desktop\crackgetdataback\Loader.exe -> Not-A-Virus.VirTool.Win32.Patcher.a : Gesäubert.
C:\Programme\Runtime Software\GetDataBack for NTFS\Loader.exe -> Not-A-Virus.VirTool.Win32.Patcher.a : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Cookies\administrator@adbrite[2].txt -> TrackingCookie.Adbrite : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Cookies\administrator@atdmt[1].txt -> TrackingCookie.Atdmt : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Cookies\administrator@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@fastclick[1].txt -> TrackingCookie.Fastclick : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Cookies\administrator@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ehg-dig.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ehg-lionsgate.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ehg-zoomerang.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@oewabox[1].txt -> TrackingCookie.Oewabox : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tacoda[1].txt -> TrackingCookie.Tacoda : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Cookies\administrator@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert.
C:\System Volume Information\_restore{9CCE4119-C610-4EBF-B5E5-23EB6B3C1565}\RP1\A0000011.dll -> Trojan.Agent.qt : Gesäubert.


::Berichtende
Dieser Beitrag wurde am 26.02.2007 um 16:41 Uhr von strangerr editiert.
Seitenanfang Seitenende
26.02.2007, 16:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
XoftSpySE - besser drauf verzichten...

««
mit Rechtsklick auf Deinem Lokalen Datenträger auf "Eigenschaften" drücken; nun gehst Du auf
"Extras" und wählst hernach
"Fehlerüberprüfung"

«
"Jetzt prüfen" - Häkchen setzen in Dateisystemfehler automatisch korrigieren und Fehlerhafte Sektoren suchen/wiederherstellen.
Die Prüfung startet dann nach einem Neustart!!

-----------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die list.bat doppelt klicken--> kopiere den Text, der erscheint

alles was du bisher gepostet hast, wird wieder erscheinen - poste nur diesen Teil_

Zitat

cd\
dir "C:\WINDOWS\system32\iis" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2007, 17:08
...neu hier

Themenstarter

Beiträge: 7
#7 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEF-0FE2

Verzeichnis von C:\WINDOWS\system32\iis

13.02.2007 12:42 <DIR> .
13.02.2007 12:42 <DIR> ..
14.01.2007 04:53 150.638 app.exe
15.01.2007 20:16 1.560.915 JavaIFX4.exe
08.01.2007 03:18 1.142.448 support.exe
3 Datei(en) 2.854.001 Bytes
2 Verzeichnis(se), 6.604.660.736 Bytes frei
Seitenanfang Seitenende
26.02.2007, 23:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\iis\app.exe
C:\WINDOWS\system32\iis\JavaIFX4.exe
C:\WINDOWS\system32\iis\support.exe


poste hier die reporte

-------
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken

reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2007, 09:12
...neu hier

Themenstarter

Beiträge: 7
#9 STATUS: FINISHEDComplete scanning result of "support.exe", received in VirusTotal at 02.27.2007, 09:04:24 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.27.2007 no virus found
Authentium 4.93.8 02.26.2007 no virus found
Avast 4.7.936.0 02.26.2007 no virus found
AVG 386 02.25.2007 no virus found
BitDefender 7.2 02.27.2007 no virus found
CAT-QuickHeal 9.00 02.26.2007 no virus found
ClamAV devel-20060426 02.27.2007 no virus found
DrWeb 4.33 02.27.2007 no virus found
eSafe 7.0.14.0 02.27.2007 no virus found
eTrust-Vet 30.4.3438 02.27.2007 no virus found
Ewido 4.0 02.26.2007 no virus found
FileAdvisor 1 02.27.2007 no virus found
Fortinet 2.85.0.0 02.27.2007 no virus found
F-Prot 4.3.1.45 02.26.2007 no virus found
F-Secure 6.70.13030.0 02.27.2007 no virus found
Ikarus T3.1.1.3 02.27.2007 not-a-virus:RemoteAdmin.Win32.WinVNC.4
Kaspersky 4.0.2.24 02.27.2007 not-a-virus:RemoteAdmin.Win32.WinVNC.4
McAfee 4971 02.26.2007 no virus found
Microsoft 1.2204 02.27.2007 no virus found
NOD32v2 2082 02.26.2007 no virus found
Norman 5.80.02 02.26.2007 no virus found
Panda 9.0.0.4 02.27.2007 no virus found
Prevx1 V2 02.27.2007 no virus found
Sophos 4.14.0 02.26.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.27.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.26.2007 no virus found
VBA32 3.11.2 02.26.2007 no virus found
VirusBuster 4.3.19:9 02.26.2007 no virus found


Aditional Information
File size: 1142448 bytes
MD5: dc49238d4e8e07e0ba2f5aba5019305e
SHA1: 0b2d9060807c4b3d400d78fd0ca4476d344cb60d
packers: BINARYRES


---------------


STATUS: FINISHEDComplete scanning result of "app.exe", received in VirusTotal at 02.27.2007, 09:03:21 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.27.2007 TR/Agent.172022
Authentium 4.93.8 02.26.2007 no virus found
Avast 4.7.936.0 02.26.2007 no virus found
AVG 386 02.25.2007 no virus found
BitDefender 7.2 02.27.2007 Backdoor.Irc.Zapchast.D
CAT-QuickHeal 9.00 02.26.2007 no virus found
ClamAV devel-20060426 02.27.2007 no virus found
DrWeb 4.33 02.27.2007 no virus found
eSafe 7.0.14.0 02.27.2007 no virus found
eTrust-Vet 30.4.3438 02.27.2007 no virus found
Ewido 4.0 02.26.2007 no virus found
FileAdvisor 1 02.27.2007 no virus found
Fortinet 2.85.0.0 02.27.2007 BAT/Ftp.CS!tr.dldr
F-Prot 4.3.1.45 02.26.2007 no virus found
F-Secure 6.70.13030.0 02.27.2007 no virus found
Ikarus T3.1.1.3 02.27.2007 Backdoor.IRC.Zapchast
Kaspersky 4.0.2.24 02.27.2007 no virus found
McAfee 4971 02.26.2007 no virus found
Microsoft 1.2204 02.27.2007 no virus found
NOD32v2 2082 02.26.2007 no virus found
Norman 5.80.02 02.26.2007 no virus found
Panda 9.0.0.4 02.27.2007 Suspicious file
Prevx1 V2 02.27.2007 no virus found
Sophos 4.14.0 02.26.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 Backdoor.Irc.Zapchast.D
Symantec 10 02.27.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.26.2007 Backdoor.IRC.Zapchast.0456
VBA32 3.11.2 02.26.2007 Backdoor.IRC.Zapchast
VirusBuster 4.3.19:9 02.26.2007 no virus found


Aditional Information
File size: 150638 bytes
MD5: 4297fe3d3c324a85748802794ef2ba13
SHA1: eec7b298d85b14c72050334aab755012346f1d29

-----

STATUS: FINISHEDComplete scanning result of "JavaIFX4.exe", received in VirusTotal at 02.27.2007, 09:04:27 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.27.2007 no virus found
Authentium 4.93.8 02.26.2007 no virus found
Avast 4.7.936.0 02.26.2007 no virus found
AVG 386 02.25.2007 no virus found
BitDefender 7.2 02.27.2007 no virus found
CAT-QuickHeal 9.00 02.26.2007 no virus found
ClamAV devel-20060426 02.27.2007 no virus found
DrWeb 4.33 02.27.2007 no virus found
eSafe 7.0.14.0 02.27.2007 no virus found
eTrust-Vet 30.4.3438 02.27.2007 no virus found
Ewido 4.0 02.26.2007 no virus found
FileAdvisor 1 02.27.2007 no virus found
Fortinet 2.85.0.0 02.27.2007 no virus found
F-Prot 4.3.1.45 02.26.2007 no virus found
F-Secure 6.70.13030.0 02.27.2007 no virus found
Ikarus T3.1.1.3 02.27.2007 no virus found
Kaspersky 4.0.2.24 02.27.2007 no virus found
McAfee 4971 02.26.2007 no virus found
Microsoft 1.2204 02.27.2007 no virus found
NOD32v2 2082 02.26.2007 no virus found
Norman 5.80.02 02.26.2007 no virus found
Panda 9.0.0.4 02.27.2007 no virus found
Prevx1 V2 02.27.2007 no virus found
Sophos 4.14.0 02.26.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.27.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.26.2007 no virus found
VBA32 3.11.2 02.26.2007 no virus found
VirusBuster 4.3.19:9 02.26.2007 no virus found


Aditional Information
File size: 1560915 bytes
MD5: 303179a295ac180ba68185d9ef8ab609
SHA1: 63989441aa0a788860f19e17f9a1e66db7c30afa
packers: ZLIB, PECRYPT, UPX, UPX, PECRYPT


-------


Sophos Anti-Virus
Version 4.15.0 [Win32/Intel]
Virus data version 4.15, March 2007
Includes detection for 223817 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 09:15:03, System date 27 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan



Password protected file C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\ENU\read0700win_ENUadbe0700.pdf
Could not open C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~ROMFN_0000088C
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Could not open C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll
>>> Virus 'Troj/Flood-I' found in file C:\Programme\NoNameScript2\dlls\stdio.dll
Removal successful
>>> Virus 'Troj/Flood-I' found in file C:\Programme\NoNameScriptold\script\dlls\stdio.dll
Removal successful
>>> Virus 'Troj/Flood-I' found in file C:\System Volume Information\_restore{9CCE4119-C610-4EBF-B5E5-23EB6B3C1565}\RP3\A0000370.dll
Removal successful
>>> Virus 'Troj/Flood-I' found in file C:\System Volume Information\_restore{9CCE4119-C610-4EBF-B5E5-23EB6B3C1565}\RP3\A0000371.dll
Removal successful
Could not open C:\WINDOWS\system32\drivers\dtscsi.sys
Could not open C:\WINDOWS\system32\drivers\sptd.sys
Could not open C:\WINDOWS\system32\drivers\sptd1213.sys
Aborted checking D:\Warez\CnC3Demo.exe - appears to be a 'zip bomb'
Aborted checking D:\Warez\Star Trek Legacy\Data11.cab - appears to be a 'zip bomb'
Aborted checking D:\Warez\Star Trek Legacy\Data12.cab - appears to be a 'zip bomb'
>>> Virus 'Mal/Packer' found in file D:\Warez\XoftSpySE 4.29.221\Slayerpatch_1.2.exe
Removal successful

2 boot sectors swept.
33630 files swept in 35 minutes and 9 seconds.
14 errors were encountered.
5 viruses were discovered.
5 files out of 33630 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
6 encrypted files were not checked.
Ending Sophos Anti-Virus.
Dieser Beitrag wurde am 27.02.2007 um 09:58 Uhr von strangerr editiert.
Seitenanfang Seitenende
27.02.2007, 12:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
wende das avengerscript an:

Zitat

Files to delete:
C:\WINDOWS\system32\iis\app.exe
««
wende an - Bitdefender/Online + poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2007, 19:58
...neu hier

Themenstarter

Beiträge: 7
#11 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jpaockuk

*******************

Script file located at: \??\C:\Program Files\twciquft.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\iis\app.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

------

Die url für bitdefender/online stimmt nicht mehr auf eurer homepage.

http://www.bitdefender.com/scan8/ie.html

ist die richtige.

logfile kommt gleich ;)
Seitenanfang Seitenende
28.02.2007, 00:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 danke fuer den Hinweis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.02.2007, 12:41
...neu hier

Themenstarter

Beiträge: 7
#13 hier das logfile:

http://dream-colour.at/wow/bitdefender.html


"=>(message 144)=>[Subject: E-Mail schreiben an: XoftSpy[1].v4.15.]["

hab ich schon händisch im outlook gelöscht aber kA wieso er das noch immer findet :/

hab nun 2 komplette scans gemacht.

AVG Antispyware Scan hat nichts mehr gefunden.
Dieser Beitrag wurde am 28.02.2007 um 13:25 Uhr von strangerr editiert.
Seitenanfang Seitenende
28.02.2007, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

»»
dann sollte wieder alles i.o sein ;) - der backdoor hatte sich in C:\WINDOWS\system32\iis "versteckt" - dort schaut man normalerweise nicht extra nach ;) - ich hoffe, dass ich alle viren erwischt habe, wenn es noch Probleme geben sollte - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: