Trojan Downloader etc, bitte hijackthis überprüfen!

#16 Servus Sabina, sorry musste länger arbeiten!

Also ich habs bis avenger alles gemacht hier erstmal die avenger loc:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\asx^ftvu

*******************

Script file located at: \??\C:\WINDOWS\racrapod.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\oreans32.sys deleted successfully.


File C:\WINDOWS\system32\rlx66dob.sys not found!
Deletion of file C:\WINDOWS\system32\rlx66dob.sys failed!

Could not process line:
C:\WINDOWS\system32\rlx66dob.sys
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


So dann gehts weiter

Regsearch Oreans32

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 19.03.2007 23:10:54 for strings:
; 'oreans32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Regsearch rlx66dob loc


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 19.03.2007 23:12:20 for strings:
; 'rlx66dob'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


hier bitte!

Wiedermal vielen dank im Vorraus und freue mich auf antwort,

lg,

Ceofreak
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>

#17 scanne mit kaspersky und poste den report (auch die mails mitscannen lassen)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hi Sabina!!

Hier die locs


Erstens:

Scan Kritischer Objekte:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 20. März 2007 17:44:50
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 20/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 267504
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\Rain\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 12175
Viren gefunden: 1
Infizierte Objekte gefunden: 2 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:06:55

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd0509.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\rlx51dom.dl_ Infizierte Objekte: Trojan-Spy.Win32.Goldun.oz übersprungen
C:\WINDOWS\system32\rlx66dob.sy_ Infizierte Objekte: Trojan-Spy.Win32.Goldun.oz übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\kav1.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-20021102}.CDF Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Rain\LOKALE~1\Temp\~DF437F.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Rain\LOKALE~1\Temp\~DF43A2.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Rain\LOKALE~1\Temp\~DF6485.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.




Zweitens:

Kompletter Scan:


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 20. März 2007 18:54:15
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 20/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 267504
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 107665
Viren gefunden: 1
Infizierte Objekte gefunden: 5 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:57:06

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Temp\~DF437F.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Temp\~DF43A2.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Temp\~DF6485.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007032020070321\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rain\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-03-20.17-16-46.log Das Objekt ist gesperrt übersprungen
C:\Programme\eScan\MAILDISP.LCK Das Objekt ist gesperrt übersprungen
C:\Programme\eScan\MAILDSP1.LCK Das Objekt ist gesperrt übersprungen
C:\Programme\eScan\SPOOLER.LCK Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{3F3A289B-BA63-4018-AE26-B5C586F3C8CE}\RP168\A0065128.exe Infizierte Objekte: Trojan-Spy.Win32.Goldun.oz übersprungen
C:\System Volume Information\_restore{3F3A289B-BA63-4018-AE26-B5C586F3C8CE}\RP172\A0065260.sys Infizierte Objekte: Trojan-Spy.Win32.Goldun.oz übersprungen
C:\System Volume Information\_restore{3F3A289B-BA63-4018-AE26-B5C586F3C8CE}\RP172\A0065261.dll Infizierte Objekte: Trojan-Spy.Win32.Goldun.oz übersprungen
C:\System Volume Information\_restore{3F3A289B-BA63-4018-AE26-B5C586F3C8CE}\RP176\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd0509.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\rlx51dom.dl_ Infizierte Objekte: Trojan-Spy.Win32.Goldun.oz übersprungen
C:\WINDOWS\system32\rlx66dob.sy_ Infizierte Objekte: Trojan-Spy.Win32.Goldun.oz übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\kav1.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-20021102}.CDF Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


In dem emails wurde nichts gefunden, also scheint aber immernoch was drauf zu sein!

Vielen dank für die antwort im vorraus,

grüsse

Ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>

#19 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\rlx51dom.dl_
C:\WINDOWS\system32\rlx66dob.sy_

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo sabina!

Hier erstmal die Avenger loc:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\chfliwlx

*******************

Script file located at: \??\C:\Program Files\vulljhmf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\rlx51dom.dl_ deleted successfully.
File C:\WINDOWS\system32\rlx66dob.sy_ deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

scan log folgt sofort.
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>

#21

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hallo!

Der F-Secure online scanner ist bis zu Dokumente und Einstellungen/Cookies gekommen und hat sich dann aufgehängt.. hab es 2 mal versucht.. bis dahin hatte er 20 mal spyware gefunden und einen virus und 4 files skipped.. aber ich habe leider keine log da er sich ja aufgehängt hat...



mfg,

ceo!

edit: Also der scan ging einfach nicht weiter, der rechner hat auch nicht gearbeitet also es hat sich nicht der computer aufgehängt sondern es ging einfach nicht weiter dann hab ich es geschlossen, weil als ich auf stop gedrückt habe auch nix passiert ist!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>

#23 versuche es mit panda und Trend-Micro/HouseCall
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Grüsse dich Sabina!

Hier ist die Panda loc!


edit (Sabina)

C:\Dokumente und Einstellungen\Rain\Cookies\rain@z1.adserver[1].txt
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Rain\Cookies\rain@zedo[1].txt
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected C:\Programme\Gamers.IRC\bin\dll\moo.dll
Potentially unwanted tool:Application/Processor Not disinfected C:\Programme\HaxFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\process.exe


Der hat aber nichts gelöscht, dafür hätte ichs kaufen müssen!

Vielen dank im vorraus,

grüsse

Ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>

#25 Ceofreak

es ist anscheinend alles wieder i.o.
nur cookies , also kein Problem.

----------------------------------------------------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Ok mach ich morgen mittag wenn ich von der arbeit komme! Vielen dank wiedermal für die super hilfe!!!

Soll ich jetzt die systemwiederherstellung eigentlich wieder aktivieren?


mfg und gute nacht,


Ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>

#27 ja, du kannst die Systemwiederherstellug wieder aktivieren.
also: bis morgen
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Hi Sabina!

Sorry war die letzten tage im urlaub! Bin heute länger in der Arbeit, ich werde die loc dann heute abend oder morgen posten! Dankeschön! Und super das es so aussieht als ob alles weg wäre :-)

mfg,

Ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>