Wie kann ich TR/Drop.Agent.age.37 bekämpfen?

#0
25.03.2007, 22:49
...neu hier

Beiträge: 4
#1 Hallo!
Mein AntiVir hat den oben genannten Trojaner in der Datei :
C:\WINDOWS\temp\tmp2.tmp gefunden. Die Zahl verändert sich bei jedem Fund. Wie kann ich diesen Virus denn wieder los werden?
Hab leider so gut wie gar keine Ahnung vom PC.
Würde mich sehr freuen, wenn ich hier Hilfe bekomme!
Gruß!
Seitenanfang Seitenende
26.03.2007, 07:48
Member
Avatar Chris4You

Beiträge: 694
#2 Hallo,

arbeite bitte das hier ab:

Zitat

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
Gruß,
Chris
Seitenanfang Seitenende
26.03.2007, 22:35
...neu hier

Themenstarter

Beiträge: 4
#3 Hijackthis sagt:
Logfile of HijackThis v1.99.1
Scan saved at 22:32:57, on 26.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Hannes1\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.young-nienburg.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: crypds16.dll e1.dll
O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\system32\sccsumdm.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe


Das kommt bei combofix:
"Hannes1" - 07-03-26 23:04:44 Service Pack 2
ComboFix 07-03-23 - Running from: "c:\programme\t-online\t-online_software_5\browser"

((((((((((((((((((((((((((((((( Files Created from 2007-02-26 to 2007-03-26 ))))))))))))))))))))))))))))))))))


2007-02-28 20:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-02-28 20:51 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-02-28 20:51 <DIR> d-------- C:\Programme\Winamp


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-23 16:23 4 --a------ C:\WINDOWS\system32\sccsumdm.dat
2007-02-23 16:23 16 --a------ C:\WINDOWS\npad32.dat

2006-12-18 21:25 186 --a------ C:\DOKUME~1\Hannes1\ANWEND~1\wklnhst.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"ntiMUI"="C:\\Programme\\NewTech Infosystems\\NTI CD & DVD-Maker 7\\ntiMUI.exe"
@=""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SoundMan"="SOUNDMAN.EXE"
"eRecoveryService"="C:\\Acer\\Empowering Technology\\eRecovery\\Monitor.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="crypds16.dll e1.dll"



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sccsumdm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_INT15.SYS


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Hannes1.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-26 23:07:21


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

26.03.2007 23:02 682 eRLog.ini
26.03.2007 23:02 1.158 wpa.dbl
25.03.2007 10:11 221.632 FNTCACHE.DAT
07.03.2007 21:36 12.619.736 MRT.exe
23.02.2007 16:23 4 sccsumdm.dat
15.02.2007 06:58 122.142 TZLog.log
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 13:25 619.008 urlmon.dll
23.01.2007 20:30 546.304 hhctrl.ocx
10.01.2007 21:22 176.167 rmoc3260.dll
10.01.2007 21:22 6.656 pndx5016.dll
10.01.2007 21:22 5.632 pndx5032.dll
10.01.2007 21:22 278.528 pncrt.dll
10.01.2007 20:39 23.392 nscompat.tlb
10.01.2007 20:39 16.832 amcompat.tlb
04.01.2007 15:02 670.720 wininet.dll
04.01.2007 15:02 474.624 shlwapi.dll
04.01.2007 15:02 1.498.112 shdocvw.dll
04.01.2007 15:02 39.424 pngfilt.dll
04.01.2007 15:02 532.480 mstime.dll
04.01.2007 15:02 146.432 msrating.dll
04.01.2007 15:02 449.024 mshtmled.dll
04.01.2007 15:02 3.083.264 mshtml.dll
04.01.2007 15:01 251.904 iepeers.dll
04.01.2007 15:01 96.768 inseng.dll
04.01.2007 15:01 205.312 dxtrans.dll
04.01.2007 15:01 357.888 dxtmsft.dll
04.01.2007 15:01 55.808 extmgr.dll
04.01.2007 15:01 16.384 jsproxy.dll
04.01.2007 15:01 1.056.256 danim.dll
04.01.2007 15:01 1.022.976 browseui.dll
04.01.2007 15:01 152.064 cdfview.dll
04.01.2007 12:52 270.336 xpsp3res.dll
03.01.2007 17:54 9.074 jupdate-1.5.0_10-b03.log
31.12.2006 08:49 2.066 SaiC040C-7B3F6F4D-88C5-419A-9430-A7FC0A5AD07A.pr0


Ich hoffe, dass diese Infos ausreichen um mir zu helfen. Hoffe es sind die gewünschten Infos, da ich wie gesagt nicht ganz viel Ahnung vom PC habe.
Dieser Beitrag wurde am 26.03.2007 um 23:28 Uhr von Amoroso880 editiert.
Seitenanfang Seitenende
27.03.2007, 07:56
Member
Avatar Chris4You

Beiträge: 694
#4 Hallo,

auf zur ersten Runde:

Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\sccsumdm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sccsumdm

Files to delete:
C:\WINDOWS\system32\sccsumdm.exe
C:\WINDOWS\system32\sccsumdm.dat
C:\WINDOWS\system32\crypds16.dll
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\npad32.dat
C:\WINDOWS\system32\sccsumdm.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6, scanne und poste den scanreport

Gruß,
Chris
Seitenanfang Seitenende
27.03.2007, 10:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Amoroso880

man sollte dennoch auch noch das Windows-Log posten (3.log in datfindbat) und ueberhaupt - alle 6 logs !!!!, damit die reinigung komplett ist - ich habe C:\WINDOWS\npad32.dat ergaenzt, aber da gibt es noch mehr, was in combofix nicht sichtbar ist - siehe:
http://virus-protect.org/artikel/spyware/warezov3.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2007, 20:34
...neu hier

Themenstarter

Beiträge: 4
#6 Das ist der Sophos Scanreport:

Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 232717 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 20:09:53, System date 27 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan


Could not check C:\WINDOWS\system32\drivers\RMCast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed)
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Could not open C:\hiberfil.sys

2 boot sectors swept.
22855 files swept in 19 minutes and 58 seconds.
8 errors were encountered.
No viruses were discovered.
4 encrypted files were not checked.
Ending Sophos Anti-Virus.


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

27.03.2007 19:47 682 eRLog.ini
27.03.2007 19:46 1.158 wpa.dbl
25.03.2007 10:11 221.632 FNTCACHE.DAT
07.03.2007 21:36 12.619.736 MRT.exe
15.02.2007 06:58 122.142 TZLog.log
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 13:25 619.008 urlmon.dll
23.01.2007 20:30 546.304 hhctrl.ocx
10.01.2007 21:22 176.167 rmoc3260.dll
10.01.2007 21:22 5.632 pndx5032.dll
10.01.2007 21:22 6.656 pndx5016.dll
10.01.2007 21:22 278.528 pncrt.dll
10.01.2007 20:39 16.832 amcompat.tlb
10.01.2007 20:39 23.392 nscompat.tlb


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Hannes1\LOKALE~1\Temp

27.03.2007 20:10 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31742.html
27.03.2007 19:51 2.619 jusched.log
27.03.2007 19:47 16.384 ~DF8026.tmp
27.03.2007 19:47 512 ~DF5FE7.tmp
27.03.2007 19:47 16.384 ~DF5FD8.tmp
27.03.2007 19:45 16.384 ~DF3AFC.tmp
27.03.2007 19:45 16.384 ~DFAF.tmp
7 Datei(en) 69.645 Bytes
0 Verzeichnis(se), 81.005.281.280 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

27.03.2007 19:46 5.836 ModemLog_Standard 300 bps Modem #2.txt
27.03.2007 19:46 5.836 ModemLog_Standard 300 bps Modem.txt
27.03.2007 19:46 0 0.log
27.03.2007 19:46 2.048 bootstat.dat
27.03.2007 19:45 2.093.086 WindowsUpdate.log
27.03.2007 19:45 32.548 SchedLgU.Txt
24.03.2007 13:22 3.175 ACROREAD.INI
23.03.2007 21:49 2.703 cdplayer.ini
16.03.2007 20:56 19.790 WgaNotify.log
16.03.2007 20:56 1.024.140 setupapi.log
15.03.2007 22:04 407 wiadebug.log
15.03.2007 22:04 50 wiaservc.log
14.03.2007 06:55 142.220 ntdtcsetup.log
14.03.2007 06:55 332.529 ocgen.log
14.03.2007 06:55 237.150 comsetup.log
14.03.2007 06:55 8.263 KB929399.log
14.03.2007 06:55 267.235 tsoc.log
14.03.2007 06:55 34.552 msgsocm.log
14.03.2007 06:55 109.144 iis6.log
14.03.2007 06:55 703.965 FaxSetup.log
14.03.2007 06:55 37.821 ocmsn.log
14.03.2007 06:55 1.374 imsins.log
14.03.2007 06:55 1.374 imsins.BAK
14.03.2007 06:55 14.451 KB929338.log
15.02.2007 06:58 19.270 KB927779.log
15.02.2007 06:58 39.981 updspapi.log
15.02.2007 06:58 15.968 KB927802.log
15.02.2007 06:58 16.475 KB928255.log
15.02.2007 06:58 12.879 KB924667.log
15.02.2007 06:58 25.431 KB931836.log
15.02.2007 06:58 14.934 KB926436.log
15.02.2007 06:58 15.145 KB918118.log
15.02.2007 06:58 33.881 KB928090.log
15.02.2007 06:57 11.755 KB928843.log
11.02.2007 22:19 23.941 wmsetup.log
28.01.2007 20:00 268 bustout.ini
10.01.2007 20:43 36.392 spupdsvc.log
10.01.2007 20:41 513 wmsetup10.log
10.01.2007 20:39 5.783 KB926239.log
10.01.2007 20:39 3.357 MSCompPackV1.log
10.01.2007 20:39 17.021 wmp11.log
10.01.2007 20:39 700 win.ini
10.01.2007 20:38 24.371 WMFDist11.log
10.01.2007 20:37 9.917 Wudf01000Inst.log
10.01.2007 06:49 11.699 KB929969.log

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

27.03.2007 19:46 409 WGANotify.settings
27.03.2007 19:46 255 WGAErrLog.txt
27.03.2007 13:27 0 T30DebugLogFile.txt
3 Datei(en) 664 Bytes
0 Verzeichnis(se), 81.005.215.744 Bytes frei


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.11.2005 16:40 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 81.005.182.976 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

27.03.2007 20:44 0 sys.txt
27.03.2007 20:44 287 down.txt
27.03.2007 20:43 382 tmp.txt
27.03.2007 20:43 11.066 system.txt
27.03.2007 20:42 626 systemtemp.txt
27.03.2007 20:41 101.003 system32.txt
27.03.2007 19:46 536.399.872 hiberfil.sys
27.03.2007 19:46 805.306.368 pagefile.sys
26.03.2007 23:07 4.692 ComboFix.txt

Ich hoffe, dass dies die gewünschten Infos sind!
Dieser Beitrag wurde am 27.03.2007 um 20:45 Uhr von Amoroso880 editiert.
Seitenanfang Seitenende
27.03.2007, 20:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 mach dir bitte die muehe und poste hier noch mal die 6 logs von datfindbat ( 2 monate von jedem log genuegen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2007, 21:28
...neu hier

Themenstarter

Beiträge: 4
#8 Hallo!
Ich hoffe, dass die oben angegebenen Daten die gewünschten sind.
Wäre super glücklich, wenn ich diesen Trojaner los werde.
Danke im Voraus!
Seitenanfang Seitenende
29.03.2007, 11:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 ich finde nichts mehr
wenn die windowsupdates funktionieren - muesste wieder alles i.o. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: