Backdoor.Win32.Ciadoor.13 auf meienn pc bitte um dringende .!

#1 hab mir heute den oben genannten trojaner eingefangen!!! kapersky hat wohl die datei C:\WINDOWS\system32\wsock32.sys gelöscht und ich weiß jetzt irgendwie nicht mehr weiter.bin auch mal eure vorschläge zum wiederherstellen von dem sytem durchgegangen aber irgednwie bin ich damit nicht wirklich gut mit zu recht gekommen.einige aufgeführte dateien,die von dme trojaner befallen wurden ,,wurden bei mir nicht gefunden.würde mich sehr freuen,wenn ihr mir ein bischen unter die arme greifen könntet.


lg,hellsy!

#2 Hallo,

bitte das hier abarbeiten:

Zitat

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris

#3 erstmal danke für den schnellen support!ich hab mal die logs angefertigt und die temp dateien gelöscht.leider kommt nach dem doppelklick auf die die combofix.exe eine fehlermeldung,die da lautet:"ComboFix.exe hat ein Problem festgestellt und muss beendet werden".trotz mehrmaligen probieren,hat es bisher leider noch nicht geklappt:-((


Logfile of HijackThis v1.99.1
Scan saved at 12:14:56, on 04.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
C:\WINDOWS\system32\SLEE503.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\\Desktop\se\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\phase6_V1_5\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171132590671
O17 - HKLM\System\CCS\Services\Tcpip\..\{20B0A9D9-AE72-4951-97E5-05CE69B75BA1}: NameServer = 217.237.150.115 217.237.149.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{20B0A9D9-AE72-4951-97E5-05CE69B75BA1}: NameServer = 217.237.150.115 217.237.149.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Verzeichnis von C:\SYS:TXT

04.04.2007 12:42 0 sys.txt
04.04.2007 12:42 584 down.txt
04.04.2007 12:42 23.776 tmp.txt
04.04.2007 12:42 11.326 system.txt
04.04.2007 12:41 433 systemtemp.txt
04.04.2007 12:40 104.503 system32.txt
03.04.2007 12:48 38.083 ads_err.dbf
03.04.2007 12:34 13.030 PDOXUSRS.NET
23.02.2007 13:28 268 sqmdata05.sqm
23.02.2007 13:28 244 sqmnoopt05.sqm
11.01.2007 17:24 268 sqmdata04.sqm
11.01.2007 17:24 244 sqmnoopt04.sqm
06.01.2007 19:33 119 PANDA.RPT
15.11.2006 19:12 268 sqmdata03.sqm
15.11.2006 19:12 244 sqmnoopt03.sqm
04.11.2006 03:59 464.249 fg1.mp3
21.08.2006 03:08 268 sqmdata02.sqm
21.08.2006 03:08 244 sqmnoopt02.sqm
05.08.2006 23:16 244 sqmnoopt01.sqm
05.08.2006 23:16 268 sqmdata01.sqm
05.08.2006 16:00 244 sqmnoopt00.sqm
05.08.2006 16:00 268 sqmdata00.sqm
31.12.2005 20:35 211 boot.ini
31.12.2005 20:23 47.564 ntdetect.com
31.12.2005 20:23 251.184 ntldr
31.12.2005 17:36 0 IO.SYS
31.12.2005 17:36 0 CONFIG.SYS
31.12.2005 17:36 0 AUTOEXEC.BAT
31.12.2005 17:36 0 MSDOS.SYS
18.08.2001 21:00 4.952 bootfont.bin

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
31.12.2005 17:34 65 desktop.ini
26.05.2005 05:19 293 muweb.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
12.01.2000 12:01 118.784 IsiteLite.dll
14.10.1997 19:52 697 DirectAnimation Java Classes.osd


Verzeichnis von C:\WINDOWS\Temp

04.04.2007 12:41 8.192 cch~fa9c16db.htp
04.04.2007 12:41 8.192 cch~fa9bfdf4.htp
04.04.2007 12:38 8.192 cch~de683532.htp
04.04.2007 12:38 8.192 cch~de684ea7.htp
04.04.2007 12:38 8.192 cch~de23fe9d.htp
04.04.2007 12:38 8.192 cch~de24158e.htp
04.04.2007 12:38 8.192 cch~de06ecdd.htp
04.04.2007 12:38 8.192 cch~de06d62d.htp
04.04.2007 12:38 8.192 cch~d8ac7250.htp


erzeichnis von C:\DOKUME~1\held\LOKALE~1\Temp

04.04.2007 12:32 163.840 ~DFAAF8.tmp
04.04.2007 12:14 16.384 ~DFBE63.tmp
04.04.2007 03:29 6.042 logo.gif
20.01.2007 00:54 17.976.688 BIT2C.tmp


Verzeichnis von C:\WINDOWS

04.04.2007 12:40 1.893.331 WindowsUpdate.log
04.04.2007 12:35 3.355 KB925902.log
04.04.2007 12:25 0 0.log
04.04.2007 12:23 525 ODBC.INI
04.04.2007 12:22 49 transp.gif
04.04.2007 12:22 2.048 bootstat.dat
04.04.2007 12:20 32.628 SchedLgU.Txt
04.04.2007 00:00 5.940 setupact.log
03.04.2007 13:16 202 NeroDigital.ini
03.04.2007 12:28 157 CBT.ini
03.04.2007 12:24 232.310 setupapi.log
03.04.2007 02:12 169 RtlRack.ini
02.04.2007 16:41 54.156 QTFont.qfn
02.04.2007 01:03 506 wiadebug.log
01.04.2007 23:19 50 wiaservc.log


Verzeichnis von C:\WINDOWS\system32

03.04.2007 03:10 10.752 BASSMOD.dll
03.04.2007 02:31 0 pavjob.log
01.04.2007 15:19 1.282.638 l8gi7996RX.ini
01.04.2007 14:08 429.560 FNTCACHE.DAT
25.03.2007 13:23 410.126 perfh009.dat
25.03.2007 13:23 66.280 perfc009.dat
25.03.2007 13:23 427.754 perfh007.dat
25.03.2007 13:23 80.856 perfc007.dat
25.03.2007 13:23 997.762 PerfStringBackup.INI
18.03.2007 15:25 2.206 wpa.dbl
07.03.2007 22:36 12.619.736 MRT.exe
14.02.2007 00:32 122.142 TZLog.log



lg,hellsy...!!!

#4 hellsy

»»
Cleanup anwenden
http://virus-protect.org/cleanup.html

««
Gehe in die Registry

Start-->Ausführen--> regedit

(oben links) - bearbeiten --> suchen - l8gi7996RX.ini

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
l8gi7996RX.ini - loeschen

--------------

loeschen:
C:\WINDOWS\system32\l8gi7996RX.ini

PC neustarten

**
scanne , lasse alles gefundene loeschen + poste den scanreport
http://virus-protect.org/counterspy1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 sooo..hab den upgedaten virenscaner(counterspy)mal über mein system laufen lassen und das ergebins war schon erscheckend,wie man an dem log deutlich erkennen kann.-((na ja,leide konnte counterspy im abgesichteren nicht mehr die gefunden viren löschen,weil ein unerwarteter laufzeit aufgetreten ist und das programm abstürzt ist.ich hab das ganze dann anhand des logs per hand entfernt(regedit).ich hoffe das hat was gebracht...!

da log befindet sich im dateianhang....!

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_LOCAL_MACHINE\SOFTWARE\OPRO
HKEY_LOCAL_MACHINE\SOFTWARE\PATCHOU

Files to delete:
C:\WINDOWS\Temp\JET2BB.tmp
C:\WINDOWS\Temp\JET2C99.tmp
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-619d989f-3d3cff7b.zip

Folders to delete:
C:\PROGRAMME\MESSENGER PLUS! LIVE

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit kaspersky (onlinescan) und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 sorry,irgendwie will das nicht so richtig mit dem avenger klappen.da kommt immer folgende meldung:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!

liegt das vieleicht daran,das ich die besagten einträge schon mit regedit deleted habe??


hab es gerade mal über eine erstelltes textdokument mit den scriptanaben versucht und es hat tasächlich geklappt)....aber anscheind habe ich sauber gearbeite,denn avenger hat die dateien nicht gefunden.werd jetzt nochmal den onlinevirenscanner von kapersky drüber laufen lassen und mich danach nochmal melden....bis späddder!

#8 du hast wahrscheinlich "zitat" mit reinkopiert...
__________
MfG Sabina

rund um die PC-Sicherheit

#9 neee....lach*..hab auch ein paar programmierkenntnissse so doff bin ich jetzt auch nicht.....;-))hab die befehle dann in ein texdoku umgewandelt und dnan hat es auf einmal geklappt..;-))

sboaah..der onlinevirusscanner braucht vieleicht...aber er hat schon wieder einen gefunden....wie kommt das???

#10 dann poste mal das log
__________
MfG Sabina

rund um die PC-Sicherheit

#11 so...das ist die auswertung von dem virencanner aber leider kann auch der die nicht löschen....was machen wir denn jetzt???

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 4. April 2007 23:02:38
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 4/04/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 275046
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 100939
Viren gefunden: 1
Infizierte Objekte gefunden: 4 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 03:58:39

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\webappsstore.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-311fe5cb-5520bc92.zip/BaaaaBaa.class Infizierte Objekte: Trojan.Java.ClassLoader.ao übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-311fe5cb-5520bc92.zip/VaaaaaaaBaa.class Infizierte Objekte: Trojan.Java.ClassLoader.ao übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-311fe5cb-5520bc92.zip/Baaaaa.class Infizierte Objekte: Trojan.Java.ClassLoader.ao übersprungen
C:\Dokumente und Einstellungen\held\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-311fe5cb-5520bc92.zip ZIP: infiziert - 3 übersprungen
C:\Dokumente und Einstellungen\held\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\??\SharingMetadata\Logs\Dfsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\??\SharingMetadata\pending.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\???\SharingMetadata\Working\database_C00C_942D_C94_2088\dfsr.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\??\SharingMetadata\Working\database_C00C_942D_C94_2088\fsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\h??\SharingMetadata\Working\database_C00C_942D_C94_2088\fsrtmp.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\???\SharingMetadata\Working\database_C00C_942D_C94_2088\tmp.edb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\hellsy@web.de\real\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\hellsy@web.de\shadow\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0r0pi4w2.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DF4CA7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DF4CBC.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\hLokale Einstellungen\Temp\~DF50F0.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DF52B8.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DF680D.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DF8EB5.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\~DF9044.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\held\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Agnitum\Outpost Firewall\op_data.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\Agnitum\Outpost Firewall\op_data.mdb Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-04-04.18-27-59.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{DA3B6981-0EF5-4C58-8F06-0318F64C6B50}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JETE400.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\~DFF3F4.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde vom Benutzer abgebrochen!



soooo,dann poste ich halt mal die log hierrein,vieleicht erhört mich ja jetzt einer....!

#12 hellsy

C:\Dokumente und Einstellungen\held\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-311fe5cb-5520bc92.zip - loeschen

»»
den Java-Sun - Cache zu leeren!
http://virus-protect.org/artikel/tools/javasun.html
mit CCleaner
http://www.ccleaner.de/?protecus.de
__________
MfG Sabina

rund um die PC-Sicherheit

#13 huhu...sooo,da bin ic weider..)

hab mal die ganzen temp odern gellert und die besagten virus habe ich ebenfalls elemniert....!

udn was steht jetzt auf dem programm???

hat der hacker egentlich jetzt imme rnoch zugriff auf mein system??ßwar ja schließlich ein backdoor-trojaner (

nette ostergrüße..!

#14 eigentlich hatte ich nur noch den l8gi7996RX.ini gefunden - und das hast du ja hoffentlich geloescht
es muesste wieder alles i.o. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#15 ääähmm..irgedendwie hat er wieder ein virus gefunden.hab den scnaner nochmal drüber laufen lassen und da hat er einen virus namens w32 kapucen.b gefunden...könnt ihr mir da nochmal helfen...vielen dank!

ach ja..und frohe ostern natürlich..!