Trojaner installiert ständig neue dll in system32, Norton läuft nicht mehr!

#0
27.04.2007, 21:11
Member

Beiträge: 16
#1 Hallo!!! Ich hab' folgendes Problem: Heute hat Norton Antivirus 2006 beim Surfen 3 Dateien als "schädlich" identifiziert und "repariert" statt sie zu löschen (dieses Sch***prog.). Mir war die Sache nicht ganz geheuer, deswegen hab' ich meinen Rechner nach neu erstellten Dateien gesucht und siehe da es waren eine ganze Menge dabei, u.a. die Datei MSwin--931989028.exe, die ein Trojaner enthält (hab' ich sofort gelöscht). Leider ist der System32 jetzt mit haufenweise schadhaften dll's und exe-Dateien übersät (hab' ein paar der Dateien auf virustotal.com gecheckt und sie wurden dort ebenfalls als schädlich verifiziert). Noch dazu fährt jetzt Norton nicht mehr hoch und wenn ich ihn manuell starte, dann kommt eine Fehlermeldung. Ich weiß wirklich nicht mehr weiter und hoffe hier Hilfe zu finden!
Hier der Hijack-Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:26:40, on 27.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\AOL\Loader\aolload.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PowerS.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\AOL\1176417148\ee\AOLSoftware.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\guxtlxtc.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://hollywoodfx.pinnaclesys.com/cgi-bin/register.pl?language=de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MS Explorer - {9B5A95FA-DFAF-31AB-A1AF-8A9FA7F8A98E} - C:\WINDOWS\system\wmecst32.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {B7B46572-8339-49BE-83F2-56C18B86A87E} - c:\windows\system32\kofakof.dll
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ccApp] -
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1176417148\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [guxtlxtc] C:\WINDOWS\System32\guxtlxtc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [guxtlxtc] C:\WINDOWS\System32\guxtlxtc.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: cgxzkjiu - C:\WINDOWS\SYSTEM32\kofakof.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Hier der ComboFix-Log:
"German Elizondo" - 07-04-27 20:30:38 Service Pack 1
ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\All Users\Dokumente\Hijack This\"


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\kofakof.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\drivers\szyjewru.sys
C:\WINDOWS\system32\kofakof.dll
C:\WINDOWS\system32\kofakof.dll.bak


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\dwdrzndc
-------\mtdekxxz
-------\LEGACY_DWDRZNDC
-------\LEGACY_MTDEKXXZ


((((((((((((((((((((((((((((((( Files Created from 2007-03-27 to 2007-04-27 ))))))))))))))))))))))))))))))))))


2007-04-27 18:52 44,032 --a------ C:\WINDOWS\system32\cxmlhtbk.dll
2007-04-27 18:52 130,560 --a------ C:\WINDOWS\system32\jswofipa.dll
2007-04-27 18:52 100,864 --a------ C:\WINDOWS\system32\zizkqfix.dll
2007-04-27 18:23 17,408 --a------ C:\WINDOWS\system32\sdaeajsx.exe
2007-04-27 18:23 138,752 --a------ C:\WINDOWS\system32\ghmrtnfr.exe
2007-04-27 18:23 13,824 --a------ C:\WINDOWS\system32\guxtlxtc.exe
2007-04-27 18:23 11,264 --a------ C:\WINDOWS\system\wmecst32.dll
2007-04-13 00:32 65,536 --a------ C:\WINDOWS\wanmpsvc.exe
2007-04-07 11:57 <DIR> dr-h----- C:\DOKUME~1\GERMAN~1\ANWEND~1\SecuROM
2007-04-07 11:57 <DIR> d-------- C:\DOKUME~1\GERMAN~1\ANWEND~1\Command & Conquer 3 Tiberium Wars
2007-04-07 11:48 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-04-07 11:24 <DIR> d-------- C:\Programme\Electronic Arts
2007-03-30 18:55 <DIR> d-------- C:\DOKUME~1\GERMAN~1\ANWEND~1\Viewpoint
2007-03-28 18:51 97,936 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2007-03-28 18:51 538,256 --a------ C:\WINDOWS\system32\SymNeti.dll
2007-03-28 18:51 31,888 --a------ C:\WINDOWS\system32\drivers\symids.sys
2007-03-28 18:51 28,304 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2007-03-28 18:51 24,208 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2007-03-28 18:51 189,584 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2007-03-28 18:51 161,424 --a------ C:\WINDOWS\system32\SymRedir.dll
2007-03-28 18:51 12,944 --a------ C:\WINDOWS\system32\drivers\symdns.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-26 15:45 -------- d-------- C:\Programme\microsoft picture it! 9
2007-04-19 18:39 -------- d-------- C:\Programme\emule
2007-04-04 19:46 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll
2007-04-04 19:46 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-04-04 19:46 -------- d-------- C:\Programme\symantec
2007-03-25 11:31 63580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 11:31 391000 --a------ C:\WINDOWS\system32\perfh007.dat
2007-02-17 13:32 1948 --a------ C:\DOKUME~1\GERMAN~1\ANWEND~1\wklnhst.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
{9B5A95FA-DFAF-31AB-A1AF-8A9FA7F8A98E} C:\WINDOWS\system\wmecst32.dll
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD} C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"PowerS"="C:\\WINDOWS\\PowerS.exe"
"CARPService"="carpserv.exe"
"Agent"="\"C:\\Programme\\CyberLink Media Carnival\\PowerVCR II\\Agent.exe\""
"Remote_Agent"="\"C:\\Programme\\CyberLink Media Carnival\\PowerVCR II\\RemoteAgent.exe\""
"IW ControlCenter"="C:\\Programme\\Pinnacle\\InstantCDDVD\\InstantWrite\\iwctrl.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"remotecontrol"="C:\\Programme\\ASUS\\ASUS Remote Master\\Remote Master.exe"
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"ccApp"="-"
"SSC_UserPrompt"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"HostManager"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1176417148\\ee\\AOLSoftware.exe"
"Symantec PIF AlertEng"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\PIF\\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\\PIFSvc.exe\" /a /m \"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\PIF\\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\\AlertEng.dll\""
"guxtlxtc"="C:\\WINDOWS\\System32\\guxtlxtc.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"
"guxtlxtc"="C:\\WINDOWS\\System32\\guxtlxtc.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
mtdekxxz



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Norton QuickScan ausfhren - German Elizondo.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - German Elizondo.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-27 20:38:25
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-27 20:38:57 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-04-27 20:38

Und hier die datFind-Logs
Verzeichnis von C:\

27.04.2007 20:41 0 sys.txt
27.04.2007 20:41 631 down.txt
27.04.2007 20:41 117 tmp.txt
27.04.2007 20:41 10.029 system.txt
27.04.2007 20:41 345 systemtemp.txt
27.04.2007 20:41 103.923 system32.txt
27.04.2007 20:38 7.653 ComboFix.txt
27.04.2007 20:38 1.279 ComboFix-quarantined-files.txt
27.04.2007 20:37 805.306.368 pagefile.sys
27.04.2007 17:57 216.071 VETlog.txt
27.04.2007 17:57 85.678 VETlog.dmp
26.06.2006 14:20 194 boot.ini

Verzeichnis von C:\WINDOWS

27.04.2007 20:39 0 0.log
27.04.2007 20:38 116 NeroDigital.ini
27.04.2007 20:37 1.704.266 WindowsUpdate.log
27.04.2007 20:37 159 wiadebug.log
27.04.2007 20:37 50 wiaservc.log
27.04.2007 20:37 2.048 bootstat.dat
27.04.2007 20:27 32.556 SchedLgU.Txt
27.04.2007 17:57 786 win.ini
23.04.2007 17:06 454.527 setupapi.log
21.04.2007 03:52 86.528 catchme.exe
13.04.2007 01:01 3.694 ModemLog_FM-56PCI-HSFi-AB.txt
07.04.2007 11:51 359.874 DirectX.log
18.11.2006 21:56 189.177 setupact.log

Verzeichnis von C:\WINDOWS\system32

27.04.2007 20:37 50.257 nvapps.xml
27.04.2007 18:52 100.864 zizkqfix.dll
27.04.2007 18:52 44.032 cxmlhtbk.dll
27.04.2007 18:52 130.560 jswofipa.dll
27.04.2007 18:23 17.408 sdaeajsx.exe
27.04.2007 18:23 138.752 ghmrtnfr.exe
27.04.2007 18:23 13.824 guxtlxtc.exe
15.04.2007 17:53 13.646 wpa.dbl
04.04.2007 19:46 48.776 S32EVNT1.DLL
02.04.2007 14:21 428.032 swreg.exe
28.03.2007 18:51 538.256 SymNeti.dll
28.03.2007 18:51 161.424 SymRedir.dll
25.03.2007 11:31 380.350 perfh009.dat
25.03.2007 11:31 391.000 perfh007.dat
25.03.2007 11:31 52.764 perfc009.dat
25.03.2007 11:31 63.580 perfc007.dat
25.03.2007 11:31 897.954 PerfStringBackup.INI
24.01.2007 15:25 66.408 dxdllreg.exe
01.12.2006 05:20 212.480 swxcacls.exe

Verzeichnis von C:\DOKUME~1\GERMAN~1\LOKALE~1\Temp

27.04.2007 20:39 16.384 ~DF2334.tmp
27.04.2007 20:28 5.978 hpodvd09.log
2 Datei(en) 22.362 Bytes
0 Verzeichnis(se), 86.519.083.008 Bytes frei

Verzeichnis von C:\WINDOWS\TEMP
- war leer

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.05.2006 14:07 219 start.INF
04.02.2006 20:03 65 desktop.ini

DANKE!!!
Seitenanfang Seitenende
27.04.2007, 21:23
Moderator

Beiträge: 7795
#2 Ja, diese Dateien musst du loeschen. Am besten im abgesicherten Modus:

2007-04-27 18:52 44,032 --a------ C:\WINDOWS\system32\cxmlhtbk.dll
2007-04-27 18:52 130,560 --a------ C:\WINDOWS\system32\jswofipa.dll
2007-04-27 18:52 100,864 --a------ C:\WINDOWS\system32\zizkqfix.dll
2007-04-27 18:23 17,408 --a------ C:\WINDOWS\system32\sdaeajsx.exe
2007-04-27 18:23 138,752 --a------ C:\WINDOWS\system32\ghmrtnfr.exe
2007-04-27 18:23 13,824 --a------ C:\WINDOWS\system32\guxtlxtc.exe
2007-04-27 18:23 11,264 --a------ C:\WINDOWS\system\wmecst32.dll



und hier auch die Frage, weisst du, wo es dich erwischt hat?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.04.2007, 22:35
Member

Themenstarter

Beiträge: 16
#3 Danke für die schnelle Antwort ;)! Ja genau das sind die Dateien die mir suspekt vorkamen (hab' nur gewartet, dass ein Pro mir grünes Licht zum Löschen gibt, da ich mich nicht ganz so getraut hab' sie einfach so zu löschen). Werd' ich gleich mal machen.
Wo es mich "erwischt" hat? Kann ich dir leider nicht sagen, AOL gestartet und dann kam auch schon die Warnung von Norton unten in der Taskleiste. Als nächstes hat Norton wie gesagt die Dateien "repariert" (völlig unverständlich, wieso er die nicht von Anfang an gelöscht hat) und nach einem Neustart arbeitet Norton gar nicht mehr (fährt nicht einmal mehr hoch).
Mal sehen, ob sich die Situation nach dem Löschen ändert.
Poste nachher das Resultat!

Nachtrag vom 28.04.:
Also ich hab' jetzt Norton komplett deinstalliert (normal deinstalliert, dann das Tool von Symantec benutzt und mit Hilfe der Suchfunktion alle übrig gebliebenen Ordenr manuell gelöscht, dazu noch die Registryeinträge gelöscht die noch übrig waren, ironischerweise die vom Removal Tool *grr*).
Zusätzlich hab' ich noch RegCleaner benutzt und siehe da es waren noch einige Registryeinträge vom Trojaner vorhanden:
Unter "Software" einmal der Eintrag "swearware" und "jswofipa" und unter "Startup List" 2x der Eintrag "guxtlxtc.exe"
So nachdem ich alles gelöscht hab' und Norton wieder neu installiert hab', scheint alles wieder normal zu funktionieren. Ich hoffe es bleibt auch so ;). Und ich werde mich jetzt nach einen neuen Antivirusprogramm umsehen, da mir Norton inzwischen gehörig auf die Nerven geht ;).
Dieser Beitrag wurde am 28.04.2007 um 14:42 Uhr von M.D. Geist editiert.
Seitenanfang Seitenende
28.04.2007, 14:33
...neu hier

Beiträge: 3
#4 @M.D.Geist

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dein System benötigt unbedingt ein Update auf XP SP2.
Sonst bist Du gleich wieder im Fadenkreuz.

Die Lücken auf Deinem derzeitigen System sind lange und oft öffentlich publiziert und inzwischen ein Übungsfeld für alle scriptkiddies.

Ich hoffe Du liest das hier noch, trotz Deines Freudentaumels.

(Norton Anivirus kann Dir auch nur helfen, wenn DU mitdenkst.)
Seitenanfang Seitenende
28.04.2007, 14:53
Member

Themenstarter

Beiträge: 16
#5 Ja stimmt schon, ich sollte wirklich mal auf SP2 umsteigen, ich hatte bisher nur Bedenken weil zum Schluss ist man im Grunde genommen genauso hilflos wie mit SP1, da sich irgendwelche "Kiddies" immer etwas Neues einfallen lassen, um eine Sicherheitslücke auszunutzen.
Was Norton betrifft, man kann so oft mitdenken wie man will, wenn Norton meint er müsse nicht mehr funtionieren, dann kann ich auch nichts machen ;). Ausserdem ist das inzwischen echt eine Zumutung, jedes Programm muss heute alles können, nur wenn es in diesem Fall um Sicherheit geht, dann wird gerade da geschlampt (Norton meldet sich immer wenn ihm irgendetwas nicht passt aber wenn er den Trojaner - den er nicht mal gefunden hat - entfernen soll, dann verabschiedet er sich ;))!
Seitenanfang Seitenende
28.04.2007, 15:47
...neu hier

Beiträge: 3
#6

Zitat

...mal auf SP2 umsteigen
Das mußt du tun, bevor Du überhaupt weiterdenkst.

Dein System ist auf dem Stand von 2002 eingefroren.
Verzichte auf das Internet, oder passe dich der Zeit an.

Und du wunderst Dich, dass die Virenupdates von NORTON nicht greifen?

Wer sein offenes System dem Internet als Viren-/Spamschleuder zur Verfügung stellt, sollte über Sicherheitseinrichtungen nicht im Ansatz klagen dürfen

Er schädigt die Usergemeinschaft.
Es gibt 100 Gründe, die Schuld bei anderen zu suchen.

Der sicherste Grund für eine Verbesserung bist Du selbst (Punkt)
Seitenanfang Seitenende
28.04.2007, 16:41
Member

Themenstarter

Beiträge: 16
#7 Deinen Ratschlag werde ich mir zu Herzen nehmen, dennoch finde ich den Rest deines Postings ein wenig "offensive" und leicht offtopic, da mein System - mal von SP2 abgesehen - relativ sicher ist (Router, Norton, Antispam usw. usw.). Ferner ist die Meinung über Norton, erstmal meine Meinug nur und ich kann behaupten, dass ich mit dieser Software schon einige Erfahrung gesammelt habe (seit 2002 benutze ich Produkte von Symantec) und dass sie leider Gottes nicht mehr ganz seinen Zweck erfüllt wie sie sollte (wie gesagt trotz täglichem Update wurde der Trojaner völlig übersehen bzw. nicht als schädlich gesehen, während andere Antiviren sofort Alarm schlugen).
Von mir aus kann ein Moderator diesen Thread schließen, da das Problem behoben worden ist.
Seitenanfang Seitenende
28.04.2007, 19:19
Member

Beiträge: 3716
#8 hi, ich kann dir nur avira antivir empfehlen, wenn du geld ausgeben willst die premium... ist momentan mit einer der besten produkte, sogar mit rootkitschutz!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: