Trojaner,Backdoor.auch per MSN? logfile da

#0
01.07.2007, 15:48
...neu hier

Beiträge: 8
#1 Hey, also ich hab sone Schei... datei gesendet bekommen. Leider war mein Papa am PC und hat diese angenommen und ausgeführt. Nun hab ich die im Betreff besagte Datei über nen online scan in der Datei festgestellt.
Man findet zu der Datei im Netz auch net wirklich viel.
Das Hijack file zeigt nichts besonderes (stelle ich gerne auf anfrage auch rein).
Nun habe ich gerade mein System mit dem Kapersky Online Virus checken lassen.
Ich kann mein PC leider nicht neu aufsetzen, da es ein Firmen PC ist, der eine 1 Terabyte Festplatte hat. Ich hoffe, dass man das auch so lösen kann.
Leider hat es Viren angezeigt. Hab die datei mal angehängt. hoffe dass es geht....bitte helft mir das weg zu bekommen!

danke für jede hilfe....bitte verständlich erklären.hab leider net so viel ahnung...bitte helft mir

Anhang: virus.txt
Dieser Beitrag wurde am 01.07.2007 um 16:27 Uhr von Paddy007 editiert.
Seitenanfang Seitenende
01.07.2007, 16:20
...neu hier

Beiträge: 1
#2 Hab sozusagen das gleiche...bitte helft mir....will jetzt auch net so viel mit dem pc machen aus angst....
Seitenanfang Seitenende
01.07.2007, 16:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 @Andre123
Nur punkt 1.;2; und 3. http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
01.07.2007, 17:30
...neu hier

Themenstarter

Beiträge: 8
#4 Also Punkt 1,2 und 3 gemacht.....


hier punkt 2



"Patrick" - 2007-07-01 17:13:53 - ComboFix 07-06-27.7 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Patrick\ANWEND~1\Install.dat


((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 )))))))))))))))))))))))))))))))


2007-07-01 17:13 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-01 13:42 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-07-01 13:42 <DIR> d-------- C:\WINDOWS\LastGood
2007-06-30 15:52 5,242,880 --a------ C:\DOKUME~1\Patrick\ntuser.dat
2007-06-29 14:01 <DIR> d-------- C:\Programme\Vietcong2
2007-06-29 13:44 <DIR> d-------- C:\Programme\PANZERS - Phase2
2007-06-27 20:39 65,143 --a------ C:\WINDOWS\BricoPackUninst.cmd
2007-06-27 20:35 6,118 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-06-27 20:34 <DIR> d-------- C:\WINDOWS\BricoPacks
2007-06-17 21:22 <DIR> d-------- C:\DOKUME~1\Patrick\ANWEND~1\U3
2007-06-12 14:25 <DIR> d--h----- C:\DOKUME~1\Patrick\InstallAnywhere
2007-06-10 09:52 <DIR> d-------- C:\Programme\EphPod
2007-06-07 18:53 <DIR> d-------- C:\Programme\HyCam2
2007-06-07 15:47 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2007-06-07 15:47 27,136 --a------ C:\WINDOWS\system32\irmon.dll
2007-06-07 15:47 154,112 --a------ C:\WINDOWS\system32\irftp.exe
2007-06-03 14:29 <DIR> d-------- C:\Programme\Wesnoth
2007-06-03 13:52 <DIR> d-------- C:\Programme\DVDVIDEOSOFT
2007-06-01 23:57 <DIR> d-------- C:\Programme\Wolfenstein - Enemy Territory


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-01 14:19:55 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-07-01 11:21:07 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-01 11:21:07 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-01 11:15:20 -------- d-----w C:\DOKUME~1\Patrick\ANWEND~1\Azureus
2007-06-29 11:59:24 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-06-27 18:52:08 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-27 18:41:08 -------- d-----w C:\Programme\Movie Maker
2007-06-27 18:39:07 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2007-06-22 15:36:54 -------- d-----w C:\Programme\Trillian
2007-06-03 09:44:59 -------- d-----w C:\Programme\eMule.de 0.46c v17
2007-05-30 10:10:12 42,904 ----a-w C:\DOKUME~1\Patrick\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-05-20 10:48:09 -------- d-----w C:\Programme\ICQ6
2007-05-17 09:40:26 -------- d-----w C:\DOKUME~1\Patrick\ANWEND~1\ICQ
2007-05-06 15:48:31 -------- d-----w C:\Programme\Nokia
2007-05-06 15:40:19 -------- d-----w C:\Programme\Total Video Converter
2007-05-02 17:23:43 -------- d-----w C:\Programme\Paint.NET
2007-04-09 15:36:56 77,312 ----a-w C:\WINDOWS\system32\TWAIN_32.DLL
2007-04-09 15:36:56 69,632 ----a-w C:\WINDOWS\system32\TWUNK_32.EXE
2007-04-09 15:36:56 48,560 ----a-w C:\WINDOWS\system32\TWUNK_16.EXE


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_09\bin\ssv.dll [2006-10-12 04:25]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-11-19 22:01 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-01 22:00]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 13:03 C:\WINDOWS\KHALMNPR.Exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:58 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:58]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"PcSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Patrick^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Patrick\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS SmartDoctor]
C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X74-X75]
"C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05f8c7aa-1d08-11dc-bce0-000272c42b8e}]
AutoRun\command- G:\LaunchU3.exe -a


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-01 17:16:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00000001-0000-1000-8000-0002ee000002}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001105-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}]


Completion time: 2007-07-01 17:17:35
C:\ComboFix-quarantined-files.txt ... 2007-07-01 17:17

--- E O F ---

und hier punkt 3:

Logfile of HijackThis v1.99.1
Scan saved at 17:30:27, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\QuickTime\QuickTimePlayer.exe
C:\DOKUME~1\Patrick\LOKALE~1\Temp\Rar$EX00.609\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Patrick\Desktop\Neuer Ordner (2)\HJT.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Seitenanfang Seitenende
01.07.2007, 17:55
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Ich bin sehr erstaunt,ihr benutzt kein Virenscanner?
Lade mal ein versuch Version von eScan http://www.mwti.net/download/escan/es2k3e/vwn2k3e.exe

Oder lade Antivir +Anleitung http://board.protecus.de/t23979.htm

Entferne auf C:\
Qoobox

ComboFix kann wieder entfernt werden
__________
MfG Argus
Seitenanfang Seitenende
01.07.2007, 17:59
...neu hier

Themenstarter

Beiträge: 8
#6 Hey, lade ich mir gleich runter...naja, ich lasse mein system immer über online virenscanner checken..das file dazu ist im ersten eintrag im anhang,falls du es noch net gesehen hast..ist denn jetzt soweit alles okay, wenn ich den Qoobox weg habe?
Seitenanfang Seitenende
01.07.2007, 18:04
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Du musst scannen,und mal nebenbei es gibt ja kostenlose scanner wie Antivir
AVG,Avast,Commodo warum dann ein Risiko nehmen?
__________
MfG Argus
Seitenanfang Seitenende
01.07.2007, 18:05
...neu hier

Themenstarter

Beiträge: 8
#8 mh, okay, lasse es gerade durch scannen ,nochmal online....aber wenn der dann nichts findet, dann ist alles weg? *bete*
Seitenanfang Seitenende
01.07.2007, 18:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
01.07.2007, 18:12
...neu hier

Themenstarter

Beiträge: 8
#10 ui, was fürn luxus...okay, ich lass die durchlaufen, aber wenn dann nichts mehr kommt, dann kannst du entwarnung geben und sagen,dass ich es geschafft habe?

PS: mist lasse ihn gerade durchlaufen...einen virus hat er schon gefunden, mal gucken,was das für einer ist
Dieser Beitrag wurde am 01.07.2007 um 18:19 Uhr von Paddy007 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: