HTML/Dldr.Iframe.K Fund bei AntiVir |
||
---|---|---|
#0
| ||
06.11.2007, 15:44
...neu hier
Beiträge: 8 |
||
|
||
06.11.2007, 17:03
Member
Beiträge: 694 |
#2
Hi,
zwei auffällige Sachen die ich nicht zuordnen kann: 4 - HKLM\..\Run: [bone warn] "G:\ProgramData\bodyforkfork.e7npa45" O4 - HKLM\..\Run: [Love default global mess] "G:\ProgramData\Help Save Amen.2d7s02" Bitte online prüfen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat G:\ProgramData\bodyforkfork.e7npa45Poste das Ergebnis mit Filename... chris |
|
|
||
06.11.2007, 21:24
...neu hier
Themenstarter Beiträge: 8 |
#3
Danke erstmal für die schnelle Antwort, hier die beiden Ergebnisse:
Zuerst G:\ProgramData\bodyforkfork.e7npa45 (diese Datei hb ich übrigens 3mal in diesem Ordner, jedesmal anderer Dateityp (B3KME, CS5NKU, E7NPA45) Zitat Complete scanning result of "bodyforkfork.e7npa45", processed in VirusTotal at 11/06/2007 21:08:02 (CET).---- und hier die 2.Datei G:\ProgramData\Help Save Amen.2d7s02 Zitat Complete scanning result of "Help Save Amen.2d7s02", processed in VirusTotal at 11/06/2007 21:31:29 (CET).So ich hoffe, das hilft dir weiter - auch wenn er scheinbar nichts gefunden hat. Sollte ich vllt. mal nen hijackthis-log unter win xp posten? |
|
|
||
07.11.2007, 07:20
Member
Beiträge: 694 |
#4
Hi,
ja, arbeite mal unter XP das folgende ab: http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html) - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) Die Dateien sind mir nach wie vor suspekt... Frage mal nach.... So, bitte packe die Dateien: G:\ProgramData\bodyforkfork.e7npa45 G:\ProgramData\Help Save Amen.2d7s02 G:\Program Files\WinZix\wakeservice.exe G:\Windows\inetloader.dll in ein passwortgeschütztes ZIP und sende sie mit Angabe des Passwortes im Email an folgende Adresse: virus@protecus.de Chris Dieser Beitrag wurde am 07.11.2007 um 08:26 Uhr von Chris4You editiert.
|
|
|
||
Zuerst mein System:
Win Vista/Xp parallel (er findet es unter beiden Systemen)
AMD Athlon Xp 3500+
3GB Ram
Geforce 6800GS
hier mal der HiJackThis-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:33:30, on 06.11.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal
Running processes:
G:\Windows\system32\taskeng.exe
G:\Windows\system32\Dwm.exe
G:\Windows\Explorer.EXE
G:\Program Files\Windows Defender\MSASCui.exe
G:\Windows\System32\rundll32.exe
G:\Windows\System32\rundll32.exe
G:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
G:\Program Files\iTunes\iTunesHelper.exe
G:\Program Files\Windows Sidebar\sidebar.exe
G:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe
G:\Program Files\ICQ6\ICQ.exe
G:\Windows\System32\rundll32.exe
G:\Program Files\Windows Media Player\wmplayer.exe
G:\Program Files\Internet Explorer\iexplore.exe
G:\Windows\system32\conime.exe
G:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
g:\program files\avira\antivir personaledition classic\avscan.exe
G:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.fem.tu-ilmenau.de/noproxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - G:\Windows\inetloader.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE G:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] G:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [bone warn] "G:\ProgramData\bodyforkfork.e7npa45"
O4 - HKLM\..\Run: [Love default global mess] "G:\ProgramData\Help Save Amen.2d7s02"
O4 - HKLM\..\Run: [avgnt] "G:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "G:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] G:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Creative MediaSource Go] G:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [ICQ] "G:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [WinZix Service] G:\Program Files\WinZix\wakeservice.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - G:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - G:\Program Files\iPod\bin\iPodService.exe
--
End of file - 4797 bytes
Schonmal Danke im Voraus
mfg Lukas