Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: W32.Sinnaka.A@mm eingefangen! Was tun?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 27.12.2005, 11:35   #1
alexxb
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Standard

W32.Sinnaka.A@mm eingefangen! Was tun?



Hallo,

auf der Startseite des Explorers erscheint die o.g. Virenmeldung. Hab mit Syptrooper hernuntergeladen, aber dann gelesen, dass das auch spyware ist und wieder deinstalliert. McAfee findet nichts weiter. Hab in einem anderen Gespräch gelesen, dass man online die Dateien mssearchnet.exe und nvctrl.exe scannen soll. Hier die Ergebnisse:
Datei: mssearchnet.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 probably a variant of Win32/TrojanDownloader.Zlob.AP gefunden (mögliche Variante)
Norman Virus Control W32/Zlob.EH gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: nvctrl.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/StartPage.ADH gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Außerdem hab ich mit Hijack runtergeladen, der sagt Folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 11:18:33, on 27.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\Programme\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HJT\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpA3A2.tmp
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0

\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network

Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file

missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06

\bin\ssv.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common

Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network

Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network

Associates\VirusScan\VsTskMgr.exe

Wäre super, wenn mir jemand weiterhelfen kann!

Danke

Alex

Alt 27.12.2005, 12:29   #2
Haui45
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Standard

W32.Sinnaka.A@mm eingefangen! Was tun?



Hallo,

führe bitte das aus, was hier beschrieben ist und poste alle geforderten Logs (eScan, HjT, smitrem).

Fixe diesen Eintrag zusätzlich mit HijackThis:
Zitat:
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
__________________


Alt 27.12.2005, 14:26   #3
cooldude
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Icon17

W32.Sinnaka.A@mm eingefangen! Was tun?



Hallo, ich habe das gleiche Problem und werde diesen Trojaner einfach nicht los. Ich bin jetzt leider mit meinem Latein am Ende. Habe aber die Hoffung an dieses Forum noch nicht aufgegeben. Füge anbei mal mein Log an vielleicht habe ich Glück und werde von der Neuinstallation bewart.

Logfile of HijackThis v1.99.1
Scan saved at 14:05:03, on 27.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe
C:\Programme\Kaspersky Lab\NetworkAgent\klnagent.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Liveupdate\LiveUpdateInstaller.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\ShutDownKoenig\sdk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://germany.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp66ED.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [SDK] C:\Programme\ShutDownKoenig\sdk.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = **.local
O17 - HKLM\Software\..\Telephony: DomainName = **.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3EC7FDB-6DB6-4E2D-A770-4B8E66B48C7E}: NameServer = 192.168.0.100,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = **.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = **.local
O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
O23 - Service: APC PBE Server (APCPBEServer) - APC - C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Administrationsagent (klnagent) - Kaspersky Lab - C:\Programme\Kaspersky Lab\NetworkAgent\klnagent.exe
O23 - Service: LiveUpdateInstaller - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Liveupdate\LiveUpdateInstaller.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE

Wäre echt dankbar wenn sich jemand meinem hoffentlich kleinem Problem anniemmt.

Danke schon mal !!! cooldude !!!
__________________

Alt 27.12.2005, 14:30   #4
Haui45
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Standard

W32.Sinnaka.A@mm eingefangen! Was tun?



@cooldude
Bitte eröffne ein sonst wird es hier zu unübersichtlich. Danke!

Alt 27.12.2005, 15:07   #5
alexxb
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Standard

W32.Sinnaka.A@mm eingefangen! Was tun?



Besten Dank für die schnelle Hilfe!

Habe hoffentlich alles richtig gemacht... Hier die log files

Logfile of HijackThis v1.99.1
Scan saved at 15:00:14, on 27.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Bases_X\TRAYSSER.EXE
C:\Bases_X\avpm.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Bases_X\TRAYICOS.EXE
C:\Bases_X\AVPMWrap.EXE
C:\Bases_X\MAILDISP.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Bases_X\MAILSCAN.EXE
C:\BASES_X\SPOOLER.EXE
C:\Bases_X\kavss.exe
C:\Bases_X\AvpM.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HJT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Bases_X\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\Bases_X\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\Bases_X\AVPMWrap.EXE
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\Bases_X\TRAYSSER.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Bases_X\avpm.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SpyAxeFix © by noahdfear

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F}"="Security Update"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Guide.url
Security Troubleshooting.url


~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 708 'explorer.exe'
Killing PID 708 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Guide.url


~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll is missing!!


Escan hab ich auch durchgeführt, das log file hat allerdings 6 MB, gibts da ne abgespeckte variante? Der hat auf jeden Fall einiges gefunden und entfernt.

Der Explorer funktioniert schon mal wieder, allerdings hab ich in der Statusleiste ständig eine Meldung, dass mein comp ifiziert ist, scheint von spyaxe zu sein. Bekomm ich das auch wieder weg?

Vielen Dank schon mal bishier hin!!!

Alex


Alt 27.12.2005, 16:42   #6
alexxb
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Standard

W32.Sinnaka.A@mm eingefangen! Was tun?



Hallo,

hab die mwav-datei ausfindig gemacht, vielleicht hilft die weiter?!

[General]
EngineType=1

[Welchia]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","",""
DeleteFile1=%winsysdir%\wins\svchost.exe
DeleteFile2=%winsysdir%\wins\Dllhost.exe

[LovGate]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","",""
Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","",""
Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","",""
DeleteFile1=%winsysdir%\NetServices.exe
DeleteFile2=%winsysdir%\RAVMOND.EXE
DeleteFile3=%winsysdir%\RAVMOND.EXE
DeleteFile4=%winsysdir%\WinGate.exe
DeleteFile5=%winsysdir%\WinDriver.exe
DeleteFile6=%winsysdir%\WinHelp.exe
DeleteFile7=%winsysdir%\winrpc.exe
DeleteFile8=%winsysdir%\ily.dll
DeleteFile9=%winsysdir%\task.dll
DeleteFile10=%winsysdir%\reg.dll
DeleteFile11=%winsysdir%\1.dll
DeleteFile12=%winsysdir%\win32vxd.dll
DeleteFile13=%winsysdir%\kernel66.dll
DeleteFile14=%winsysdir%\kernel66.dll
DeleteFile15=%winsysdir%\iky668.dll
DeleteFile16=%winsysdir%\reg678.dll
DeleteFile17=%winsysdir%\task688.dll
DeleteFile18=%winsysdir%\111.dll

[CodeRed]
DeleteFile1=%inetpub%\scripts\root.exe
DeleteFile2=%PF%\common~1\system\MSADC\root.exe
DeleteFile3=%SYSTEMDIR%explorer.exe
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D

[OpaServ]
DeleteFile1=%SYSTEMDIR%\Tmp.ini
; this is Opaserv.M
DeleteFile2=%SYSTEMDIR%\MSLICENF.COM
DeleteFile3=%SYSTEMDIR%\BOOT.EXE
BAT1=Autoexec.bat,MSLICENF
BAT2=Autoexec.bat,BOOT.EXE

[Sobig.e]
DeleteFile1=%winsysdir%\cgtask.exe
DeleteFile2=%winsysdir%\mmtask.exe

[Winupie]
DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll

[Swen]
DeleteFile1=%winsysdir%\SWEN*.DAT

[JS.Fortnight]
DeleteFile1=%PF%\sign.htm
DeleteFile2=%PF%\sign.html

[Novarg]
DeleteFile1=%winsysdir%\shimgapi.dll

[Pagabot]
Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"",""

[Parite.b]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"",""

[Parite.a]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"",""

[Adware.SeekSeek]
Reg1=HKEY_CURRENT_USER\Console,UUID,"",""
Reg2=HKEY_CURRENT_USER\Console,lp,"",""

Alt 27.12.2005, 17:41   #7
Haui45
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Standard

W32.Sinnaka.A@mm eingefangen! Was tun?



Eigentlich hätte die smitrem.exe die Spyaxe-Infektion entfernen sollen...
Lade und aktualisiere eine Testversion von ewido und überprüfe das System im abgesicherten Modus. Speichere den Report!

Poste ein Silent-Runners-Logfile
Lade dir die Datei datFind.bat herunter und poste die 4 Logs

Zitat:
Escan hab ich auch durchgeführt, das log file hat allerdings 6 MB, gibts da ne abgespeckte variante?
s. Fußnote [5] in der Anleitung.
btw: Kann es sein, dass du eine Testversion von eScan und nicht das MicroWorld AntiVirus Toolkit Utility (MWAV) heruntergeladen hast? Wenn ja, wir deine Logdatei wahrscheinlich hier zu finden sein "C:\Bases_x\Log\Mwav.log"
Kopiere sie bitte direkt in den Ordner C:\Bases_x\ und führe die Find.bat erst dann aus.


Poste die Ergebnisse von eScan, ewido, Silent Runners, sowie die 4 Log der datfind.bat (der letzte Monat sollte genügen).

Alt 27.12.2005, 21:05   #8
alexxb
 
W32.Sinnaka.A@mm eingefangen! Was tun? - Standard

W32.Sinnaka.A@mm eingefangen! Was tun?



Hallo nochmal,

mit eScan hab ich Probleme. Hatte tatsächliche ie falsche version runtergeladen, dann noch mal mit MWAV probiert, das hat aber nicht mit dem Entpacken geklappt (es erscheint keine entsprechende Option).

Die anderen Protokolle sind die Folgenden:


datfind:

Verzeichnis von C:\WINDOWS\system32

27.12.2005 13:14 102.400 wbeconm.dll
27.12.2005 12:43 4.286 ot.ico
27.12.2005 10:16 6.144 msvol.tlb
27.12.2005 10:16 9.985 hpA3A2.tmp
27.12.2005 09:33 15.520 nvctrl.exe
26.12.2005 09:19 6.948 jupdate-1.5.0_06-b05.log
12.12.2005 21:10 909.312 contfilt.dll
09.12.2005 01:21 2.723.680 MRT.exe
08.12.2005 17:23 110.592 mwnsp.dll
08.12.2005 17:18 331.776 mwtsp.dll
04.12.2005 09:59 1.158 wpa.dbl
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 18:51 270.192 FNTCACHE.DAT
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
15.10.2005 18:11 313.280 perfh009.dat
15.10.2005 18:11 40.998 perfc009.dat
15.10.2005 18:11 318.680 perfh007.dat
15.10.2005 18:11 49.424 perfc007.dat
15.10.2005 18:11 727.458 PerfStringBackup.INI
13.10.2005 00:11 15.584 spmsg.dll
09.10.2005 18:53 125.440 UNZDLL.DLL
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 02:37 401.408 StarSaver.scr

Verzeichnis von C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp

27.12.2005 20:46 2.600.393 sa160.exe
27.12.2005 20:45 0 sa160.tmp
27.12.2005 20:27 23.638 ProF.tmp
27.12.2005 20:14 206 jusched.log
27.12.2005 20:05 0 sa10.tmp
27.12.2005 20:04 16.384 ~DF3BF4.tmp
27.12.2005 20:04 0 sa1.tmp
27.12.2005 20:02 2.254.916 MWAV.LOG
27.12.2005 20:02 870 mwXface.log
27.12.2005 19:49 241.664 MYDB.DLL
27.12.2005 19:44 0 saE.tmp
27.12.2005 19:44 0 saD.tmp
26.12.2005 17:43 377.408 mwavscan.com
26.12.2005 17:12 1.569 avp.set
26.12.2005 17:12 11.410 avp.klb
26.12.2005 17:12 24.109 daily.avc
26.12.2005 17:12 49.935 base083.avc
26.12.2005 17:12 34.718 base084.avc
26.12.2005 17:12 21.616 fa.avc
26.12.2005 17:12 47.121 ext005.avc
26.12.2005 17:12 69.117 ca.avc
26.12.2005 17:12 1.238 daily-ex.avc
26.12.2005 17:12 139.752 unp026.avc
26.12.2005 17:12 27.111 unp004.avc
26.12.2005 17:12 48.048 ext002.avc
26.12.2005 15:26 131.422 Spyware.sdb
26.12.2005 15:26 1.632.257 File1.sdb
26.12.2005 15:26 387.796 Dir.sdb
26.12.2005 15:26 579.964 Cid.sdb
26.12.2005 15:26 118.031 File2.sdb
26.12.2005 15:26 146.525 spydb.old
26.12.2005 15:26 146.525 spydb.avs
26.12.2005 14:57 98.304 MWAVL.exe
23.12.2005 18:21 71.758 unp002.avc
23.12.2005 17:55 7.811 Chinese.con
23.12.2005 17:55 36.112 Chinese.Age
23.12.2005 17:55 45.078 Finnish.Age
23.12.2005 17:55 10.520 Finnish.con
23.12.2005 17:55 11.690 Polish.con
23.12.2005 17:55 48.144 Polish.Age
23.12.2005 17:55 47.920 French.Age
23.12.2005 17:55 11.423 French.con
23.12.2005 17:55 48.423 Spanish.Age
23.12.2005 17:55 10.827 Spanish.con
23.12.2005 17:55 10.845 Spanishl.con
23.12.2005 17:55 48.162 Spanishl.Age
23.12.2005 17:55 44.019 Romanian.Age
23.12.2005 17:55 10.489 Romanian.con
23.12.2005 17:55 11.302 Portuguese.con
23.12.2005 17:55 47.565 Portuguese.Age
23.12.2005 17:55 55.627 Italian.Age
23.12.2005 17:55 9.976 Italian.con
23.12.2005 17:55 58.136 German.Age
23.12.2005 17:55 13.792 German.con
23.12.2005 14:49 335.872 esupdate.exe
23.12.2005 14:30 122.880 msvlclnt.dll
23.12.2005 14:29 41.024 Getvlist.exe
23.12.2005 14:26 10.126 config.lan
23.12.2005 14:26 10.126 English.con
23.12.2005 11:51 340.480 MWAVReg.EXE
22.12.2005 13:20 218.098 troj033.avc
22.12.2005 13:02 4.059 Chinese.dow
21.12.2005 21:37 70.910 unp016.avc
21.12.2005 21:37 93.982 troj031.avc
21.12.2005 06:05 120 0FD1A8EB.TMP
20.12.2005 18:02 78.450 virus011.avc
20.12.2005 18:02 9.758 unp000.avc
20.12.2005 18:02 107.751 troj034.avc
20.12.2005 18:02 83.998 krnunp.avc
20.12.2005 18:02 49.927 base082.avc
19.12.2005 14:37 491.008 Download.exe
19.12.2005 10:45 5.907 Polish.dow
18.12.2005 06:01 363.520 viewtcp.exe
18.12.2005 05:54 1.694 English.tcp
18.12.2005 05:54 1.694 ViewTcp.lan
17.12.2005 13:55 99.916 troj009.avc
15.12.2005 18:51 42.372 language.ini
15.12.2005 18:51 42.372 English.Age
14.12.2005 13:41 5.753 Spanishl.dow
12.12.2005 15:41 48.372 base006.avc
12.12.2005 15:41 63.298 base007.avc
09.12.2005 13:42 80.084 unp019.avc
08.12.2005 16:47 49.098 ext001.avc
08.12.2005 16:47 48.070 ext003.avc
08.12.2005 16:47 48.062 ext004.avc
07.12.2005 18:23 50.388 troj016.avc
07.12.2005 16:39 51.435 troj025.avc
07.12.2005 16:39 29.619 gen004.avc
07.12.2005 16:39 61.107 unp014.avc
06.12.2005 16:10 5.523 German.dow
06.12.2005 14:30 36.526 virus020.avc
06.12.2005 14:30 32.826 krnexe.avc
05.12.2005 11:35 52.896 base081.avc
05.12.2005 11:35 100.027 troj007.avc
04.12.2005 14:53 1.737 German.tcp
02.12.2005 10:59 83.879 virus016.avc
02.12.2005 10:59 48.179 malw004.avc
01.12.2005 18:18 5.306 Finnish.dow
01.12.2005 18:18 5.768 French.dow
01.12.2005 18:18 5.766 Spanish.dow
01.12.2005 18:18 5.371 Romanian.dow
01.12.2005 18:18 5.710 Portuguese.dow
01.12.2005 18:18 5.393 Italian.dow
01.12.2005 15:31 5.108 English.dow
01.12.2005 15:31 5.108 Download.lan
01.12.2005 14:45 1.841 Polish.tcp
29.11.2005 10:37 49.343 worm005.avc
25.11.2005 17:29 1.718 Spanishl.tcp
25.11.2005 17:29 1.718 Spanish.tcp
25.11.2005 17:25 1.895 Portuguese.tcp
25.11.2005 17:24 1.718 Italian.tcp
25.11.2005 17:23 1.886 French.tcp
25.11.2005 17:19 1.750 Finnish.tcp
23.11.2005 22:25 188.662 unp025.avc
23.11.2005 22:25 37.093 unp012.avc
18.11.2005 19:32 14.008 kernel.avc
18.11.2005 19:32 101.737 troj005.avc
18.11.2005 19:32 28.752 krnengn.avc
18.11.2005 19:32 29.097 unp021.avc
18.11.2005 19:32 44.623 unp018.avc
18.11.2005 19:32 50.729 krnexe32.avc
18.11.2005 12:01 7.187 Polish.lic
17.11.2005 13:10 62.198 unp015.avc
17.11.2005 13:10 92.411 krnmacro.avc
15.11.2005 11:54 14.227 mail.avc
15.11.2005 11:54 6.101 smart.avc
10.11.2005 15:11 81.196 unp007.avc
10.11.2005 15:11 34.528 unp024.avc
10.11.2005 15:11 56.430 unp006.avc
07.11.2005 16:36 73.725 virus003.avc
07.11.2005 16:36 109.301 troj003.avc
02.11.2005 13:21 113.508 krn001.avc
02.11.2005 13:21 54.697 malw002.avc
02.11.2005 13:21 56.623 troj022.avc
02.11.2005 13:21 48.314 malw003.avc
26.10.2005 11:22 77.389 virus012.avc

Verzeichnis von C:\WINDOWS

27.12.2005 20:23 512 randseed.rnd
27.12.2005 20:21 394.124 setupapi.log
27.12.2005 20:04 159 wiadebug.log
27.12.2005 20:04 0 0.log
27.12.2005 20:03 2.048 bootstat.dat
27.12.2005 20:03 1.084.291 WindowsUpdate.log
27.12.2005 20:03 227 system.ini
27.12.2005 20:03 943 win.ini
27.12.2005 19:49 0 Lic.xxx
27.12.2005 19:44 221.749 setupact.log
27.12.2005 18:38 50 wiaservc.log
27.12.2005 18:38 32.604 SchedLgU.Txt
27.12.2005 18:31 236 CPERROR.LOG
27.12.2005 18:20 28.570 ESCAN.LOG
27.12.2005 18:20 4.684 mailremv.log
27.12.2005 18:20 434 INST_TSP.LOG
27.12.2005 18:06 1.005 frights.log
27.12.2005 13:49 4.383.256 REGBK00.ZIP
27.12.2005 13:08 589 MAILINST.LOG
27.12.2005 13:06 123.822 winsbak2.reg
27.12.2005 13:06 17.596 winsbak.reg
23.12.2005 09:39 54.156 QTFont.qfn
22.12.2005 23:56 1.409 QTFont.for
22.12.2005 12:17 191.868 wmsetup.log
18.12.2005 18:30 1.540 mue01.ini
17.12.2005 00:25 9.372 KB910437.log
17.12.2005 00:25 176.092 comsetup.log
17.12.2005 00:25 74.996 iis6.log
17.12.2005 00:25 1.393 imsins.log
17.12.2005 00:25 27.533 msgsocm.log
17.12.2005 00:25 27.967 ocmsn.log
17.12.2005 00:25 546.000 FaxSetup.log
17.12.2005 00:25 217.076 tsoc.log
17.12.2005 00:25 112.808 ntdtcsetup.log
17.12.2005 00:25 331.271 ocgen.log
17.12.2005 00:25 24.172 updspapi.log
17.12.2005 00:25 1.393 imsins.BAK
17.12.2005 00:25 15.425 KB905915.log
16.12.2005 22:23 116 NeroDigital.ini
08.12.2005 14:32 90.112 inst_tsp.exe
08.12.2005 14:14 41.984 killproc.exe
09.11.2005 23:18 11.852 KB896424.log
26.10.2005 00:27 11.037 KB896688.log
14.10.2005 15:40 19.467 KB901017.log
14.10.2005 15:40 21.844 KB902400.log
14.10.2005 15:40 14.110 KB905414.log
14.10.2005 15:40 13.832 KB900725.log
14.10.2005 15:39 11.232 KB904706.log
14.10.2005 15:39 11.833 KB905749.log

Verzeichnis von C:\

27.12.2005 20:57 0 sys.txt
27.12.2005 20:57 12.861 system.txt
27.12.2005 20:56 12.096 systemtemp.txt
27.12.2005 20:54 103.447 system32.txt
27.12.2005 20:03 535.285.760 hiberfil.sys
27.12.2005 20:03 805.306.368 pagefile.sys
27.12.2005 20:03 211 BOOT.INI
27.12.2005 20:02 5 AVPCallback.log
27.12.2005 19:43 1.916 smitfiles.txt
27.12.2005 18:19 0 23990098.$$$
27.12.2005 18:06 203 bootini.uns
02.10.2005 21:59 183 Verknpfung mit Beta (D).lnk

ewido:

--------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:41:45, 27.12.2005
+ Report-Checksumme: DF6B625C

+ Scanergebnis:

D:\Spiele\Everest Poker.exe -> Spyware.Casino : Ignoriert
C:\WINDOWS\system32\drivers\etc\hosts -> Trojan.Qhost.ex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@php.sales.tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Programme\Kazaa Lite\supertrick.txt -> Trojan.Qhost.ex : Gesäubert mit Backup
C:\Programme\SpyAxe\SpyAxe.exe -> Adware.Spyaxe : Gesäubert mit Backup
C:\quarantine\eicar[1].com.Vir.mwt -> Not-A-Virus.Eicar.TestFile : Gesäubert mit Backup


::Report Ende


silentrunners

Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""D:\Programme\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\Programme\Launch Manager\QtZgAcer.EXE" ["Dritek System Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"DataLayer" = "C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" ["Nokia Mobile Phones Ltd."]
"PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [empty string]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"StarUpdater" = (empty string)
"ShStatEXE" = ""C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE" ["Network Associates, Inc."]
"McAfeeUpdaterUI" = ""C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey" ["Network Associates, Inc."]
"Network Associates Error Reporting Service" = ""C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"" ["Network Associates, Inc."]
"SpyAxe" = "C:\Programme\SpyAxe\spyaxe.exe /h" ["SpyAxe.com"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\System32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]

Hab leider im Moment extreme Zeitnot. Deswegen kann ich nicht mehr all zu viel probieren. Hab wieder McAffee draufgezogen, aber das Symbol von Spyaxe bleibt. Geht davon akute Gefahr aus? Vielleicht hast du ja noch ne Idee anhand der Posts, die ich noch reingestellt hab...

Auf jeden Fall noch mal vielen Dank!

Alex

Antwort

Themen zu W32.Sinnaka.A@mm eingefangen! Was tun?
.dll, acer, adobe, antivirus, bho, computer, cyberlink, dateien, defender, error, excel, explorers, hijack, hijackthis, hotkey, internet, internet explorer, keine viren, launch, microsoft, notebook, pdf, scan, software, spyware, super, system, was tun, windows, windows xp




Ähnliche Themen: W32.Sinnaka.A@mm eingefangen! Was tun?


  1. W32.Sinnaka.A@mm
    Plagegeister aller Art und deren Bekämpfung - 14.04.2006 (26)
  2. W32.Sinnaka.A@mm
    Plagegeister aller Art und deren Bekämpfung - 15.03.2006 (1)
  3. W32.Sinnaka.A@mm - problem
    Log-Analyse und Auswertung - 21.02.2006 (5)
  4. W32.Sinnaka.A@mm
    Log-Analyse und Auswertung - 07.02.2006 (4)
  5. W32.Sinnaka.A@mm
    Plagegeister aller Art und deren Bekämpfung - 30.12.2005 (7)
  6. W32.Sinnaka.A@mm verseucht !!!
    Log-Analyse und Auswertung - 27.12.2005 (3)
  7. W32.Sinnaka.A@mm - Wie bekomme ich den weg ??
    Plagegeister aller Art und deren Bekämpfung - 08.12.2005 (1)
  8. w32.sinnaka.A@mm
    Plagegeister aller Art und deren Bekämpfung - 20.11.2005 (1)
  9. W32.Sinnaka.A@mm
    Plagegeister aller Art und deren Bekämpfung - 19.11.2005 (1)
  10. (W32.Sinnaka.A@mm) HILFE !!!
    Plagegeister aller Art und deren Bekämpfung - 17.11.2005 (3)
  11. W32.Sinnaka.A@mm
    Log-Analyse und Auswertung - 12.11.2005 (5)
  12. AW: W32.Sinnaka.A@mm, wie bekomm ich den los
    Mülltonne - 08.11.2005 (3)
  13. W32.Sinnaka Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 07.11.2005 (10)
  14. Hilfe --- W32.Sinnaka.A@mm
    Plagegeister aller Art und deren Bekämpfung - 24.10.2005 (8)
  15. W32.Sinnaka.A@mm
    Log-Analyse und Auswertung - 24.09.2005 (5)
  16. AW: W32.Sinnaka.A@mm, wie bekomm ich den los
    Plagegeister aller Art und deren Bekämpfung - 13.09.2005 (4)
  17. W32.Sinnaka.A@mm, wie bekomm ich den los?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2005 (13)

Zum Thema W32.Sinnaka.A@mm eingefangen! Was tun? - Hallo, auf der Startseite des Explorers erscheint die o.g. Virenmeldung. Hab mit Syptrooper hernuntergeladen, aber dann gelesen, dass das auch spyware ist und wieder deinstalliert. McAfee findet nichts weiter. Hab - W32.Sinnaka.A@mm eingefangen! Was tun?...
Archiv
Du betrachtest: W32.Sinnaka.A@mm eingefangen! Was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.