| |
| |||||||
Log-Analyse und Auswertung: W32.Sinnaka.A@mm eingefangen! Was tun?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
27.12.2005, 11:35
| #1 |
| |  W32.Sinnaka.A@mm eingefangen! Was tun? Hallo, auf der Startseite des Explorers erscheint die o.g. Virenmeldung. Hab mit Syptrooper hernuntergeladen, aber dann gelesen, dass das auch spyware ist und wieder deinstalliert. McAfee findet nichts weiter. Hab in einem anderen Gespräch gelesen, dass man online die Dateien mssearchnet.exe und nvctrl.exe scannen soll. Hier die Ergebnisse: Datei: mssearchnet.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPACK AntiVir Keine Viren gefunden ArcaVir Win32 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 probably a variant of Win32/TrojanDownloader.Zlob.AP gefunden (mögliche Variante) Norman Virus Control W32/Zlob.EH gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Datei: nvctrl.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPACK AntiVir Keine Viren gefunden ArcaVir Win32 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 a variant of Win32/StartPage.ADH gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Außerdem hab ich mit Hijack runtergeladen, der sagt Folgendes: Logfile of HijackThis v1.99.1 Scan saved at 11:18:33, on 27.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mssearchnet.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE D:\Programme\Phone\Skype.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Microsoft Office\Office10\msoffice.exe C:\Programme\Internet Explorer\iexplore.exe D:\HJT\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpA3A2.tmp O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 \Acrobat\AcroIEFavClient.dll (file missing) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06 \bin\ssv.dll (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe Wäre super, wenn mir jemand weiterhelfen kann! Danke Alex |
|
27.12.2005, 12:29
| #2 | |
  | W32.Sinnaka.A@mm eingefangen! Was tun? Hallo,
__________________führe bitte das aus, was hier beschrieben ist und poste alle geforderten Logs (eScan, HjT, smitrem). Fixe diesen Eintrag zusätzlich mit HijackThis: Zitat:
|
|
27.12.2005, 14:26
| #3 |
| |  W32.Sinnaka.A@mm eingefangen! Was tun? Hallo, ich habe das gleiche Problem und werde diesen Trojaner einfach nicht los.
__________________ Ich bin jetzt leider mit meinem Latein am Ende. Habe aber die Hoffung an dieses Forum noch nicht aufgegeben. Füge anbei mal mein Log an vielleicht habe ich Glück und werde von der Neuinstallation bewart.Logfile of HijackThis v1.99.1 Scan saved at 14:05:03, on 27.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe C:\Programme\Kaspersky Lab\NetworkAgent\klnagent.exe C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Liveupdate\LiveUpdateInstaller.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\ShutDownKoenig\sdk.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WinTV\Ir.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://germany.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp66ED.tmp O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun O4 - HKCU\..\Run: [SDK] C:\Programme\ShutDownKoenig\sdk.exe O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = **.local O17 - HKLM\Software\..\Telephony: DomainName = **.local O17 - HKLM\System\CCS\Services\Tcpip\..\{A3EC7FDB-6DB6-4E2D-A770-4B8E66B48C7E}: NameServer = 192.168.0.100,194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = **.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = **.local O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe O23 - Service: APC PBE Server (APCPBEServer) - APC - C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 (file missing) O23 - Service: Administrationsagent (klnagent) - Kaspersky Lab - C:\Programme\Kaspersky Lab\NetworkAgent\klnagent.exe O23 - Service: LiveUpdateInstaller - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Liveupdate\LiveUpdateInstaller.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE Wäre echt dankbar wenn sich jemand meinem hoffentlich kleinem Problem anniemmt. Danke schon mal !!! cooldude !!!  |
|
27.12.2005, 14:30
| #4 |
| | W32.Sinnaka.A@mm eingefangen! Was tun? @cooldude Bitte eröffne ein  sonst wird es hier zu unübersichtlich. Danke! |
|
27.12.2005, 15:07
| #5 |
| | W32.Sinnaka.A@mm eingefangen! Was tun? Besten Dank für die schnelle Hilfe! Habe hoffentlich alles richtig gemacht... Hier die log files Logfile of HijackThis v1.99.1 Scan saved at 15:00:14, on 27.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Bases_X\TRAYSSER.EXE C:\Bases_X\avpm.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Bases_X\TRAYICOS.EXE C:\Bases_X\AVPMWrap.EXE C:\Bases_X\MAILDISP.EXE C:\WINDOWS\system32\ctfmon.exe D:\Programme\Phone\Skype.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Microsoft Office\Office10\msoffice.exe C:\Bases_X\MAILSCAN.EXE C:\BASES_X\SPOOLER.EXE C:\Bases_X\kavss.exe C:\Bases_X\AvpM.exe C:\Programme\Internet Explorer\iexplore.exe D:\HJT\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Bases_X\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\Bases_X\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\Bases_X\AVPMWrap.EXE O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\Bases_X\TRAYSSER.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Bases_X\avpm.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SpyAxeFix © by noahdfear spyaxe directory present spyaxe uninstaller present Starting spyaxe uninstaller REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F}"="Security Update" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ Online Security Guide.url Security Troubleshooting.url ~~~ Favorites ~~~ Antivirus Test Online.url ~~~ system32 folder ~~~ 1024 dir msvol.tlb ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe hp***.tmp ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 708 'explorer.exe' Killing PID 708 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ Online Security Guide.url ~~~ Favorites ~~~ ~~~ system32 folder ~~~ 1024 dir msvol.tlb ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe hp***.tmp ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ wininet.dll is missing!! Escan hab ich auch durchgeführt, das log file hat allerdings 6 MB, gibts da ne abgespeckte variante? Der hat auf jeden Fall einiges gefunden und entfernt. Der Explorer funktioniert schon mal wieder, allerdings hab ich in der Statusleiste ständig eine Meldung, dass mein comp ifiziert ist, scheint von spyaxe zu sein. Bekomm ich das auch wieder weg? Vielen Dank schon mal bishier hin!!! Alex |
|
27.12.2005, 16:42
| #6 |
| | W32.Sinnaka.A@mm eingefangen! Was tun? Hallo, hab die mwav-datei ausfindig gemacht, vielleicht hilft die weiter?! [General] EngineType=1 [Welchia] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","","" DeleteFile1=%winsysdir%\wins\svchost.exe DeleteFile2=%winsysdir%\wins\Dllhost.exe [LovGate] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","","" Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","","" Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","","" DeleteFile1=%winsysdir%\NetServices.exe DeleteFile2=%winsysdir%\RAVMOND.EXE DeleteFile3=%winsysdir%\RAVMOND.EXE DeleteFile4=%winsysdir%\WinGate.exe DeleteFile5=%winsysdir%\WinDriver.exe DeleteFile6=%winsysdir%\WinHelp.exe DeleteFile7=%winsysdir%\winrpc.exe DeleteFile8=%winsysdir%\ily.dll DeleteFile9=%winsysdir%\task.dll DeleteFile10=%winsysdir%\reg.dll DeleteFile11=%winsysdir%\1.dll DeleteFile12=%winsysdir%\win32vxd.dll DeleteFile13=%winsysdir%\kernel66.dll DeleteFile14=%winsysdir%\kernel66.dll DeleteFile15=%winsysdir%\iky668.dll DeleteFile16=%winsysdir%\reg678.dll DeleteFile17=%winsysdir%\task688.dll DeleteFile18=%winsysdir%\111.dll [CodeRed] DeleteFile1=%inetpub%\scripts\root.exe DeleteFile2=%PF%\common~1\system\MSADC\root.exe DeleteFile3=%SYSTEMDIR%explorer.exe Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D [OpaServ] DeleteFile1=%SYSTEMDIR%\Tmp.ini ; this is Opaserv.M DeleteFile2=%SYSTEMDIR%\MSLICENF.COM DeleteFile3=%SYSTEMDIR%\BOOT.EXE BAT1=Autoexec.bat,MSLICENF BAT2=Autoexec.bat,BOOT.EXE [Sobig.e] DeleteFile1=%winsysdir%\cgtask.exe DeleteFile2=%winsysdir%\mmtask.exe [Winupie] DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll [Swen] DeleteFile1=%winsysdir%\SWEN*.DAT [JS.Fortnight] DeleteFile1=%PF%\sign.htm DeleteFile2=%PF%\sign.html [Novarg] DeleteFile1=%winsysdir%\shimgapi.dll [Pagabot] Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"","" [Parite.b] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"","" [Parite.a] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"","" [Adware.SeekSeek] Reg1=HKEY_CURRENT_USER\Console,UUID,"","" Reg2=HKEY_CURRENT_USER\Console,lp,"","" |
|
27.12.2005, 17:41
| #7 | |
| | W32.Sinnaka.A@mm eingefangen! Was tun? Eigentlich hätte die smitrem.exe die Spyaxe-Infektion entfernen sollen... Lade und aktualisiere eine Testversion von ewido und überprüfe das System im abgesicherten Modus. Speichere den Report! Poste ein Silent-Runners-Logfile Lade dir die Datei datFind.bat herunter und poste die 4 Logs Zitat:
btw: Kann es sein, dass du eine Testversion von eScan und nicht das MicroWorld AntiVirus Toolkit Utility (MWAV) heruntergeladen hast? Wenn ja, wir deine Logdatei wahrscheinlich hier zu finden sein "C:\Bases_x\Log\Mwav.log" Kopiere sie bitte direkt in den Ordner C:\Bases_x\ und führe die Find.bat erst dann aus. Poste die Ergebnisse von eScan, ewido, Silent Runners, sowie die 4 Log der datfind.bat (der letzte Monat sollte genügen). |
|
27.12.2005, 21:05
| #8 |
| | W32.Sinnaka.A@mm eingefangen! Was tun? Hallo nochmal, mit eScan hab ich Probleme. Hatte tatsächliche ie falsche version runtergeladen, dann noch mal mit MWAV probiert, das hat aber nicht mit dem Entpacken geklappt (es erscheint keine entsprechende Option). Die anderen Protokolle sind die Folgenden: datfind: Verzeichnis von C:\WINDOWS\system32 27.12.2005 13:14 102.400 wbeconm.dll 27.12.2005 12:43 4.286 ot.ico 27.12.2005 10:16 6.144 msvol.tlb 27.12.2005 10:16 9.985 hpA3A2.tmp 27.12.2005 09:33 15.520 nvctrl.exe 26.12.2005 09:19 6.948 jupdate-1.5.0_06-b05.log 12.12.2005 21:10 909.312 contfilt.dll 09.12.2005 01:21 2.723.680 MRT.exe 08.12.2005 17:23 110.592 mwnsp.dll 08.12.2005 17:18 331.776 mwtsp.dll 04.12.2005 09:59 1.158 wpa.dbl 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 18:51 270.192 FNTCACHE.DAT 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 55.808 extmgr.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 251.392 iepeers.dll 20.10.2005 23:25 1.094.144 esent.dll 15.10.2005 18:11 313.280 perfh009.dat 15.10.2005 18:11 40.998 perfc009.dat 15.10.2005 18:11 318.680 perfh007.dat 15.10.2005 18:11 49.424 perfc007.dat 15.10.2005 18:11 727.458 PerfStringBackup.INI 13.10.2005 00:11 15.584 spmsg.dll 09.10.2005 18:53 125.440 UNZDLL.DLL 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 02:37 401.408 StarSaver.scr Verzeichnis von C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp 27.12.2005 20:46 2.600.393 sa160.exe 27.12.2005 20:45 0 sa160.tmp 27.12.2005 20:27 23.638 ProF.tmp 27.12.2005 20:14 206 jusched.log 27.12.2005 20:05 0 sa10.tmp 27.12.2005 20:04 16.384 ~DF3BF4.tmp 27.12.2005 20:04 0 sa1.tmp 27.12.2005 20:02 2.254.916 MWAV.LOG 27.12.2005 20:02 870 mwXface.log 27.12.2005 19:49 241.664 MYDB.DLL 27.12.2005 19:44 0 saE.tmp 27.12.2005 19:44 0 saD.tmp 26.12.2005 17:43 377.408 mwavscan.com 26.12.2005 17:12 1.569 avp.set 26.12.2005 17:12 11.410 avp.klb 26.12.2005 17:12 24.109 daily.avc 26.12.2005 17:12 49.935 base083.avc 26.12.2005 17:12 34.718 base084.avc 26.12.2005 17:12 21.616 fa.avc 26.12.2005 17:12 47.121 ext005.avc 26.12.2005 17:12 69.117 ca.avc 26.12.2005 17:12 1.238 daily-ex.avc 26.12.2005 17:12 139.752 unp026.avc 26.12.2005 17:12 27.111 unp004.avc 26.12.2005 17:12 48.048 ext002.avc 26.12.2005 15:26 131.422 Spyware.sdb 26.12.2005 15:26 1.632.257 File1.sdb 26.12.2005 15:26 387.796 Dir.sdb 26.12.2005 15:26 579.964 Cid.sdb 26.12.2005 15:26 118.031 File2.sdb 26.12.2005 15:26 146.525 spydb.old 26.12.2005 15:26 146.525 spydb.avs 26.12.2005 14:57 98.304 MWAVL.exe 23.12.2005 18:21 71.758 unp002.avc 23.12.2005 17:55 7.811 Chinese.con 23.12.2005 17:55 36.112 Chinese.Age 23.12.2005 17:55 45.078 Finnish.Age 23.12.2005 17:55 10.520 Finnish.con 23.12.2005 17:55 11.690 Polish.con 23.12.2005 17:55 48.144 Polish.Age 23.12.2005 17:55 47.920 French.Age 23.12.2005 17:55 11.423 French.con 23.12.2005 17:55 48.423 Spanish.Age 23.12.2005 17:55 10.827 Spanish.con 23.12.2005 17:55 10.845 Spanishl.con 23.12.2005 17:55 48.162 Spanishl.Age 23.12.2005 17:55 44.019 Romanian.Age 23.12.2005 17:55 10.489 Romanian.con 23.12.2005 17:55 11.302 Portuguese.con 23.12.2005 17:55 47.565 Portuguese.Age 23.12.2005 17:55 55.627 Italian.Age 23.12.2005 17:55 9.976 Italian.con 23.12.2005 17:55 58.136 German.Age 23.12.2005 17:55 13.792 German.con 23.12.2005 14:49 335.872 esupdate.exe 23.12.2005 14:30 122.880 msvlclnt.dll 23.12.2005 14:29 41.024 Getvlist.exe 23.12.2005 14:26 10.126 config.lan 23.12.2005 14:26 10.126 English.con 23.12.2005 11:51 340.480 MWAVReg.EXE 22.12.2005 13:20 218.098 troj033.avc 22.12.2005 13:02 4.059 Chinese.dow 21.12.2005 21:37 70.910 unp016.avc 21.12.2005 21:37 93.982 troj031.avc 21.12.2005 06:05 120 0FD1A8EB.TMP 20.12.2005 18:02 78.450 virus011.avc 20.12.2005 18:02 9.758 unp000.avc 20.12.2005 18:02 107.751 troj034.avc 20.12.2005 18:02 83.998 krnunp.avc 20.12.2005 18:02 49.927 base082.avc 19.12.2005 14:37 491.008 Download.exe 19.12.2005 10:45 5.907 Polish.dow 18.12.2005 06:01 363.520 viewtcp.exe 18.12.2005 05:54 1.694 English.tcp 18.12.2005 05:54 1.694 ViewTcp.lan 17.12.2005 13:55 99.916 troj009.avc 15.12.2005 18:51 42.372 language.ini 15.12.2005 18:51 42.372 English.Age 14.12.2005 13:41 5.753 Spanishl.dow 12.12.2005 15:41 48.372 base006.avc 12.12.2005 15:41 63.298 base007.avc 09.12.2005 13:42 80.084 unp019.avc 08.12.2005 16:47 49.098 ext001.avc 08.12.2005 16:47 48.070 ext003.avc 08.12.2005 16:47 48.062 ext004.avc 07.12.2005 18:23 50.388 troj016.avc 07.12.2005 16:39 51.435 troj025.avc 07.12.2005 16:39 29.619 gen004.avc 07.12.2005 16:39 61.107 unp014.avc 06.12.2005 16:10 5.523 German.dow 06.12.2005 14:30 36.526 virus020.avc 06.12.2005 14:30 32.826 krnexe.avc 05.12.2005 11:35 52.896 base081.avc 05.12.2005 11:35 100.027 troj007.avc 04.12.2005 14:53 1.737 German.tcp 02.12.2005 10:59 83.879 virus016.avc 02.12.2005 10:59 48.179 malw004.avc 01.12.2005 18:18 5.306 Finnish.dow 01.12.2005 18:18 5.768 French.dow 01.12.2005 18:18 5.766 Spanish.dow 01.12.2005 18:18 5.371 Romanian.dow 01.12.2005 18:18 5.710 Portuguese.dow 01.12.2005 18:18 5.393 Italian.dow 01.12.2005 15:31 5.108 English.dow 01.12.2005 15:31 5.108 Download.lan 01.12.2005 14:45 1.841 Polish.tcp 29.11.2005 10:37 49.343 worm005.avc 25.11.2005 17:29 1.718 Spanishl.tcp 25.11.2005 17:29 1.718 Spanish.tcp 25.11.2005 17:25 1.895 Portuguese.tcp 25.11.2005 17:24 1.718 Italian.tcp 25.11.2005 17:23 1.886 French.tcp 25.11.2005 17:19 1.750 Finnish.tcp 23.11.2005 22:25 188.662 unp025.avc 23.11.2005 22:25 37.093 unp012.avc 18.11.2005 19:32 14.008 kernel.avc 18.11.2005 19:32 101.737 troj005.avc 18.11.2005 19:32 28.752 krnengn.avc 18.11.2005 19:32 29.097 unp021.avc 18.11.2005 19:32 44.623 unp018.avc 18.11.2005 19:32 50.729 krnexe32.avc 18.11.2005 12:01 7.187 Polish.lic 17.11.2005 13:10 62.198 unp015.avc 17.11.2005 13:10 92.411 krnmacro.avc 15.11.2005 11:54 14.227 mail.avc 15.11.2005 11:54 6.101 smart.avc 10.11.2005 15:11 81.196 unp007.avc 10.11.2005 15:11 34.528 unp024.avc 10.11.2005 15:11 56.430 unp006.avc 07.11.2005 16:36 73.725 virus003.avc 07.11.2005 16:36 109.301 troj003.avc 02.11.2005 13:21 113.508 krn001.avc 02.11.2005 13:21 54.697 malw002.avc 02.11.2005 13:21 56.623 troj022.avc 02.11.2005 13:21 48.314 malw003.avc 26.10.2005 11:22 77.389 virus012.avc Verzeichnis von C:\WINDOWS 27.12.2005 20:23 512 randseed.rnd 27.12.2005 20:21 394.124 setupapi.log 27.12.2005 20:04 159 wiadebug.log 27.12.2005 20:04 0 0.log 27.12.2005 20:03 2.048 bootstat.dat 27.12.2005 20:03 1.084.291 WindowsUpdate.log 27.12.2005 20:03 227 system.ini 27.12.2005 20:03 943 win.ini 27.12.2005 19:49 0 Lic.xxx 27.12.2005 19:44 221.749 setupact.log 27.12.2005 18:38 50 wiaservc.log 27.12.2005 18:38 32.604 SchedLgU.Txt 27.12.2005 18:31 236 CPERROR.LOG 27.12.2005 18:20 28.570 ESCAN.LOG 27.12.2005 18:20 4.684 mailremv.log 27.12.2005 18:20 434 INST_TSP.LOG 27.12.2005 18:06 1.005 frights.log 27.12.2005 13:49 4.383.256 REGBK00.ZIP 27.12.2005 13:08 589 MAILINST.LOG 27.12.2005 13:06 123.822 winsbak2.reg 27.12.2005 13:06 17.596 winsbak.reg 23.12.2005 09:39 54.156 QTFont.qfn 22.12.2005 23:56 1.409 QTFont.for 22.12.2005 12:17 191.868 wmsetup.log 18.12.2005 18:30 1.540 mue01.ini 17.12.2005 00:25 9.372 KB910437.log 17.12.2005 00:25 176.092 comsetup.log 17.12.2005 00:25 74.996 iis6.log 17.12.2005 00:25 1.393 imsins.log 17.12.2005 00:25 27.533 msgsocm.log 17.12.2005 00:25 27.967 ocmsn.log 17.12.2005 00:25 546.000 FaxSetup.log 17.12.2005 00:25 217.076 tsoc.log 17.12.2005 00:25 112.808 ntdtcsetup.log 17.12.2005 00:25 331.271 ocgen.log 17.12.2005 00:25 24.172 updspapi.log 17.12.2005 00:25 1.393 imsins.BAK 17.12.2005 00:25 15.425 KB905915.log 16.12.2005 22:23 116 NeroDigital.ini 08.12.2005 14:32 90.112 inst_tsp.exe 08.12.2005 14:14 41.984 killproc.exe 09.11.2005 23:18 11.852 KB896424.log 26.10.2005 00:27 11.037 KB896688.log 14.10.2005 15:40 19.467 KB901017.log 14.10.2005 15:40 21.844 KB902400.log 14.10.2005 15:40 14.110 KB905414.log 14.10.2005 15:40 13.832 KB900725.log 14.10.2005 15:39 11.232 KB904706.log 14.10.2005 15:39 11.833 KB905749.log Verzeichnis von C:\ 27.12.2005 20:57 0 sys.txt 27.12.2005 20:57 12.861 system.txt 27.12.2005 20:56 12.096 systemtemp.txt 27.12.2005 20:54 103.447 system32.txt 27.12.2005 20:03 535.285.760 hiberfil.sys 27.12.2005 20:03 805.306.368 pagefile.sys 27.12.2005 20:03 211 BOOT.INI 27.12.2005 20:02 5 AVPCallback.log 27.12.2005 19:43 1.916 smitfiles.txt 27.12.2005 18:19 0 23990098.$$$ 27.12.2005 18:06 203 bootini.uns 02.10.2005 21:59 183 Verknpfung mit Beta (D).lnk ewido: -------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 19:41:45, 27.12.2005 + Report-Checksumme: DF6B625C + Scanergebnis: D:\Spiele\Everest Poker.exe -> Spyware.Casino : Ignoriert C:\WINDOWS\system32\drivers\etc\hosts -> Trojan.Qhost.ex : Gesäubert mit Backup C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@php.sales.tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Alexander Bauer\Cookies\alexander bauer@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Programme\Kazaa Lite\supertrick.txt -> Trojan.Qhost.ex : Gesäubert mit Backup C:\Programme\SpyAxe\SpyAxe.exe -> Adware.Spyaxe : Gesäubert mit Backup C:\quarantine\eicar[1].com.Vir.mwt -> Not-A-Virus.Eicar.TestFile : Gesäubert mit Backup ::Report Ende silentrunners Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Skype" = ""D:\Programme\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "LaunchApp" = "Alaunch" ["Acer Inc."] "SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] "RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."] "IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS] "MSPY2002" = "C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data] "PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS] "PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS] "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "LManager" = "C:\Programme\Launch Manager\QtZgAcer.EXE" ["Dritek System Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "DataLayer" = "C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" ["Nokia Mobile Phones Ltd."] "PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [empty string] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "StarUpdater" = (empty string) "ShStatEXE" = ""C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE" ["Network Associates, Inc."] "McAfeeUpdaterUI" = ""C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey" ["Network Associates, Inc."] "Network Associates Error Reporting Service" = ""C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"" ["Network Associates, Inc."] "SpyAxe" = "C:\Programme\SpyAxe\spyaxe.exe /h" ["SpyAxe.com"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax" \StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS] {94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider" \StubPath = "rundll32.exe C:\WINDOWS\System32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS] Hab leider im Moment extreme Zeitnot. Deswegen kann ich nicht mehr all zu viel probieren. Hab wieder McAffee draufgezogen, aber das Symbol von Spyaxe bleibt. Geht davon akute Gefahr aus? Vielleicht hast du ja noch ne Idee anhand der Posts, die ich noch reingestellt hab... Auf jeden Fall noch mal vielen Dank! Alex |
|
| Themen zu W32.Sinnaka.A@mm eingefangen! Was tun? |
| .dll, acer, adobe, antivirus, bho, computer, cyberlink, dateien, defender, error, excel, explorers, hijack, hijackthis, hotkey, internet, internet explorer, keine viren, launch, microsoft, notebook, pdf, scan, software, spyware, super, system, was tun, windows, windows xp |
Linear-Darstellung
