Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wäre sehr nett, wenn ein Profi mal drüberschaut...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.01.2006, 18:30   #1
woywob
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Hallo,

hab mir, so weit ich das beurteilen kann, leider einen trojaner eingefangen.
das war oberflächlich gesehen verbunden mit einer "fake" spyguard software und einer "super" neuen toolbar.
diese beiden schönen präsente habe ich jetzt wegbekommen, außerdem hab ich ewido, spybot und easycleaner drüber laufen lassen.
der cwshredder hat außerdem etwas von den allseits geliebten coolwebsearch festgestellt, findet jetzt aber nichts mehr.
leider bin ich aber nicht besonders fit, was spyware usw. betrifft, so dass ich mir nicht sicher bin ob das system jetzt wieder einigermaßen sauber ist.

deshalb hier das logfile von Hijackthis.

wäre super, wenn mir jemand weiterhelfen könnte und mir sagen könnte, was noch zu tun ist.

Vielen Dank schon mal!!!

woy


Logfile of HijackThis v1.99.1
Scan saved at 18:16:43, on 02.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Dell\Media Experience\PCMService.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cJPCSC.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Exe\hijack\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/countries/at/dea/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/countries/at/dea/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.euro.dell.com/countries/at/dea/gen/default.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [dmkpf.exe] C:\WINDOWS\system32\dmkpf.exe
O4 - HKLM\..\Run: [Serviceprocess] SetupExeDll.exe
O4 - HKLM\..\Run: [SYSTRAV] cnftips.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [driver32] NsCplTray.exe
O4 - HKCU\..\Run: [ExchangeMaster] NSYSCPLSTR.exe
O4 - HKCU\..\Run: [ParisM] CToolBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://w*w.ipix.com/viewers/ipixx.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14334419-E74A-4658-8EEF-6EFF4416C0B4}: NameServer = 85.255.116.165,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{14598D97-A216-4C80-8FE2-A7E80B202B35}: NameServer = 85.255.116.165,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E0C5F10-D14A-4EB1-8716-3D5FAF4EB89B}: NameServer = 85.255.116.165,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{D97C03BF-6909-4BD9-961F-D1FC54991C5F}: NameServer = 85.255.116.165 85.255.112.167
O17 - HKLM\System\CS1\Services\Tcpip\..\{14334419-E74A-4658-8EEF-6EFF4416C0B4}: NameServer = 85.255.116.165,85.255.112.167
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\system32\cJPCSC.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

Alt 02.01.2006, 19:15   #2
Haui45
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Hallo,

poste bitte ein Silent-Runners-Logfile und das Ergebnis eines Scans mit F-Secure Blacklight Beta (befindet sich im gleichen Ordner wie die EXE; -> fsbl*Zahlenfolge*.log). Dann sehen wir obe eine Bereinigung überhaupt noch sinnvoll ist.
__________________


Alt 02.01.2006, 19:35   #3
woywob
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Hallo,

danke für die antwort.

hier die beiden logfiles.

gesetzt den fall, eine reinigung lohnt sich nicht mehr, und ich muss das system neu aufsetzten:
was kann passieren wenn ich mit dem infizierten system noch ein, zwei wochen arbeite (nur simple anwendungen wie beispielsweise word, aber auch email und internet)? ist das ein problem bzw ein risiko für irgendjemand?

bin nämlich grad im prüfungsstress und hab eigentlich keine zeit und lust, jetzt alles neu zu machen.

viele grüße
woy




"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"driver32" = "NsCplTray.exe" [file not found]
"ExchangeMaster" = "NSYSCPLSTR.exe" [file not found]
"ParisM" = "CToolBar.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Apoint" = "C:\Programme\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."]
"IntelWireless" = "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless" ["Intel Corporation"]
"UpdateManager" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"]
"T-DSL SpeedMgr" = ""C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"" ["T-Systems Nova, Berkom"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"DataLayer" = "C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" ["Nokia Mobile Phones Ltd."]
"PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [empty string]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"PCMService" = ""C:\Programme\Dell\Media Experience\PCMService.exe"" ["CyberLink Corp."]
"DVDLauncher" = ""C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"" ["CyberLink Corp."]
"Dell QuickSet" = "C:\Programme\Dell\QuickSet\quickset.exe" [empty string]
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"dmkpf.exe" = "C:\WINDOWS\system32\dmkpf.exe" [file not found]
"Serviceprocess" = "SetupExeDll.exe" [file not found]
"SYSTRAV" = "cnftips.exe" [file not found]
"SpySweeper" = ""C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4A368E80-174F-4872-96B5-0B27DDD11DB2}\(Default) = "SpywareGuard Download Protection"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\dlprotect.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\Components\PhoneBrowserComponents\NokiaPhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\Components\PhoneBrowserComponents\ContactView.dll" ["Nokia"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
"{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\spywareguard.dll" [null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\spywareguard.dll" [null data]
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csjcc.exe" [file not found]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.exe" [file not found], [MS], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! IntelWireless\DLLName = "C:\Programme\Intel\Wireless\Bin\LgNotify.dll" ["Intel Corporation"]
INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoBandCustomize"=dword:00000001
[disables toolbar status changes in Internet Explorer|View|Toolbars]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\SCRNSAVE.SCR" [MS]


Startup items in "***" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Digital Line Detect" -> shortcut to: "C:\Programme\Digital Line Detect\DLG.exe" ["BVRP Software"]
"LRZ VPN Client" -> shortcut to: "C:\Programme\LRZ VPN Client\vpngui.exe "-user_logon"" ["Cisco Systems, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"ISP-Anmeldungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\OOBEBALN.EXE /sys /i /n:1" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Cisco Systems, Inc. VPN Service, CVPND, ""c:\Programme\LRZ VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
cyberJack PC/SC Service, cjPCSC, "C:\WINDOWS\system32\cJPCSC.exe" ["REINER SCT"]
EvtEng, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
RegSrvc, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]
Spectrum24 Event Monitor, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]
TSMService, TSMService, ""C:\Programme\T-DSL SpeedManager\tsmsvc.exe"" ["T-Systems Nova, Berkom"]
Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WLANKEEPER, WLANKEEPER, "C:\Programme\Intel\Wireless\Bin\WLKeeper.exe" ["Intel® Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt08\Driver = "hpzlnt08.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
Redirected Port\Driver = "redmonnt.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 61 seconds, including 20 seconds for message boxes)


----


01/02/06 19:24:14 [Info]: BlackLight Engine 1.0.30 initialized
01/02/06 19:24:14 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/02/06 19:24:14 [Note]: 7019 4
01/02/06 19:24:14 [Note]: 7005 0
01/02/06 19:24:18 [Error]: 6024 4
01/02/06 19:24:18 [Error]: 6024 4
01/02/06 19:24:18 [Error]: 6024 4
01/02/06 19:24:18 [Error]: 6024 4
01/02/06 19:24:18 [Note]: 7006 0
01/02/06 19:24:18 [Note]: 7011 1340
01/02/06 19:24:19 [Error]: 6024 4
01/02/06 19:24:19 [Error]: 6024 4
01/02/06 19:24:19 [Error]: 6024 4
01/02/06 19:24:19 [Error]: 6024 4
01/02/06 19:24:19 [Note]: 7018 2340
01/02/06 19:24:19 [Error]: 6024 4
01/02/06 19:24:19 [Note]: 7018 2752
01/02/06 19:24:19 [Error]: 6024 4
01/02/06 19:24:19 [Note]: FSRAW library version 1.7.1014
01/02/06 19:26:02 [Error]: 6024 4
01/02/06 19:26:02 [Error]: 6024 4
01/02/06 19:26:02 [Error]: 6024 4
01/02/06 19:26:02 [Error]: 6024 4
01/02/06 19:26:02 [Note]: 7006 0
01/02/06 19:26:02 [Note]: 7011 1340
01/02/06 19:26:03 [Error]: 6024 4
01/02/06 19:26:03 [Error]: 6024 4
01/02/06 19:26:03 [Error]: 6024 4
01/02/06 19:26:03 [Error]: 6024 4
01/02/06 19:26:03 [Note]: 7018 2340
01/02/06 19:26:03 [Error]: 6024 4
01/02/06 19:26:03 [Note]: 7018 2752
01/02/06 19:26:03 [Error]: 6024 4
01/02/06 19:26:03 [Note]: FSRAW library version 1.7.1014
__________________

Alt 02.01.2006, 20:59   #4
Haui45
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Leider weiß ich nicht was der Fehler "6024 4" bei Blacklight bedeutet. Ich konnte auch nichts weiter darüber finden.
→ Überprüfe das System mit RootkitRevealer und poste das Ergebnis.

Zitat:
was kann passieren wenn ich mit dem infizierten system noch ein, zwei wochen arbeite (nur simple anwendungen wie beispielsweise word, aber auch email und internet)?
Dein PC kann vollkommen ausspioniert und/oder für illegale Aktivitäten missbraucht werden. Das kommt aber ganz auf die aktive Malware an.

Zitat:
ist das ein problem bzw ein risiko für irgendjemand?
Für dich & evtl. für andere Internetnutzer.

Alt 02.01.2006, 22:06   #5
woywob
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Hallo,

hier jetzt das rootkit scan-file.

Vielen Dank für die Hilfe.



HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 02.01.2006 21:25 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 02.01.2006 21:25 4 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\***\Cookies\***@forum[1].txt 02.01.2006 21:41 97 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***i\Cookies\***@informationsarchiv[1].txt 02.01.2006 21:43 185 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@www.informationsarchiv[1].txt 02.01.2006 21:43 126 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@www.tippscout[1].txt 02.01.2006 21:41 95 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\beitrag-1368[1].htm 02.01.2006 21:43 69.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CACTE5XA.php%3Ff%3D20&cc=100&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd=32&u_tz=60&u_his=2&u_java=true 02.01.2006 21:40 2.05 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CADBN97X.htm 02.01.2006 21:41 10.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CAS7EHAT.html&cc=713&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd=32&u_tz=60&u_java=true 02.01.2006 21:50 2.27 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CAVQU17F.php%3Ff%3D20&cc=100&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd=32&u_tz=60&u_his=2&u_java=true 02.01.2006 21:40 2.34 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CAZ5XFAE.htm 02.01.2006 21:41 5.46 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\hilfen-5-67338-0[1].htm 02.01.2006 21:49 55.05 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\hilfen-5-67338-0[1].html 02.01.2006 21:49 11.69 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_email[1].gif 02.01.2006 21:43 820 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_icq_add[1].gif 02.01.2006 21:43 724 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_mini_profile[1].gif 02.01.2006 21:43 236 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_mini_search[1].gif 02.01.2006 21:43 237 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_quote[1].gif 02.01.2006 21:43 794 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_smile[1].gif 02.01.2006 21:43 174 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\main[1].css 02.01.2006 21:43 4.70 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\online2[1].gif 02.01.2006 21:43 199 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\reply-locked[1].gif 02.01.2006 21:43 1.48 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\showthread[1].php 02.01.2006 21:40 19.02 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\48.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=749&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t 02.01.2006 21:41 1.54 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\a[1].js 02.01.2006 21:43 593 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\adjs[2].php 02.01.2006 21:49 55 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\banner018[1].jpg 02.01.2006 21:43 11.53 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\CACT6BSH.htm 02.01.2006 21:50 8.28 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\CAZD3FY8.htm 02.01.2006 21:49 5.35 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\cellpic1[1].gif 02.01.2006 21:43 246 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\DA.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=749&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t 02.01.2006 21:41 1.46 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\diropus8[1].jpg 02.01.2006 21:49 2.18 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\hilfen-5-67338-0[1].htm 02.01.2006 21:37 56.40 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_biggrin[1].gif 02.01.2006 21:43 172 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_mini_register[1].gif 02.01.2006 21:43 224 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_pm[1].gif 02.01.2006 21:43 833 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_www[1].gif 02.01.2006 21:43 733 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\logo1[1].gif 02.01.2006 21:41 4.43 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\logo[1].gif 02.01.2006 21:43 7.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\newsticker[1].htm 02.01.2006 21:43 1.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\read[1].php 02.01.2006 21:41 7.41 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\spielecodes_knacken[1].jpg 02.01.2006 21:50 4.49 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\tipps-windows-xp-neu-installieren[1].htm 02.01.2006 21:37 39.53 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\trans[1].gif 02.01.2006 21:41 42 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\3D.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=749&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t 02.01.2006 21:41 2.67 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\al[3].htm 02.01.2006 21:50 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\anzeige[1].jpg 02.01.2006 21:43 8.99 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\forumdisplay[1].htm 02.01.2006 21:40 58.38 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\forumdisplay[1].php 02.01.2006 21:49 13.74 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\forumdisplay[2].htm 02.01.2006 21:49 58.39 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\hig_1[1].js 02.01.2006 21:43 2.50 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\icon_mini_faq[1].gif 02.01.2006 21:43 219 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\icon_mini_login[1].gif 02.01.2006 21:43 233 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\icon_wink[1].gif 02.01.2006 21:43 170 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\online0[1].gif 02.01.2006 21:43 199 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\phorum[1].css 02.01.2006 21:41 1.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\post[1].gif 02.01.2006 21:43 1.59 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\search[1] 02.01.2006 21:38 4.56 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\search[5].htm 02.01.2006 21:38 17.52 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\search[6].htm 02.01.2006 21:43 17.38 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\spacer[2].gif 02.01.2006 21:43 43 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\style[2].css 02.01.2006 21:41 4.76 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\ticker[1].js 02.01.2006 21:43 2.31 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\tipps-windows-xp-neu-installieren[1].htm 02.01.2006 21:49 39.53 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\ZV.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=146&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t


Alt 02.01.2006, 22:50   #6
woywob
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Hi,

hier noch das Ergebnis von kaspersky. Vielleicht hilft es ja weiter.
Aber gut ausschauen tuts nicht...


KASPERSKY ON-LINE SCANNER REPORT
Monday, January 02, 2006 22:47:31
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 2/01/2006
Kaspersky Anti-Virus database records: 158475
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true


Scan Statistics:
Total number of scanned objects: 42249
Number of viruses found: 2
Number of infected objects: 4
Number of suspicious objects: 0
Duration of the scan process: 1576 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP271\A0026251.exe Infected: Trojan-Downloader.Win32.Agent.zz
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP271\A0027251.exe Infected: Trojan-Downloader.Win32.Agent.zz
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP272\A0028318.exe Infected: Trojan-Downloader.Win32.Agent.zz
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP272\A0028321.exe Infected: Backdoor.Win32.Agent.rw

Scan process completed.

Alt 02.01.2006, 23:04   #7
Haui45
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Die Malware auf deinem System (Wareout) ist ziemlich schwer zu entfernen. Du scheinst aber eine Variante ohne Rootkit erwischt zu haben.
Lade Fixwareout.exe herunter (Anwendung erfolgt auf eigene Gefahr!)-> Doppelklick auf Fixwareout.exe-> Next-> Install-> Der Haken bei "Run Fixit" muss gesetzt sein-> Finish-> Nachfrage nach einem Neustart mit "OK" beantworten-> Das System sollte neu starten
Nach dem Neustart (der etwas länger als sonst dauern kann) solltest du den Anweisungen auf dem Bildschirm folgen (du musst eigentlich nur auf OK klicken )
Irgendwann sollte sich HijackThis öffnen (falls nicht, öffne es bitte ganz normal und wähle "Do a system scan only" aus). Fixe dann folgendes:
Zitat:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [dmkpf.exe] C:\WINDOWS\system32\dmkpf.exe
O4 - HKLM\..\Run: [Serviceprocess] SetupExeDll.exe
O4 - HKLM\..\Run: [SYSTRAV] cnftips.exe
O4 - HKCU\..\Run: [driver32] NsCplTray.exe
O4 - HKCU\..\Run: [ExchangeMaster] NSYSCPLSTR.exe
O4 - HKCU\..\Run: [ParisM] CToolBar.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{14334419-E74A-4658-8EEF-6EFF4416C0B4}: NameServer = 85.255.116.165,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{14598D97-A216-4C80-8FE2-A7E80B202B35}: NameServer = 85.255.116.165,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E0C5F10-D14A-4EB1-8716-3D5FAF4EB89B}: NameServer = 85.255.116.165,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{D97C03BF-6909-4BD9-961F-D1FC54991C5F}: NameServer = 85.255.116.165 85.255.112.167
O17 - HKLM\System\CS1\Services\Tcpip\..\{14334419-E74A-4658-8EEF-6EFF4416C0B4}: NameServer = 85.255.116.165,85.255.112.167
Speichere zunächst kein neues Logfile!
Original-Quelle. http://forums.spywareinfo.com/index....305&hl=wareout

Lösche die Temp-Files von Windows und vom Internet Explorer mit ClearProg.

Start-> Ausführen-> "regedit"-> [Eingabetaste]-> Navigiere zu:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\-> Rectsklick auf den Eintrag ""System" = "csjcc.exe"" -> Löschen

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\-> Rechtsklick auf "NoBandCustomize" -> Wert auf 0 setzen

HKLM\System\CurrentControlSet\Control\Session Manager\
Was findest du dort? evtl. einfach mal den ganzen Unterschlüssel exportieren & posten.

Aktualisiere ewido & scanne das ganze System im abgesicherten Modus. Speichere den Report.

Erstelle und poste ein neues HijackThis-Log & ein neues Silent Runners-Log.
Außerdem:
- die ewido-Ergebnisse
- ein WinPFind-Log
- Dein Bericht über den Registry-Eintrag.

EDIT:
Zitat:
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP272\A0028321.exe Infected: Backdoor.Win32.Agent.rw
Das wäre für mich ein Grund das System komplett plattzumachen!

Das empfehle ich dir ebenfalls - zwingen kann ich dich nicht.

Alt 04.01.2006, 22:02   #8
woywob
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Hi,


erstmal Danke für die Hilfe.

Ich bin jetzt aber dem ultimativen Tip gefolgt, und hab das ganze komplett platt- und anschließend neu gemacht.

Jetzt hab ich nur noch eine wahrscheinlich hoffnungslos naive "Amateur"-Frage, aber sie scheint es mir dennoch wert, gestellt zu werden:

Ich hab meine wichtigen Daten (haupsächliche .doc usw.) alle auf CD gebrannt. Können die in irgendeiner Weise von diesem bösartigen Mistvieh, das ich mir eingefangen hatte, kompromittiert sein? Ist es also ein Risiko, die einfach wieder in die eigenen Dateien reinzupacken?

Danke!

Alt 05.01.2006, 00:53   #9
Haui45
 
Wäre sehr nett, wenn ein Profi mal drüberschaut... - Standard

Wäre sehr nett, wenn ein Profi mal drüberschaut...



Zitat:
Zitat von woywob
Ich hab meine wichtigen Daten (haupsächliche .doc usw.) alle auf CD gebrannt. Können die in irgendeiner Weise von diesem bösartigen Mistvieh, das ich mir eingefangen hatte, kompromittiert sein?
Ein gewisses Restrisiko besteht eigentlich immer, aber bei doc-Files sehe ich keine allzu großen Probleme. Es gibt zwar sog. Makroviren, aber es ist äußerst unwahrscheinlich, dass deine Dokument von solchen Schädlingen befallen wurden. Du kannst bzw. solltest die Dateien vor dem Zurückspielen mit einem aktuellen AV scannen. Bei ausführbare Dateien (.exe, .com, etc.) schaut die Sache schon anders aus. Diese würde ich nicht in das neue System übernehmen.

Antwort

Themen zu Wäre sehr nett, wenn ein Profi mal drüberschaut...
adobe, antivir, askbar, avg, bho, cyberlink, dateien, defender, download, drivers, einstellungen, explorer, fake, hijack, internet, internet explorer, logfile, microsoft, monitor, nicht sicher, programme, security, security suite, software, spyware, super, system, trojaner, windows, windows xp




Ähnliche Themen: Wäre sehr nett, wenn ein Profi mal drüberschaut...


  1. Ein Unterforum mit dem Namen SPIELEFORUM wäre nett.
    Lob, Kritik und Wünsche - 15.06.2012 (13)
  2. Hijack Log Analyse wäre nett
    Alles rund um Windows - 22.10.2011 (1)
  3. Logfile Auswertung wäre nett
    Log-Analyse und Auswertung - 06.11.2010 (1)
  4. hey, hilfe wäre nett, trojane legen laptop lahm, brauche ihn für die uni, danke!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 22.05.2010 (15)
  5. Läuft alles ziemlich langsam wäre nett, wenn ihr mal drüberschauen könntet!
    Log-Analyse und Auswertung - 04.06.2009 (0)
  6. Wäre nett wenn jemadn mal meinen Log-File überprüfen würde
    Mülltonne - 13.01.2008 (0)
  7. wäre nett wenn mal jemand reinsieht THX!
    Log-Analyse und Auswertung - 21.03.2007 (2)
  8. wäre nett wenn ihr euch mal meinen log anschaut
    Mülltonne - 27.10.2006 (1)
  9. kleine hilfe wäre nett :)
    Log-Analyse und Auswertung - 06.07.2006 (1)
  10. Hallo! Wäre jemand so nett und würde mir das auswerten?
    Log-Analyse und Auswertung - 07.06.2006 (9)
  11. Wäre nett, wenn sich das mal einer anschauen könnte :D
    Log-Analyse und Auswertung - 11.04.2006 (2)
  12. Hilfe wäre nett
    Log-Analyse und Auswertung - 15.12.2005 (3)
  13. Wäre jemand so nett und schaut mal drüber
    Log-Analyse und Auswertung - 23.09.2005 (1)
  14. logfile ansehen, wäre nett
    Log-Analyse und Auswertung - 12.01.2005 (7)
  15. wäre jemand so nett? log..
    Log-Analyse und Auswertung - 14.12.2004 (7)
  16. Wär nett wenn ihr das mal durchschaun könntet
    Log-Analyse und Auswertung - 30.09.2004 (1)
  17. Escan + hijack logfile, wäre nett wenn sich das mal jemand anschaut
    Log-Analyse und Auswertung - 05.09.2004 (2)

Zum Thema Wäre sehr nett, wenn ein Profi mal drüberschaut... - Hallo, hab mir, so weit ich das beurteilen kann, leider einen trojaner eingefangen. das war oberflächlich gesehen verbunden mit einer "fake" spyguard software und einer "super" neuen toolbar. diese beiden - Wäre sehr nett, wenn ein Profi mal drüberschaut......
Archiv
Du betrachtest: Wäre sehr nett, wenn ein Profi mal drüberschaut... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.