könnt ihr mal schauen, meine logfile?!

Anzku · 06.01.2006, 10:21

Logfile of HijackThis v1.99.1
Scan saved at 00:41:26, on 06.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Bases_X\TRAYSSER.EXE
C:\Bases_X\avpm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Bases_X\TRAYICOS.EXE
C:\Bases_X\AVPMWrap.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Bases_X\MAILDISP.EXE
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Bases_X\SPOOLER.EXE
C:\Bases_X\MAILSCAN.EXE
C:\Bases_X\kavss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Bases_X\AvpM.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.soneraplaza.fi/hoas/yhteys
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.soneraplaza.fi
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Sonera Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;;localhost;<local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Bases_X\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\Bases_X\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\Bases_X\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: LEO Englisch <-> Deutsch - C:\Programme\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO Französisch <-> Deutsch - C:\Programme\LEO-Ext-for-IE\DE_FR.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=h**p://www.soneraplaza.fi
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136413491896
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - h**p://static.zangocash.com/cab/Seekmo/ie/bridge-c266.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\Bases_X\TRAYSSER.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\Sonera Internet Tietoturva\fswsclds.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Bases_X\avpm.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--ESCAN ERGEBNIS--

Fr Jan 06 00:35:46 2006 => ***** Analyse vollständig. *****
Fr Jan 06 00:35:46 2006 =>
Fr Jan 06 00:35:46 2006 => Anzahl gescannter Dateien: 33734
Fr Jan 06 00:35:46 2006 => Anzahl infizierter Dateien: 0
Fr Jan 06 00:35:46 2006 => Anzahl desinfizierter Dateien: 0
Fr Jan 06 00:35:46 2006 => Anzahl der umbennanten Dateien: 0
Fr Jan 06 00:35:46 2006 => Anzahl der gelöschten Dateien: 0
Fr Jan 06 00:35:46 2006 => Anzahl Fehler: 0
Fr Jan 06 00:35:46 2006 => Dauer:: 00:40:40

SMITREM

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

Online Security Guide.url

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 648 'explorer.exe'
Killing PID 648 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

Online Security Guide.url

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

ICh weiss echt nicht mehr weiter, zuerst dachte ich, dieser komische Trojaner, der mir rechts unten immer abwechselnd das Windowns Update und dann nen roten Kreis mit weißem Kreuz zeigt, sei weg. Habe meines Wissens nach alle Anweisungen befolgt. Es dauerte auch ein wenig, bis er wieder kam. Dann hab ich nochmal alles von vorn gemacht, und da hat AdAware nichts mehr gefunden. Spybot hat zwar zwei Viren nochmal gefunden, die ich aber (hoffentlich) entfernt habe. Und eScan fand auch nichts mehr. Aber diese "System Instrusion Detected" Meldung kommt immer noch. Hat jemand nen Rat? Wäre sehr dankbar. Falls ich was falsch getan haben sollte, bitte sagen, dann mach ich's nochmal.

Gruß

cacatoa · 06.01.2006, 10:34

Hi,
gehe doch mal nach dieser Anleitung vor.

Und das folgende würde ich mit HJT fixen:
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - h**p://static.zangocash.com/cab/Seekmo/ie/bridge-c266.cab

Dann die Datei:
C:\Programme\RXToolBar\sfcont.dll
manuell löschen.

Wenn das keine Absicht ist:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.soneraplaza.fi/hoas/yhteys
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.soneraplaza.fi
dann auch fixen. Wenn es Deine gewünschte Startseite ist, natürlich nicht.

Außerdem ist Dein System nicht up to date!! SP 2 fehlt!!!
Melde dich wieder, wenn du alles erledigt hast.
cacatoa

edit:
Servus Wildone, oft genug bist du schneller *g*

Wildone · 06.01.2006, 10:34

Hallo,
führe mal folgendes durch und poste die vier Logs, aber nur Dateien der letzten drei Monate abkopieren!

außerdem kannst du mal folgendes mit HijackThis fixen (Haken davor und auf "fix checked):
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - h**p://static.zangocash.com/cab/Seekmo/ie/bridge-c266.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dl

Haben die Soneraplaza Einträge ihre Richtigkeit, kennst du die Seite?

Edit
Da war ich wohl zu langsam, morgen cacatoa

Grüße Wildone

Anzku · 06.01.2006, 10:39

ja, die soneraseiten sind richtig. wohne in finnland und das is mein anbieter

okay, dann werde ich mal probieren, das alles so zu machen und poste später wieder. vielen dank schon mal.

Anzku · 06.01.2006, 14:00

verflucht nochmal!!! jetz hatte ich fast alles eingegeben und irgendwie wurde es gelöscht. bald dreh ich durch!! also nochmal. hier die der log von dem pandascan, die anderen programme haben erst gar nichts gefunden:

Incident Status Location

Spyware:application/bestoffer Not disinfected C:\WINDOWS\smdat32m.sys
Potentially unwanted tool:application/need2find Not disinfected HKEY_CURRENT_USER\SOFTWARE\NEED2FIND
Spyware:spyware/rxtoolbar Not disinfected Windows Registry
Virus:Bck/Dumador.CU Disinfected C:\Dokumente und Einstellungen\admin\Anwendungsdaten\WinPatrol\HOSTS
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\admin\Desktop\smitRem\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\admin\Desktop\smitRem.exe[Process.exe]
Virus:Bck/Dumador.CU Disinfected C:\WINDOWS\system32\drivers\etc\hosts
Virus:Bck/Dumador.CU Disinfected C:\WINDOWS\system32\drivers\etc\HOSTS.bak

ich verstehe nur nicht, wie ich die registryeinträge und h_key_current_user wegkriege, da ich nicht weiß wo die sind?!?!?!

hier die vier logs von datfind.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80FB-315E

Verzeichnis von C:\WINDOWS\system32

06.01.2006 14:06 0 asfiles.txt
06.01.2006 13:58 2.550 Uninstall.ico
06.01.2006 13:58 1.406 Help.ico
06.01.2006 13:58 30.590 pavas.ico
06.01.2006 13:08 1.158 wpa.dbl
05.01.2006 23:29 380.684 perfh009.dat
05.01.2006 23:29 53.098 perfc009.dat
05.01.2006 23:29 391.574 perfh007.dat
05.01.2006 23:29 897.142 PerfStringBackup.INI
05.01.2006 23:29 63.976 perfc007.dat
05.01.2006 22:25 5.701 eInstall.dat
05.01.2006 14:41 102.400 netwrap.dll
05.01.2006 14:05 58 oeminfo.ini
05.01.2006 14:05 16.278 OEMLOGO.BMP
05.01.2006 12:17 146.808 FNTCACHE.DAT
05.01.2006 00:09 3.766 KGyGaAvL.sys
05.01.2006 00:09 56 40C2944ADB.sys
31.12.2005 11:55 25.941 NULL
31.12.2005 11:54 23.392 nscompat.tlb
31.12.2005 11:54 16.832 amcompat.tlb
19.12.2005 22:01 153 $winnt$.inf
08.12.2005 16:25 2.723.680 MRT.exe
22.11.2005 17:39 2.700.288 MSHTML.DLL
04.11.2005 16:27 534.280 LegitCheckControl.DLL
27.10.2005 21:07 229.888 srrstr.dll
21.10.2005 16:49 582.144 WININET.DLL
21.10.2005 16:49 496.640 MSTIME.DLL
21.10.2005 16:49 461.312 URLMON.DLL
21.10.2005 15:36 1.339.392 SHDOCVW.DLL
21.10.2005 12:49 192.512 DXTRANS.DLL
21.10.2005 00:33 1.003.008 esent.dll
20.10.2005 19:08 988.160 DANIM.DLL
13.10.2005 01:11 15.584 spmsg.dll
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 05:20 260.608 gdi32.dll
06.10.2005 05:14 1.799.680 win32k.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80FB-315E

Verzeichnis von C:\DOKUME~1\admin\LOKALE~1\Temp

06.01.2006 14:39 2.614.600 sa1.exe
03.01.2006 18:40 123 3FCA41B8.TMP
2 Datei(en) 2.614.723 Bytes
0 Verzeichnis(se), 15.196.966.912 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80FB-315E

Verzeichnis von C:\WINDOWS

06.01.2006 14:39 3.070 win.ini
06.01.2006 14:37 543.801 WindowsUpdate.log
06.01.2006 14:37 54.767 ESCAN.LOG
06.01.2006 14:37 1.797 frights.log
06.01.2006 14:37 0 0.log
06.01.2006 14:37 2.048 bootstat.dat
06.01.2006 14:36 1.187.420 ntbtlog.txt
06.01.2006 14:28 15.584 SchedLgU.Txt
06.01.2006 13:59 30.417 setupapi.log
06.01.2006 13:27 306 system.ini
06.01.2006 13:10 20.354 svcpack.log
06.01.2006 12:31 215.288 setupact.log
05.01.2006 23:51 3.752.650 REGBK00.ZIP
05.01.2006 23:29 1.945 iis6.log
05.01.2006 23:29 141.137 comsetup.log
05.01.2006 23:29 6.661 ntdtcsetup.log
05.01.2006 23:29 4.507 imsins.log
05.01.2006 23:29 162.027 tsoc.log
05.01.2006 23:29 234.260 ocgen.log
05.01.2006 23:29 16.126 ocmsn.log
05.01.2006 23:29 20.272 msgsocm.log
05.01.2006 23:29 390.890 FaxSetup.log
05.01.2006 22:56 361 MAILINST.LOG
05.01.2006 22:56 23.236 WSSPORD.DAT
05.01.2006 22:25 32 escan.dbf
05.01.2006 22:22 144 INST_TSP.LOG
05.01.2006 22:22 111.866 winsbak2.reg
05.01.2006 22:22 15.676 winsbak.reg
05.01.2006 22:21 97 FLASH.LOG
05.01.2006 16:47 4.507 imsins.BAK
05.01.2006 16:46 0 setuperr.log
05.01.2006 14:41 192 winamp.ini
05.01.2006 13:48 842 TrayServerData.ini
05.01.2006 12:55 494 fstnbins.LOG
05.01.2006 12:55 1.725 fsmaunin.log
05.01.2006 12:55 4.094 fsavunin.log
05.01.2006 12:55 255 fsgk32.log
05.01.2006 12:55 255 fssm32.log
05.01.2006 12:14 56.874 KB899587.log
05.01.2006 12:14 13.894 updspapi.log
05.01.2006 12:14 56.065 KB896422.log
05.01.2006 12:13 56.907 KB885835.log
05.01.2006 12:12 54.016 KB885836.log
05.01.2006 12:11 8.718 xpsp1hfm.log
05.01.2006 12:11 46.938 KB835732.log
05.01.2006 04:45 52.680 KB901017.log
05.01.2006 04:44 50.762 KB899591.log
05.01.2006 04:43 50.934 KB896424.log
05.01.2006 04:43 50.170 KB893756.log
05.01.2006 04:42 45.037 KB896423.log
05.01.2006 04:42 50.043 KB873339.log
05.01.2006 04:41 50.048 KB888113.log
05.01.2006 04:40 51.376 KB896358.log
05.01.2006 04:40 40.292 KB910437.log
05.01.2006 04:39 35.525 KB898458.log
05.01.2006 04:38 43.891 KB905495.log
05.01.2006 04:38 47.148 KB902400.log
05.01.2006 04:37 42.966 KB891781.log
05.01.2006 04:36 43.979 KB890046.log
05.01.2006 04:36 43.277 KB893066.log
05.01.2006 04:35 29.487 KB904706.log
05.01.2006 04:34 40.044 KB905414.log
05.01.2006 04:34 39.496 KB901214.log
05.01.2006 04:33 27.381 KB905915-IE6SP1-20051122.175908.log
05.01.2006 04:33 35.125 KB888302.log
05.01.2006 04:32 36.492 KB900725.log
05.01.2006 04:29 33.193 KB905749.log
05.01.2006 04:28 32.118 KB896428.log
05.01.2006 04:28 29.101 KB835409.log
05.01.2006 04:27 35.495 KB890859.log
05.01.2006 00:35 8.055 KB898461.log
05.01.2006 00:35 6.199 KB893803v2.log
05.01.2006 00:34 5.645 KB842773.log
04.01.2006 22:03 7.699 fsiuupd.log
04.01.2006 22:03 326 fsiuwscs.log
04.01.2006 16:47 9.354 Active Setup Log.txt
04.01.2006 16:44 529 IEPatchUninstall.log
04.01.2006 16:36 21.392 RunSetup.log
04.01.2006 16:36 334.815 FSSFM.log
04.01.2006 16:36 1.112.159 FSISU.log
04.01.2006 16:36 54.188 FSPROD.log
04.01.2006 16:36 94.871 FSSETUP.log
04.01.2006 16:36 2.746 FSSYSUPD.LOG
04.01.2006 01:58 50 wiaservc.log
04.01.2006 01:58 216 wiadebug.log
01.01.2006 14:17 3.184 regopt.log
01.01.2006 11:13 24 LogonStudio.ini
31.12.2005 15:02 3.066 dasetup.log
31.12.2005 15:02 253.952 Setup1.exe
31.12.2005 15:02 74.752 ST6UNST.EXE
31.12.2005 12:18 5.726 KB893803.log
31.12.2005 12:02 2.888 COM+.log
31.12.2005 11:54 499 wmsetup10.log
31.12.2005 11:54 316.640 WMSysPr9.prx
30.12.2005 23:54 2.685.897 amelie.exe
30.12.2005 23:54 40.960 amelie.dll
30.12.2005 23:54 184.516 amelie.scr
30.12.2005 23:54 18.192 amelie.dat
30.12.2005 19:46 1.670 Windows Update.log
30.12.2005 14:26 3.513.472 Harry Potter.exe
30.12.2005 14:26 259.904 Harry Potter.scr
30.12.2005 14:26 29.696 mickey32.dll
30.12.2005 14:26 1.026.502 Harry Potter Match.exe
30.12.2005 14:26 259.904 Harry Potter Match.scr
30.12.2005 13:36 403 ODBC.INI
30.12.2005 13:36 59 vbaddin.ini
30.12.2005 13:29 0 iPlayer.INI
19.12.2005 22:00 3.415 sessmgr.setup.log
19.12.2005 22:00 616 DtcInstall.log
26.05.2005 00:44 10.752 hh.exe
21.12.2004 15:35 30.720 killproc.exe
24.09.2004 15:59 25.088 inst_tsp.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80FB-315E

Verzeichnis von C:\

06.01.2006 14:59 0 sys.txt
06.01.2006 14:58 10.906 system.txt
06.01.2006 14:58 338 systemtemp.txt
06.01.2006 14:57 95.433 system32.txt
06.01.2006 14:37 535.810.048 hiberfil.sys
06.01.2006 14:37 805.306.368 pagefile.sys
06.01.2006 12:31 1.401 smitfiles.txt
06.01.2006 02:19 0 23990098.$$$
06.01.2006 02:19 6 AVPCallback.log
31.12.2005 14:54 162 TO_InstallLog.txt
31.12.2005 11:56 309 ToCaclLg.txt
30.12.2005 14:51 1.091 INSTALL.LOG
19.12.2005 22:01 194 boot.ini
10.11.2003 15:03 0 AUTOEXEC.BAT
10.11.2003 15:03 0 CONFIG.SYS
10.11.2003 15:03 0 IO.SYS
10.11.2003 15:03 0 MSDOS.SYS
14.10.2003 14:22 129 SWSTAMP.TXT
29.08.2002 22:00 235.296 ntldr
29.08.2002 22:00 47.580 NTDETECT.COM
29.08.2002 22:00 4.952 bootfont.bin
24.05.2001 13:59 162.304 UNWISE.EXE
22 Datei(en) 1.341.676.517 Bytes
0 Verzeichnis(se), 15.196.966.912 Bytes frei

also der trojaner oder was immer das ist, ist jedenfalls immer noch da und ich dreh bald durch. help!

cacatoa · 06.01.2006, 14:14

Hi,
mir schwant sehr böses. Dumador ist in der Lage Dateien zu modifizieren:

Zitat:

Bck/Dumador.CU modifies the host...

Ich bin dazu geneigt, dir zu empfehlen, Dein System neu aufzusetzen.
cacatoa

Wildone · 06.01.2006, 14:18

Hallo,
wenn das zutrifft stimme ich cacatoa zu, kannst du mal den Inhalt der Datei
C:\WINDOWS\system32\drivers\etc\hosts posten, falls sie zu lang ist hänge sie als hosts.txt deinem Posting an.

Grüße Wildone

Anzku · 06.01.2006, 14:25

hey,

so was hab ich gar nicht, in dem etc ordner gibt es nur "lmhosts.sam". habe auch schon gedacht, das system neu aufzusetzen, nur hab ich so etwas noch nie gemacht und keine ahnung wie das geht.

Wildone · 06.01.2006, 14:37

Hallo,
zum Thema System neu aufsetzen, hier ist eine Anleitung wie du dabei vorgehen solltest, falls du dich dafür entschließt (wäre nicht die schlechteste Entscheidung).
Ich sehe gerade das Panda die Datei gelöscht hat, so kann sie natürlich nicht mehr existieren, so ist es natürlich schwer nachzuvollziehen was Panda da genau drin gefunden hat.

Grüße Wildone

Anzku · 06.01.2006, 14:39

oh

super. dann mach ich das jetzt, bevor ich mich weitere tage hier herum quäle. aber danach ist doch der virus oder trojaner oder was es auch ist, weg oder? also, nachdem ich das system neu aufgesetzt habe?! danke für den link zur anleitung

Wildone · 06.01.2006, 14:43

Hallo,
ja danach ist er definitiv weg, bei einer Formatierung von C:\ wird alles im system gelöscht einschließlich der Viren. Es gibt zwar theoretische Ausnahmen(MBR), aber um die mußt du dir in deinem Fall keine Sorgen machen.

Grüße Wildone

Anzku · 06.01.2006, 14:45

ich habe noch einmal eine frage: lese grade die anleitung durch und verstehe sehr viel nicht. dieses partitionieren, muss man das machen? und soll ich installieren oder nur reparieren?

Wildone · 06.01.2006, 14:48

Hallo,
lies erstmal (auch die entsprechenden Links) in aller Ruhe durch, das sollte die Fragen eigentlich beantworten.
Nur soviel, du sollst installieren (nicht reparieren). Und partitionieren mußt du nicht neu, wenn du die bisherige Partitionierung beibehalten willst.

Grüße Wildone

könnt ihr mal schauen, meine logfile?!

Log-Analyse und Auswertung: könnt ihr mal schauen, meine logfile?!