Bitte mal beurteilen

tdh · 27.02.2006, 19:33

Hallo, habe hier einen verseuchten XP(SP1) Rechner vom Nachbarn.
Kann man den zu Fuss retten oder muss man XP neu aufsetzen?
mir erscheinen folgende Einträge verdächtig:
C:\WINDOWS\System32\wuauclt.exe
und die EGDACCESS_xxx
Danke + Gruss
Thomas

Logfile of HijackThis v1.99.1
Scan saved at 16:29:47, on 25.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\atip.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\programme\mailskinner\mailskinner.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\THOMAS\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1D35F479-04BB-4E9E-9D61-29E4F287C862} - C:\WINDOWS\System32\mydocs32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGACCESS4_1058.dll,InstantAccess
O4 - HKCU\..\Run: [MailSkinner] c:\programme\mailskinner\mailskinner.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - h**p://scripts.dlv4.com/binaries/egaccess4/egaccess4_1058_XP.cab
O16 - DPF: {54579C3D-A58D-4623-B5B5-465552BDA45B} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_ASPIV4_XP.cab
O16 - DPF: {7504F0D5-644A-4103-9D02-95488B6CB9A1} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1073_ASPIV4_XP.cab
O16 - DPF: {87C1805D-C5AE-4455-AB39-E245BB516136} - h**p://scripts.dlv4.com/binaries/egaccess4/egaccess4_1059_XP.cab
O16 - DPF: {8D8BAF56-B581-4B90-A549-C4AC6B03F1BB} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_XP.cab
O16 - DPF: {C2481ED1-9896-4D49-AE90-69858DFDE446} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1073_XP.cab
O16 - DPF: {EC4AFBF3-4540-4306-AF10-4CAC509EA16B} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_ASPIV4_XP.cab
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_XP.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

felix1 · 27.02.2006, 20:08

Ich finde es schon etwas dreist, sich beim Nachbarn als der Experte auszugeben, ne Kiste Bier oder sonstwas kassiern und uns dann hier die Arbeit machen zu lassen. Benutze die Boardsuche oder Google.

tobi79 · 27.02.2006, 20:15

hi,

was schmeißt er denn an fehlern/ fehlfunktionen? oder macht er sich irgendwie selbstständig?

gruß

tobi

Sabina · 27.02.2006, 20:36

tdh

das kann man eventuell saeubern

Adware/NaviPromo..es ist hartnaeckig, aber man bekommt es weg.
http://virus-protect.org/artikel/spyware/naviprom.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll
O2 - BHO: (no name) - {1D35F479-04BB-4E9E-9D61-29E4F287C862} - C:\WINDOWS\System32\mydocs32.dll

O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGACCESS4_1058.dll,InstantAccess
O4 - HKCU\..\Run: [MailSkinner] c:\programme\mailskinner\mailskinner.exe

O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - h**p://scripts.dlv4.com/binaries/egaccess4/egaccess4_1058_XP.cab
O16 - DPF: {54579C3D-A58D-4623-B5B5-465552BDA45B} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_ASPIV4_XP.cab
O16 - DPF: {7504F0D5-644A-4103-9D02-95488B6CB9A1} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1073_ASPIV4_XP.cab
O16 - DPF: {87C1805D-C5AE-4455-AB39-E245BB516136} - h**p://scripts.dlv4.com/binaries/egaccess4/egaccess4_1059_XP.cab
O16 - DPF: {8D8BAF56-B581-4B90-A549-C4AC6B03F1BB} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_XP.cab
O16 - DPF: {C2481ED1-9896-4D49-AE90-69858DFDE446} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1073_XP.cab
O16 - DPF: {EC4AFBF3-4540-4306-AF10-4CAC509EA16B} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_ASPIV4_XP.cab
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} - h**p://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_XP.cab

PC neustarten

Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

-------------------------------------------------------------------------------
ist fuer mich:

C:\WINDOWS\mslagent\mslagent.exe infected by "TrojanSpy.Win32.Mslagent
C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\4a_1,0,2,9_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\system32\Mservice.dll
C:\WINDOWS\system32\msklive.dll

C:\WINDOWS\system32\EGAUTH.dll infected by "Trojan.Win32.P2E.al
C:\WINDOWS\system32\p2esocks_1022.dll
C:\WINDOWS\system32\p2esocks_1024.dll

tdh · 02.03.2006, 00:16

Sabina,
danke für die schnelle Antwort. Hier meine Ergebnisse.
Habe allerdings noch einige EGDACCESS Einträge in der Registry. Und bei einem Account poppt noch eine Windowsmeldung wg fehlender EGACCESS4_1058.dll auf. Ich denke mal, dass das auch auf Reste in der Registry zurückzuführen ist.
Den Rechner hab ich erstmal vom Netzt genommen. Gibt es eine Möglichkeit die updates für Spybot manuell einzuspielen?
Danke
Thomas

[QUOTE=Sabina]tdh

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
[...]
PC neustarten

Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren

das zeigt mir nur ein swflash.inf von 2003 an

stelle den CleanUp genauso ein, wie hier angegeben:

OK

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)

Verzeichnis von C:\WINDOWS\system32

01.03.2006 22:29 373 fhxbtzuv_navps.dat
01.03.2006 22:28 6.615 fhxbtzuv.dat
01.03.2006 21:56 20.992 msclock32.dll
01.03.2006 19:06 20.992 msplock32.dll
01.03.2006 18:47 1.158 wpa.dbl
17.02.2006 08:33 112.248 fhxbtzuv_nav.dat
07.02.2006 16:36 252.468 fhxbtzuv.exe
03.01.2006 15:31 91.904 S32EVNT1.DLL
30.10.2005 07:03 380.684 perfh009.dat

Verzeichnis von C:\DOKUME~1\yy\LOKALE~1\Temp

01.03.2006 22:33 0 WERE4.tmp
01.03.2006 22:33 64 SNDMon.LOG
01.03.2006 22:32 164.006 jusched.log
01.03.2006 19:20 533 pcfE2.tmp
22.02.2006 11:28 533 pcfE1.tmp
17.02.2006 08:29 533 pcfE0.tmp
15.02.2006 19:15 533 pcfDF.tmp
15.02.2006 13:27 533 pcfDE.tmp
15.02.2006 10:37 533 pcfDD.tmp
11.02.2006 14:48 127 mon000.log
11.02.2006 14:46 0 LEXDE.tmp
11.02.2006 14:46 16.384 ~Qil1097.tmp
11.02.2006 14:45 533 pcfDC.tmp
11.02.2006 11:29 20.480 WKSDF.tmp
02.02.2006 17:52 533 pcfDB.tmp
27.01.2006 15:55 533 pcfDA.tmp
25.01.2006 13:18 533 pcfD9.tmp

Verzeichnis von C:\DOKUME~1\xx\LOKALE~1\Temp

01.03.2006 21:56 206.729 jusched.log
21.02.2006 19:59 533 pcf63.tmp
18.02.2006 09:52 533 pcf62.tmp
18.02.2006 08:55 533 pcf61.tmp
17.02.2006 08:36 0 WER7D.tmp
14.02.2006 16:01 0 WER7C.tmp
14.02.2006 15:34 0 LEX6D.tmp
14.02.2006 15:32 65.536 ~Qil1337.tmp
14.02.2006 15:05 16.384 ~Qil3155.tmp
14.02.2006 15:05 1.409 MSV6B.tmp
14.02.2006 15:05 13.824 MSV6A.tmp
13.02.2006 08:21 533 pcf60.tmp
12.02.2006 09:51 0 LEX72.tmp
12.02.2006 09:51 16.384 ~Qil0140.tmp
12.02.2006 09:51 13.824 MSV6F.tmp
12.02.2006 09:51 1.409 MSV70.tmp
12.02.2006 09:47 20.480 WKS73.tmp
11.02.2006 15:58 65.536 ~Qil0378.tmp
11.02.2006 15:57 0 LEX6B.tmp
11.02.2006 15:16 16.384 ~Qil0062.tmp
11.02.2006 15:15 13.824 MSV68.tmp
11.02.2006 15:15 1.409 MSV69.tmp
08.02.2006 11:20 0 WER77.tmp
06.02.2006 10:08 49.152 ~Qil1817.tmp
06.02.2006 10:07 0 LEX65.tmp
06.02.2006 10:03 16.384 ~Qil2158.tmp
06.02.2006 10:02 1.409 MSV63.tmp
06.02.2006 10:02 13.824 MSV62.tmp
01.02.2006 16:46 533 pcf5F.tmp
30.01.2006 11:40 43.161.030 8A786E.tmp
30.01.2006 11:39 167.204 89C011.dmp
30.01.2006 11:39 0 WER76.tmp
27.01.2006 09:41 533 pcf5E.tmp
26.01.2006 18:17 4.720 SYMEVENT.LOG
24.01.2006 11:56 533 pcf5D.tmp
23.01.2006 10:29 533 pcf5C.tmp
19.01.2006 18:43 533 pcf5B.tmp
19.01.2006 09:34 533 pcf5A.tmp
12.01.2006 09:15 101.444 LKXSDVO3.htm
12.01.2006 09:15 288.368 KUF0TXSI.emf
12.01.2006 09:15 262.448 DTWUI078.emf
08.01.2006 13:15 0 LEX61.tmp
08.01.2006 13:06 49.152 ~Qil3185.tmp
08.01.2006 12:58 16.384 ~Qil0255.tmp
08.01.2006 12:57 1.409 MSV5F.tmp
08.01.2006 12:57 13.824 MSV5E.tmp
08.01.2006 11:53 0 LEX69.tmp
08.01.2006 11:53 16.384 ~Qil1991.tmp
08.01.2006 11:53 13.824 MSV66.tmp
08.01.2006 11:53 1.409 MSV67.tmp
07.01.2006 08:19 533 pcf59.tmp
04.01.2006 12:48 83.447 A1477.dmp
04.01.2006 12:48 0 WER75.tmp
03.01.2006 08:21 0 WER7B.tmp
02.01.2006 18:40 94.874 8NDEAAH1.htm
02.01.2006 18:40 262.448 NQLYFHN9.emf
02.01.2006 18:40 0 WER79.tmp
02.01.2006 18:40 94.874 UA8K1ETL.htm
02.01.2006 18:40 262.448 M7IT3QBX.emf
02.01.2006 18:39 94.874 62A25JQB.htm
02.01.2006 18:39 262.448 7FZQUZPY.emf
02.01.2006 18:39 94.874 7UACU5XP.htm
02.01.2006 18:39 262.448 JKEI57EA.emf
02.01.2006 18:33 94.954 44E844PK.htm
02.01.2006 18:33 262.448 N08791S1.emf
02.01.2006 16:04 0 WER74.tmp
02.01.2006 16:04 94.255 L3UAW07P.htm
02.01.2006 16:04 262.448 7BL9FYP6.emf
02.01.2006 16:04 91.092 WQYWQSM3.htm
02.01.2006 16:04 360 NGPFPBEO.emf
30.12.2005 10:18 0 WER73.tmp

Verzeichnis von C:\WINDOWS

01.03.2006 21:55 0 0.log
01.03.2006 21:55 2.048 bootstat.dat
01.03.2006 21:55 325.840 ntbtlog.txt
01.03.2006 20:42 32.548 SchedLgU.Txt
01.03.2006 19:21 2.602.848 setupapi.log
25.02.2006 17:10 50 wiaservc.log
25.02.2006 17:10 216 wiadebug.log
25.02.2006 14:58 9.570 ModemLog_Agere Systems AC'97 Modem.txt
25.02.2006 14:06 6.990 tmlpcert2007
20.02.2006 10:46 21.441 iis6.log
20.02.2006 10:46 57.676 comsetup.log
20.02.2006 10:46 33.353 ntdtcsetup.log
20.02.2006 10:46 59.609 tsoc.log
20.02.2006 10:46 1.917 imsins.log
20.02.2006 10:46 5.432 ocmsn.log
20.02.2006 10:46 80.104 ocgen.log
20.02.2006 10:46 7.180 msgsocm.log
20.02.2006 10:46 135.856 FaxSetup.log
10.02.2006 08:33 39.839 atip.exe
05.11.2005 17:42 4.390 SYMEVENT.LOG

Verzeichnis von C:\

01.03.2006 22:31 0 sys.txt
01.03.2006 22:31 6.316 system.txt
01.03.2006 22:30 14.788 systemtemp.txt
01.03.2006 22:29 90.945 system32.txt
01.03.2006 22:27 3.875 datfindu.txt
01.03.2006 21:55 536.268.800 hiberfil.sys
01.03.2006 21:55 805.306.368 pagefile.sys
01.03.2006 20:27 2 DirDPFCns.txt
01.03.2006 20:27 398 DirDPF.txt
21.02.2006 09:09 369 Verknpfung mit RECYCLER.lnk

Sabina · 02.03.2006, 11:12

tdh

1. arbeite die bfu ab..ohne ewido..das kommt dann erst spaeter
http://virus-protect.org/artikel/bfu/naviprom_bfu.html

2.
KILLBOX - Pocket KillBox...loesche, was noch vorhanden ist, es kann sein, dass die bfu schon einen Teil entfernt hat
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\4a_1,0,2,9_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\system32\Mservice.dll
C:\WINDOWS\system32\msklive.dll
c:\programme\mailskinner\mailskinner.exe

C:\WINDOWS\system32\EGDACCESS.dll
C:\WINDOWS\system32\EGDACCESS_1058.dll
C:\WINDOWS\system32\EGDACCESS_1059.dll
C:\WINDOWS\system32\EGDACCESS_1072.dll
C:\WINDOWS\system32\EGDACCESS_1073.dll
C:\WINDOWS\system32\EGDACCESS_1074.dll

C:\WINDOWS\system32\fhxbtzuv_navps.dat
C:\WINDOWS\system32\fhxbtzuv.dat
C:\WINDOWS\system32\msclock32.dll
C:\WINDOWS\system32\msplock32.dll
C:\WINDOWS\system32\fhxbtzuv_nav.dat
C:\WINDOWS\system32\fhxbtzuv.exe
C:\WINDOWS\tmlpcert2007
C:\WINDOWS\atip.exe

PC neustarten

3.
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

4.
loesche, was noch vorhanden ist, es kann sein, dass die bfu schon einen Teil entfernt hat

loeschen:
C:\WINDOWS\mslagent
c:\programme\mailskinner
c:\programme\InstantAccess
C:\WINDOWS\system32\EGAUTH
C:\WINDOWS\system32\EGDACCESS

loesche alle Eintraege, die nicht bezeichnet sind unter:
C:\WINDOWS\Downloaded Program Files

5.
scanne mit ewido..im abgesicherten modus.... und poste den scanreport
http://virus-protect.org/ewido.html

6.
wenn das erledigt ist , poste das neue Log vom HijackThis, sowie die 4 Logs von datfindbat, denn es kann sein, dass dich die fhxbtzuv_nac.dat unter anderem Namen neu erstellt...

27.02.2006, 20:08	#2
felix1 /// Helfer-Team	Bitte mal beurteilen Ich finde es schon etwas dreist, sich beim Nachbarn als der Experte auszugeben, ne Kiste Bier oder sonstwas kassiern und uns dann hier die Arbeit machen zu lassen. Benutze die Boardsuche oder Google. __________________ __________________

Bitte mal beurteilen

Log-Analyse und Auswertung: Bitte mal beurteilen