Hallo Ihr Trojaner Kundigen!,

ich bekam heute auf eminem Notebook eine Meldung, dass ein virus namens
howiper.exe auf meinem Rechner angekommen sei und in Quarantäne geschickt wurde.

Hier das Log dazu:
20060421<;>1426<;>TROJ_SMALL.BFG<;>10<;>1<;>0<;>C:\WINDOWS\system32\howiper.exe<;>
20060421<;>1426<;>JAVA_BYTEVER.C<;>10<;>1<;>0<;>C:\Dokumente und Einstellungen\mji\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv765.jar-3cac481-220b8890.zip (Counter.class)<;>
20060421<;>1426<;>JAVA_BYTEVER.A<;>10<;>1<;>0<;>C:\Dokumente und Einstellungen\mji\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv765.jar-3cac481-220b8890.zip (Dummy.class)<;>
20060421<;>1426<;>JAVA_BYTEVER.A<;>10<;>1<;>0<;>C:\Dokumente und Einstellungen\mji\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv765.jar-3cac481-220b8890.zip (Parser.class)<;>
20060421<;>1427<;>JAVA_BYTEVER.AQ<;>10<;>1<;>0<;>C:\Dokumente und Einstellungen\mji\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-51c27f2d-2449b869.zip (GetAccess.class)<;>
20060421<;>1427<;>JAVA_BYTEVER.AQ<;>10<;>1<;>0<;>C:\Dokumente und Einstellungen\mji\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-51c27f2d-2449b869.zip (Installer.class)<;>
20060421<;>1427<;>JAVA_BYTEVER.S<;>10<;>1<;>0<;>C:\Dokumente und Einstellungen\mji\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-51c27f2d-2449b869.zip (NewSecurityClassLoader.class)<;>
20060421<;>1427<;>JAVA_BYTEVER.S<;>10<;>1<;>0<;>C:\Dokumente und Einstellungen\mji\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-51c27f2d-2449b869.zip (NewURLClassLoader.class)<;>
20060421<;>1427<;>ADW_SBSOFT.A<;>10<;>1<;>0<;>C:\WINDOWS\system32\kkuuu.dll<;>
20060421<;>1427<;>ADW_FINDSPY.B<;>10<;>1<;>0<;>C:\WINDOWS\system32\sphlp32.exe<;>
20060421<;>1427<;>ADW_FINDSPY.A<;>10<;>1<;>0<;>C:\WINDOWS\system32\pppcgm.exe<;>
20060421<;>1427<;>TROJ_SMALL.BFK<;>10<;>1<;>0<;>C:\WINDOWS\system32\favset.exe<;>
20060421<;>1429<;>ADW_UNSPYPC.B<;>10<;>1<;>0<;>C:\WINDOWS\system32\filesafer23.exe<;>
20060421<;>1537<;>EXPL_WMF.GEN<;>10<;>0<;>0<;>C:\Dokumente und Einstellungen\mji\Lokale Einstellungen\Temporary Internet Files\Content.IE5\856VSTIJ\xpladv765[1].WMF<;>

Die Meldung besagte, dass die Datei nicht gelöscht werden konnte. Unmittelbar danach lud mein IE offensichtlcih irgendwelche Dateien von Servern mit der Adresse 85.*** herunter. Mittlerweile weiss ich aus diesem Forum, dass das "ungesunde" Verbindungen sind.

Nachfolgend wurden die weitern Files aus dem Logfile in Quarantäne geschickt....

In diesem SUSPECT Ordner fand ich dann auch diese Files, aber howiper,exe nicht.

Später liess ich dann noch einen Scan des des OfficeScan durchlaufen, der ein weiteres File fand. siehe LOG.

Habe ich jetzt ein Problem auf dem Rechner oder nicht? Ach ja, meine sämtlichen DNS Einträge der Netzwerkconnections waren auf 85* Server gesetzt, die stehen jetz wieder auf DNS-Server automatisch beziehen.

In Folgenden Posts kommen noch die Logfiles der verschiedene Tools aus die in den anderen Threads erwähnt wurden....

Danke an jeden der sich das durchschaut und mir einenTip gibt...

Gruß,

Michael.

Logfile of HijackThis v1.99.1
Scan saved at 19:23:58, on 21.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\IBM\Security\uvmserv.exe
C:\WINDOWS\System32\ibmsmbus.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\Programme\IBM\Security\TssCore.exe
D:\oracle\Ora92e\bin\omtsreco.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCWLIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
C:\Programme\IBM\Security\certtool.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
D:\oracle\Ora92e\bin\agntsrvc.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CommonTime\Cadenza\CdzSvc.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\oracle\Ora92e\BIN\TNSLSNR.exe
C:\WINDOWS\system32\cmd.exe
D:\oracle\Ora92e\bin\dbsnmp.exe
d:\oracle\ora92e\bin\ORACLE.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Zone Labs\Integrity Client\iclient.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\CommonTime\Cadenza\cadenza.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\TEMP\GK6115.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\PowerQuest\V2i Protector 2.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Programme\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
D:\Daten\INST\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = H**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = H**p://srv-intranet/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = H**p://srv-intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = H**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = H**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = H**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=proxy:8080;http=proxy:8080;ftp=proxy:8080;gopher=proxy:8080;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.dassault-systemes.fr;*.dsy.fr;*.ds;*.dsy.ds;*.deneb.com;*.deneb-hi.com;172.21.16.*;192.168.*.*;*.du.ds;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [ControlCenter] "C:\Programme\IBM fingerprint software\ctlcntr.exe" /startup
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCWLICON] C:\PROGRA~1\ThinkPad\CONNEC~1\QCWLIcon.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [HydraVisionViewPort] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [ISS_Certtool] C:\Programme\IBM\Security\certtool.exe
O4 - HKLM\..\Run: [IBM_PWMGR] C:\Programme\IBM\Password Manager\pwmgr.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [Cadenza] C:\Programme\CommonTime\Cadenza\CdzSvc.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Integrity Client.lnk = C:\Programme\Zone Labs\Integrity Client\iclient.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=H**p://srv-intranet
O15 - Trusted Zone: *.livemeeting.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = deg.ds
O17 - HKLM\Software\..\Telephony: DomainName = deg.ds
O17 - HKLM\System\CCS\Services\Tcpip\..\{847E5C28-506B-474E-A6BA-A554F23D99C8}: Domain = deg.ds
O17 - HKLM\System\CCS\Services\Tcpip\..\{B42D2E73-E672-4CFE-BDC7-2F0B2C5A64ED}: NameServer = 85.255.116.77,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{D87BB3B7-4208-426A-94CA-3D45BE471AB4}: NameServer = 85.255.116.77,85.255.112.212
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = deg.ds
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = deg.ds,ds
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = deg.ds
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = deg.ds,ds
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = deg.ds,ds
O20 - Winlogon Notify: psfus - C:\Programme\IBM fingerprint software\psfus.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM User Verification Manager - IBM - C:\Programme\IBM\Security\uvmserv.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: SMBus Upgrade Service for Windows 2000 and above (ibmsmbus) - International Business Machines Corp. - C:\WINDOWS\System32\ibmsmbus.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\Ora92e\bin\omtsreco.exe
O23 - Service: OracleOraHome92eAgent - Oracle Corporation - D:\oracle\Ora92e\bin\agntsrvc.exe
O23 - Service: OracleOraHome92eClientCache - Unknown owner - D:\oracle\Ora92e\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92eSNMPPeerEncapsulator - Unknown owner - D:\oracle\Ora92e\BIN\ENCSVC.EXE
O23 - Service: OracleOraHome92eSNMPPeerMasterAgent - Unknown owner - D:\oracle\Ora92e\BIN\AGNTSVC.EXE
O23 - Service: OracleOraHome92eTNSListener - Unknown owner - D:\oracle\Ora92e\BIN\TNSLSNR.exe
O23 - Service: OracleServiceO9IE - Oracle Corporation - d:\oracle\ora92e\bin\ORACLE.EXE
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\V2i Protector 2.0\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe


Die Einträge mit den ungesunden Nameservern habe ich entfernt...

Gruß,

Michael.

Und der Durchlauf von Escan... wobei mir die Meldungen zu den htm-Files unverständlich sind.. Die offended Folder kenne und brauche ich, da ist Arbeit von mir drin...


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 21 20:26:56 2006 => System found infected with ezula Spyware/Adware (sed.exe)! Action taken: No Action Taken.
Fri Apr 21 20:27:11 2006 => System found infected with imesh Spyware/Adware (bsscdhtm.js)! Action taken: No Action Taken.
Fri Apr 21 20:27:11 2006 => System found infected with imesh Spyware/Adware (ftsbody.htm)! Action taken: No Action Taken.
Fri Apr 21 20:27:11 2006 => System found infected with imesh Spyware/Adware (ftsdhtml.htm)! Action taken: No Action Taken.
Fri Apr 21 20:27:11 2006 => System found infected with imesh Spyware/Adware (ftsform.htm)! Action taken: No Action Taken.
Fri Apr 21 20:27:11 2006 => System found infected with imesh Spyware/Adware (navpane1.htm)! Action taken: No Action Taken.
Fri Apr 21 20:27:11 2006 => System found infected with imesh Spyware/Adware (navpane2.htm)! Action taken: No Action Taken.
Fri Apr 21 20:27:11 2006 => System found infected with imesh
**
*
*
*
*

Fri Apr 21 20:27:21 2006 => System found infected with imesh Spyware/Adware (_blank.htm)! Action taken: No Action Taken.
Fri Apr 21 20:27:04 2006 => Object "loader Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Apr 21 20:27:04 2006 => Object "loader Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Apr 21 20:27:04 2006 => Object "loader Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Apr 21 20:27:20 2006 => Object "loader Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Apr 21 20:27:20 2006 => Object "loader Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Apr 21 20:27:20 2006 => Object "loader Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Apr 21 20:26:56 2006 => Offending file found: D:\Daten\delmiasw\difa_loader t-systems\tools\common\bin\sed.exe
Fri Apr 21 20:27:11 2006 => Offending file found: D:\Daten\shared\docs\bcl\bsscdhtm.js
D:\Daten\shared\docs\vce\webhelp\_blank.htm
Fri Apr 21 20:27:19 2006 => Offending file found: D:\Daten\delmiasw\difa_loader t-systems\tools\common\bin\sed.exe
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\bcl\bsscdhtm.js
Fri Apr 21 20:27:21 2006 => Offending file found:
+
+
HIER EINE MENGE EINTRÄGE MIT HTM-Files einer HTML-Doku gelöscht....
+
+
+

Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\scl\idxlist.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\scl\navpane1.htm
D:\Daten\shared\docs\ugii\webhelp\bsscdhtm.js
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\ftsbody.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\ftsdhtml.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\ftsform.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\navpane1.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\navpane2.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\tabframe.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\tocdhtml.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\toclist.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\ugii\webhelp\_blank.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\bsscdhtm.js
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\ftsbody.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\ftsdhtml.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\ftsform.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\navpane1.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\navpane2.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\tabframe.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\tocdhtml.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\toclist.htm
Fri Apr 21 20:27:21 2006 => Offending file found: D:\Daten\shared\docs\vce\webhelp\_blank.htm
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Apr 21 21:45:58 2006 => File C:\Programme\OfficeScan NT\SUSPECT\SUSPECT.zip tagged as "not-a-virus:AdWare.Win32.SBSoft.h". Action Taken: No Action Taken.
Fri Apr 21 22:17:10 2006 => File D:\Daten\Dokumente\Knowhow\Frank R12 R13 Highlights\atrecply.exe tagged as "not-a-virus:AdWare.Win32.WebEx.b". Action Taken: No Action Taken.
Fri Apr 21 22:25:24 2006 => File D:\Daten\Projekte\Airbus\2004\3D State PES and examples\atrecply.exe tagged as "not-a-virus:AdWare.Win32.WebEx.b". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Fri Apr 21 20:27:04 2006 => Offending Folder found: D:\Daten\projekte\*********\logistik_change\loader
Fri Apr 21 20:27:04 2006 => Offending Folder found: D:\Daten\projekte\***********\testdaten\quali\tisyncro_change\loader
Fri Apr 21 20:27:04 2006 => Offending Folder found: D:\Daten\projekte\*******\tisyncro_change\loader
Fri Apr 21 20:27:20 2006 => Offending Folder found: D:\Daten\projekte\*********\logistik_change\loader
Fri Apr 21 20:27:20 2006 => Offending Folder found: D:\Daten\projekte\***********\testdaten\quali\tisyncro_change\loader
Fri Apr 21 20:27:20 2006 => Offending Folder found: D:\Daten\projekte\*********\tisyncro_change\loader
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 21 22:31:39 2006 => Total Errors: 6
Fri Apr 21 22:31:39 2006 => Time Elapsed: 02:05:29
Fri Apr 21 22:31:39 2006 => Total Objects Scanned: 193133
Fri Apr 21 20:25:38 2006 => Virus Database Date: 4/17/2006
Fri Apr 21 22:31:38 2006 => Virus Database Date: 4/17/2006
Fri Apr 21 22:31:42 2006 => Virus Database Date: 4/17/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

und BLACKLIGHT...


04/21/06 22:42:18 [Info]: BlackLight Engine 1.0.35 initialized
04/21/06 22:42:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/21/06 22:42:18 [Note]: 7019 4
04/21/06 22:42:18 [Note]: 7005 0
04/21/06 22:42:29 [Note]: 7006 0
04/21/06 22:42:29 [Note]: 7011 3428
04/21/06 22:42:29 [Note]: 7026 0
04/21/06 22:42:29 [Note]: 7026 0
04/21/06 22:42:29 [Note]: FSRAW library version 1.7.1015
04/21/06 22:42:29 [Error]: 4000 5
04/21/06 22:42:29 [Note]: 4005 5
04/21/06 22:42:29 [Error]: 4007 5
04/21/06 22:42:29 [Error]: 4028 5
04/21/06 22:42:30 [Error]: 4000 5
04/21/06 22:42:30 [Note]: 4005 5
04/21/06 22:42:30 [Error]: 4007 5
04/21/06 22:42:30 [Error]: 4028 5
04/21/06 22:42:30 [Error]: 4000 5
04/21/06 22:42:30 [Note]: 4005 5
04/21/06 22:42:30 [Error]: 4007 5
04/21/06 22:42:30 [Error]: 4028 5
04/21/06 22:42:30 [Error]: 4000 5
04/21/06 22:42:30 [Note]: 4005 5
04/21/06 22:42:30 [Error]: 4007 5
04/21/06 22:42:30 [Error]: 4028 5
04/21/06 22:42:30 [Error]: 4000 5
04/21/06 22:42:30 [Note]: 4005 5
04/21/06 22:42:30 [Error]: 4007 5
04/21/06 22:42:30 [Error]: 4028 5
04/21/06 22:42:30 [Error]: 4000 5
04/21/06 22:42:30 [Note]: 4005 5
04/21/06 22:42:30 [Error]: 4007 5
04/21/06 22:42:30 [Error]: 4028 5
04/21/06 22:42:32 [Error]: 4000 5
04/21/06 22:42:32 [Note]: 4005 5
04/21/06 22:42:32 [Error]: 4007 5
04/21/06 22:42:32 [Error]: 4028 5
04/21/06 22:42:32 [Error]: 4000 5
04/21/06 22:42:32 [Note]: 4005 5
04/21/06 22:42:32 [Error]: 4007 5
04/21/06 22:42:32 [Error]: 4028 5
04/21/06 22:42:33 [Error]: 4000 5
04/21/06 22:42:33 [Note]: 4005 5
04/21/06 22:42:33 [Error]: 4007 5
04/21/06 22:42:33 [Error]: 4028 5
04/21/06 22:42:33 [Error]: 4000 5
04/21/06 22:42:33 [Note]: 4005 5
04/21/06 22:42:33 [Error]: 4007 5
04/21/06 22:42:33 [Error]: 4028 5
04/21/06 22:42:33 [Error]: 4000 5
04/21/06 22:42:33 [Note]: 4005 5
04/21/06 22:42:33 [Error]: 4007 5
04/21/06 22:42:33 [Error]: 4028 5
04/21/06 22:42:34 [Error]: 4000 5
04/21/06 22:42:34 [Note]: 4005 5
04/21/06 22:42:34 [Error]: 4007 5
04/21/06 22:42:34 [Error]: 4028 5
04/21/06 22:42:34 [Error]: 4000 5
04/21/06 22:42:34 [Note]: 4005 5
04/21/06 22:42:34 [Error]: 4007 5
04/21/06 22:42:34 [Error]: 4028 5
04/21/06 22:42:36 [Error]: 4000 5
04/21/06 22:42:36 [Note]: 4005 5
04/21/06 22:42:36 [Error]: 4007 5
04/21/06 22:42:36 [Error]: 4028 5
04/21/06 22:42:36 [Error]: 4000 5
04/21/06 22:42:36 [Note]: 4005 5
04/21/06 22:42:36 [Error]: 4007 5
04/21/06 22:42:36 [Error]: 4028 5
04/21/06 22:42:37 [Error]: 4000 5
04/21/06 22:42:37 [Note]: 4005 5
04/21/06 22:42:37 [Error]: 4007 5
04/21/06 22:42:37 [Error]: 4028 5
04/21/06 22:42:37 [Error]: 4000 5
04/21/06 22:42:37 [Note]: 4005 5
04/21/06 22:42:37 [Error]: 4007 5
04/21/06 22:42:37 [Error]: 4028 5
04/21/06 22:42:37 [Error]: 4000 5
04/21/06 22:42:37 [Note]: 4005 5
04/21/06 22:42:37 [Error]: 4007 5
04/21/06 22:42:37 [Error]: 4028 5
04/21/06 22:42:37 [Error]: 4000 5
04/21/06 22:42:37 [Note]: 4005 5
04/21/06 22:42:37 [Error]: 4007 5
04/21/06 22:42:37 [Error]: 4028 5
04/21/06 22:42:37 [Error]: 4000 5
04/21/06 22:42:37 [Note]: 4005 5
04/21/06 22:42:37 [Error]: 4007 5
04/21/06 22:42:37 [Error]: 4028 5
04/21/06 22:42:37 [Error]: 4000 5
04/21/06 22:42:37 [Note]: 4005 5
04/21/06 22:42:37 [Error]: 4007 5
04/21/06 22:42:37 [Error]: 4028 5
04/21/06 22:42:40 [Error]: 4000 5
04/21/06 22:42:40 [Note]: 4005 5
04/21/06 22:42:40 [Error]: 4007 5
04/21/06 22:42:40 [Error]: 4028 5
04/21/06 22:42:40 [Error]: 4000 5
04/21/06 22:42:40 [Note]: 4005 5
04/21/06 22:42:40 [Error]: 4007 5
04/21/06 22:42:40 [Error]: 4028 5
04/21/06 22:42:41 [Error]: 4000 5
04/21/06 22:42:41 [Note]: 4005 5
04/21/06 22:42:41 [Error]: 4007 5
04/21/06 22:42:41 [Error]: 4028 5
04/21/06 22:42:41 [Error]: 4000 5
04/21/06 22:42:41 [Note]: 4005 5
04/21/06 22:42:41 [Error]: 4007 5
04/21/06 22:42:41 [Error]: 4028 5
04/21/06 22:42:41 [Error]: 4000 5
04/21/06 22:42:41 [Note]: 4005 5
04/21/06 22:42:41 [Error]: 4007 5
04/21/06 22:42:41 [Error]: 4028 5
04/21/06 22:42:41 [Error]: 4000 5
04/21/06 22:42:41 [Note]: 4005 5
04/21/06 22:42:41 [Error]: 4007 5
04/21/06 22:42:41 [Error]: 4028 5
04/21/06 22:42:42 [Error]: 4000 5
04/21/06 22:42:42 [Note]: 4005 5
04/21/06 22:42:42 [Error]: 4007 5
04/21/06 22:42:42 [Error]: 4028 5
04/21/06 22:42:42 [Error]: 4000 5
04/21/06 22:42:42 [Note]: 4005 5
04/21/06 22:42:42 [Error]: 4007 5
04/21/06 22:42:42 [Error]: 4028 5
04/21/06 22:42:42 [Error]: 4000 5
04/21/06 22:42:42 [Note]: 4005 5
04/21/06 22:42:42 [Error]: 4007 5
04/21/06 22:42:42 [Error]: 4028 5
04/21/06 22:42:42 [Error]: 4000 5
04/21/06 22:42:42 [Note]: 4005 5
04/21/06 22:42:42 [Error]: 4007 5
04/21/06 22:42:42 [Error]: 4028 5
04/21/06 22:42:43 [Error]: 4000 5
04/21/06 22:42:43 [Note]: 4005 5
04/21/06 22:42:43 [Error]: 4007 5
04/21/06 22:42:43 [Error]: 4028 5
04/21/06 22:42:43 [Error]: 4000 5
04/21/06 22:42:43 [Note]: 4005 5
04/21/06 22:42:43 [Error]: 4007 5
04/21/06 22:42:43 [Error]: 4028 5
04/21/06 22:42:44 [Error]: 4000 5
04/21/06 22:42:44 [Note]: 4005 5
04/21/06 22:42:44 [Error]: 4007 5
04/21/06 22:42:44 [Error]: 4028 5
04/21/06 22:42:44 [Error]: 4000 5
04/21/06 22:42:44 [Note]: 4005 5
04/21/06 22:42:44 [Error]: 4007 5
04/21/06 22:42:44 [Error]: 4028 5
04/21/06 22:42:45 [Error]: 4000 5
04/21/06 22:42:45 [Note]: 4005 5
04/21/06 22:42:45 [Error]: 4007 5
04/21/06 22:42:45 [Error]: 4028 5
04/21/06 22:42:48 [Error]: 4000 5
04/21/06 22:42:48 [Note]: 4005 5
04/21/06 22:42:48 [Error]: 4007 5
04/21/06 22:42:48 [Error]: 4028 5
04/21/06 22:42:49 [Error]: 4000 5
04/21/06 22:42:49 [Note]: 4005 5
04/21/06 22:42:49 [Error]: 4007 5
04/21/06 22:42:49 [Error]: 4028 5
04/21/06 22:42:49 [Error]: 4000 5
04/21/06 22:42:49 [Note]: 4005 5
04/21/06 22:42:49 [Error]: 4007 5
04/21/06 22:42:49 [Error]: 4028 5
04/21/06 22:42:49 [Error]: 4000 5
04/21/06 22:42:49 [Note]: 4005 5
04/21/06 22:42:49 [Error]: 4007 5
04/21/06 22:42:49 [Error]: 4028 5
04/21/06 22:42:49 [Error]: 4000 5
04/21/06 22:42:49 [Note]: 4005 5
04/21/06 22:42:49 [Error]: 4007 5
04/21/06 22:42:49 [Error]: 4028 5
04/21/06 22:42:49 [Error]: 4000 5
04/21/06 22:42:49 [Note]: 4005 5
04/21/06 22:42:49 [Error]: 4007 5
04/21/06 22:42:49 [Error]: 4028 5
04/21/06 22:42:49 [Error]: 4000 5
04/21/06 22:42:49 [Note]: 4005 5
04/21/06 22:42:49 [Error]: 4007 5
04/21/06 22:42:49 [Error]: 4028 5
04/21/06 22:42:50 [Error]: 4000 5
04/21/06 22:42:50 [Note]: 4005 5
04/21/06 22:42:50 [Error]: 4007 5
04/21/06 22:42:50 [Error]: 4028 5
04/21/06 22:42:50 [Error]: 4000 5
04/21/06 22:42:50 [Note]: 4005 5
04/21/06 22:42:50 [Error]: 4007 5
04/21/06 22:42:50 [Error]: 4028 5
04/21/06 22:42:51 [Error]: 4000 5
04/21/06 22:42:51 [Note]: 4005 5
04/21/06 22:42:51 [Error]: 4007 5
04/21/06 22:42:51 [Error]: 4028 5
04/21/06 22:42:51 [Error]: 4000 5
04/21/06 22:42:51 [Note]: 4005 5
04/21/06 22:42:51 [Error]: 4007 5
04/21/06 22:42:51 [Error]: 4028 5
04/21/06 22:42:52 [Error]: 4000 5
04/21/06 22:42:52 [Note]: 4005 5
04/21/06 22:42:52 [Error]: 4007 5
04/21/06 22:42:52 [Error]: 4028 5
04/21/06 22:42:52 [Error]: 4000 5
04/21/06 22:42:52 [Note]: 4005 5
04/21/06 22:42:52 [Error]: 4007 5
04/21/06 22:42:52 [Error]: 4028 5
04/21/06 22:42:53 [Error]: 4000 5
04/21/06 22:42:53 [Note]: 4005 5
04/21/06 22:42:53 [Error]: 4007 5
04/21/06 22:42:53 [Error]: 4028 5
04/21/06 22:42:53 [Error]: 4000 5
04/21/06 22:42:53 [Note]: 4005 5
04/21/06 22:42:53 [Error]: 4007 5
04/21/06 22:42:53 [Error]: 4028 5
04/21/06 22:42:54 [Info]: Hidden file: C:\Programme\lotus\notes\ndctest.exe
04/21/06 22:42:54 [Note]: 10002 1
04/21/06 22:42:55 [Info]: Hidden file: d:\oracle\Ora92e\BIN\OracleAdNetTest.exe
04/21/06 22:42:55 [Note]: 10002 1
04/21/06 22:42:55 [Error]: 4000 5
04/21/06 22:42:55 [Note]: 4005 5
04/21/06 22:42:55 [Error]: 4007 5
04/21/06 22:42:55 [Error]: 4028 5
04/21/06 22:42:55 [Error]: 4000 5
04/21/06 22:42:55 [Note]: 4005 5
04/21/06 22:42:55 [Error]: 4007 5
04/21/06 22:42:55 [Error]: 4028 5
04/21/06 22:42:56 [Error]: 4000 5
04/21/06 22:42:56 [Note]: 4005 5
04/21/06 22:42:56 [Error]: 4007 5
04/21/06 22:42:56 [Error]: 4028 5
04/21/06 22:42:59 [Error]: 4000 5
04/21/06 22:42:59 [Note]: 4005 5
04/21/06 22:42:59 [Error]: 4007 5
04/21/06 22:42:59 [Error]: 4028 5
04/21/06 22:43:00 [Error]: 4000 5
04/21/06 22:43:00 [Note]: 4005 5
04/21/06 22:43:00 [Error]: 4007 5
04/21/06 22:43:00 [Error]: 4028 5
04/21/06 22:43:02 [Error]: 4000 5
04/21/06 22:43:02 [Note]: 4005 5
04/21/06 22:43:02 [Error]: 4007 5
04/21/06 22:43:02 [Error]: 4028 5
04/21/06 22:43:02 [Error]: 4000 5
04/21/06 22:43:02 [Note]: 4005 5
04/21/06 22:43:02 [Error]: 4007 5
04/21/06 22:43:02 [Error]: 4028 5
04/21/06 22:43:02 [Error]: 4000 5
04/21/06 22:43:02 [Note]: 4005 5
04/21/06 22:43:02 [Error]: 4007 5
04/21/06 22:43:02 [Error]: 4028 5
04/21/06 22:43:02 [Error]: 4000 5
04/21/06 22:43:02 [Note]: 4005 5
04/21/06 22:43:02 [Error]: 4007 5
04/21/06 22:43:02 [Error]: 4028 5
04/21/06 22:43:06 [Error]: 4000 5
04/21/06 22:43:06 [Note]: 4005 5
04/21/06 22:43:06 [Error]: 4007 5
04/21/06 22:43:06 [Error]: 4028 5
04/21/06 22:43:07 [Error]: 4000 5
04/21/06 22:43:07 [Note]: 4005 5
04/21/06 22:43:07 [Error]: 4007 5
04/21/06 22:43:07 [Error]: 4028 5
04/21/06 22:43:07 [Error]: 4000 5
04/21/06 22:43:07 [Note]: 4005 5
04/21/06 22:43:07 [Error]: 4007 5
04/21/06 22:43:07 [Error]: 4028 5
04/21/06 22:43:08 [Error]: 4000 5
04/21/06 22:43:08 [Note]: 4005 5
04/21/06 22:43:08 [Error]: 4007 5
04/21/06 22:43:08 [Error]: 4028 5
04/21/06 22:43:09 [Error]: 4000 5
04/21/06 22:43:09 [Note]: 4005 5
04/21/06 22:43:09 [Error]: 4007 5
04/21/06 22:43:09 [Error]: 4028 5
04/21/06 22:43:12 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/21/06 22:43:12 [Note]: 10002 1
04/21/06 22:43:12 [Error]: 4000 5
04/21/06 22:43:12 [Note]: 4005 5
04/21/06 22:43:12 [Error]: 4007 5
04/21/06 22:43:12 [Error]: 4028 5
04/21/06 22:43:15 [Error]: 4000 5
04/21/06 22:43:15 [Note]: 4005 5
04/21/06 22:43:15 [Error]: 4007 5
04/21/06 22:43:15 [Error]: 4028 5
04/21/06 22:43:17 [Info]: Hidden file: C:\WINDOWS\system32\dmhnr.exe
04/21/06 22:43:17 [Note]: 7002 32
04/21/06 22:43:17 [Note]: 7003 1
04/21/06 22:43:17 [Note]: 10002 1
04/21/06 22:43:24 [Info]: Hidden file: C:\WINDOWS\system32\cskiw.exe
04/21/06 22:43:24 [Note]: 7002 32
04/21/06 22:43:24 [Note]: 7003 1
04/21/06 22:43:24 [Note]: 10002 1
04/21/06 22:52:43 [Note]: 7007 0


wie wird man denn daraus schlau???

Danke und Gruß,

Michael.

Und die Ausgabe von RootkitReveal hab ich auch noch...


HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\TotalScanned 21.04.2006 22:53 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\LastScannedFileName 21.04.2006 22:53 53 bytes Windows API length not consistent with raw hive data.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01QF4T6V\defaulthiddenitemdescription[1].htm 21.04.2006 22:57 19.10 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01QF4T6V\nav_privacy[1].gif 21.04.2006 22:57 1.35 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1SFS9KR\dotted_line[1].gif 21.04.2006 22:57 69 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1SFS9KR\nav_contact2[1].gif 21.04.2006 22:57 1.31 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ST67K9AB\3-banner[1].swf 21.04.2006 22:57 45.38 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ST67K9AB\left_subbuttonbg[1].gif 21.04.2006 22:57 105 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ST67K9AB\nav_legal[1].gif 21.04.2006 22:57 1.33 KB Hidden from Windows API.
C:\eScan_neu.txt 21.04.2006 22:32 69.12 KB Visible in Windows API, but not in MFT or directory index.
C:\Programme\OfficeScan NT\AU_Log\TempSave 21.04.2006 22:39 0 bytes Visible in Windows API, MFT, but not in directory index.
C:\Programme\OfficeScan NT\AU_Log\TempSave\556_2424 21.04.2006 22:39 0 bytes Visible in Windows API, MFT, but not in directory index.
C:\System Volume Information\catalog.wci\00010002.ci 21.04.2006 23:03 92.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010002.dir 21.04.2006 23:03 980 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010004.ci 21.04.2006 23:03 92.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010004.dir 21.04.2006 23:03 1.01 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010005.ci 21.04.2006 23:04 108.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010005.dir 21.04.2006 23:04 1.06 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010006.ci 21.04.2006 23:04 252.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010006.dir 21.04.2006 23:04 2.10 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010007.ci 21.04.2006 23:04 212.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010007.dir 21.04.2006 23:04 1.74 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010008.ci 21.04.2006 23:04 792.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010008.dir 21.04.2006 23:04 3.97 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010009.ci 21.04.2006 23:04 1.10 MB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010009.dir 21.04.2006 23:04 6.49 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000B.ci 21.04.2006 23:05 412.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000B.dir 21.04.2006 23:05 2.10 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000E.ci 21.04.2006 23:05 200.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000E.dir 21.04.2006 23:05 1.76 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000F.ci 21.04.2006 23:08 1.29 MB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000F.dir 21.04.2006 23:08 3.64 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010010.ci 21.04.2006 23:08 332.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010010.dir 21.04.2006 23:08 2.47 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010011.ci 21.04.2006 23:08 24.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010011.dir 21.04.2006 23:08 453 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010012.ci 21.04.2006 23:08 20.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010012.dir 21.04.2006 23:08 464 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010013.ci 21.04.2006 23:09 4.32 MB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010013.dir 21.04.2006 23:09 19.82 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010014.ci 21.04.2006 23:09 52.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010014.dir 21.04.2006 23:09 644 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010015.ci 21.04.2006 23:09 96.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010015.dir 21.04.2006 23:09 781 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010016.ci 21.04.2006 23:06 3.48 MB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010016.dir 21.04.2006 23:06 14.01 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010017.ci 21.04.2006 23:10 1.49 MB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010017.dir 21.04.2006 23:10 2.74 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001001B.ci 21.04.2006 23:07 1.67 MB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001001B.dir 21.04.2006 23:07 13.19 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffc.000 21.04.2006 23:05 240 bytes Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffc.001 21.04.2006 23:05 384.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffc.002 21.04.2006 23:05 384.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffd.000 21.04.2006 23:10 240 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffd.001 21.04.2006 23:10 448.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffd.002 21.04.2006 23:10 448.00 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\MV.EXE-0B367BF0.pf 21.04.2006 23:01 38.76 KB Hidden from Windows API.
C:\WINDOWS\system32\8V8,M_STRTELEPHONE29V8,M_STRFAX30V8,M_STRHANDY31V8,M_STRNATION32V8,M_STREMAIL33V8,M_STRURL34V8,M_STRNAMEFIRST31V12,M_STRADRESS32V1 2,M_STRCENTER33V12,M_STRLCAUSERID35V13 FROM R15SP3_DATABASE.XMUSINGLEUSERC443V8 WHERE OID = :1 ORDER BY O 12.09.2005 07:31 773 bytes Hidden from Windows API.
D:\oracle\oradata\O9ie 22.08.2005 13:57 0 bytes Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\CONTROL01.CTL 21.04.2006 22:36 2.01 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\CONTROL02.CTL 21.04.2006 22:36 2.01 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\CONTROL03.CTL 21.04.2006 22:36 2.01 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\ERGO_INDX01.DBF 21.04.2006 20:21 2.44 GB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\ERGO_USR01.DBF 21.04.2006 20:21 3.71 GB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\REDO01A.LOG 21.04.2006 22:36 20.00 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\REDO01B.LOG 21.04.2006 22:36 20.00 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\REDO02A.LOG 21.04.2006 22:36 20.00 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\REDO02B.LOG 21.04.2006 22:36 20.00 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\REDO03A.LOG 21.04.2006 22:36 20.00 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\REDO03B.LOG 21.04.2006 22:36 20.00 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\SYSTEM01.DBF 21.04.2006 20:21 250.01 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\TEMP01.DBF 22.03.2006 15:39 500.01 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\TOOLS01.DBF 21.04.2006 20:21 10.01 MB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\O9ie\UNDOTBS01.DBF 21.04.2006 20:21 1.13 GB Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\System Volume Information 23.02.2006 22:22 0 bytes Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\System Volume Information\MountPointManagerRemoteDatabase 22.08.2005 10:10 0 bytes Visible in Windows API, but not in MFT or directory index.
D:\oracle\oradata\System Volume Information\tracking.log 22.08.2005 10:21 20.00 KB Visible in Windows API, but not in MFT or directory index.


Herzlichen Dank an jeden der soweit gekommen ist! Zur Erinnerung nochmal die Frage von oben: Habe ich ein Problem??? Wenn ja wie schwer?

Gruß und Danke,

Michael

Hallo zusammen,

leider habe ich hier im Forum auf meine Anfrage keine Antwort bekommen. Vielleicht habe ich irgendwo den falschen Ton getroffen, aber vielleicht hätte es ja auch andere interessiert wie in diesem Fall zu verfahren ist.

Trotzdem hat mir da Lesen hier stark die Augen geöffnet, was da so alles im Internet kreucht und fleucht und dass ich bisher wohl nur tierisch Glück hatte.

Vielleicht kann ja einer der anwesenden Profis noch feststellen was mich da eigentlich erwischt hatte, die gefundenen Viren waren meiner Meinung vermutlich nur Beiwerk zu dem eigentlichen Übeltäter. Kann man anhand der geposteten Logs (oben) herausfinden was für ein rootkit oder Trojaner es war?

Mittlerweile glaube ich auch zu wissen woher das Problem kam. Ich befand mich zum Zeitpunkt auf den Forumsseiten eines Radsportdiskussionsforum welches wohl gehackt wurde und heute gerade wieder online gegangen ist. Ich warte noch auf eine Antwort von den Verantwortlichen dort, was über ihre Seiten so angerichtet wurde....

Danke und Grüsse,

mji
_______________________________

nie wieder als Administrator mit IE unterwegs im Netz...

Ich fürchte man hatte Dich schlichtweg übersehen.

Die Sache schaut äusserst tricky aus. Mal abgesehen von obskuren Dateien wie zB diesen beiden

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\dmhnr.exe
C:\WINDOWS\system32\cskiw.exe
         

und noch obskureren Einträgen (ADS?)

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\8V8,M_STRTELEPHONE29V8,M_STRFA X30V8,M_STRHANDY31V8,M_STRNATION32V8,M_STREMAIL33V 8,M_STRURL34V8,M_STRNAMEFIRST31V12,M_STRADRESS32V1 2,M_STRCENTER33V12,M_STRLCAUSERID35V13 FROM R15SP3_DATABASE.XMUSINGLEUSERC443V8 WHERE OID = :1 ORDER BY O
         

sind da noch einige normale Infektionen auf Deinem Rechner

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\kkuuu.dll
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\filesafer23.exe
         

Obwohl ich die hidden from windows api-Einträge nicht zuordnen kann, würde ich bei diesem Umfang zu einem Neuaufsetzen raten. Durch die Infektionsquelle (gehackter Server) ist anzunehmen, dass es sich hierbei um ein RAT (Remote Access Tool) handelt.

Solltest Du aber trotzdem eine Reinigung versuchen, so gehe wie folgt vor:

* Notiere Dir die Namen und Pfade der von mir genannten Dateien.
* Boote in die Wiederherstellungskonsole (siehe WindowsXP-FAQ hier im Forum)
* lösche von dort aus die Dateien wie folgt:

del /F C:\WINDOWS\system32\kkuuu.dll
del /F C:\WINDOWS\system32\sphlp32.exe
del /F C:\WINDOWS\system32\pppcgm.exe
del /F C:\WINDOWS\system32\favset.exe
del /F C:\WINDOWS\system32\filesafer23.exe
del /F C:\WINDOWS\system32\dmhnr.exe
del /F C:\WINDOWS\system32\cskiw.exe
del /F C:\WINDOWS\system32\8V8* <= wobei das vermutlich rein gar nichts bringen wird

Hallo MightyMarc,

danke für die schnelle Antwort.
Der Rechner wird neu aufgesetzt.
Die "normalen" Schädlinge hatte der Trend Micro ja erwischt (standen auch im Quarantäne-Ordner).
Ich hatte die verbliebenen von Blacklight erkannten Files auch beseitigen können und am Ende saubere Logs der Tools erhalten, aber man weiss ja nie...
Auch die Auswertungen der Traffic-logs meiner DSL-Firewall ergaben keine Verbindungen zu unerklärbaren IP-Adressen. Erwischt hatte es mich übrigens beim Surfen nur mit Desktop Firewall, eingeloggt via ISDN...

Also Danke nochmal und Gruß,

mji

Zitat:

Zitat von mji

Erwischt hatte es mich übrigens beim Surfen nur mit Desktop Firewall, eingeloggt via ISDN...

Erwischt hat es Dich beim Surfen mit Adminrechten und ohne konfigurierte software restriction policies, oder?

Hallo Marc,

da hast Du vermutlich recht. Admin war ich und die restriction policies kenne ich nicht -> vermutlich nichts eingeschränkt.

Ich mach mich da auch mal schlau. Ich denke diese Hinweise sind das was wir Sicherheitsanfänger hier brauchen. Danke. Die anderen Tips bezüglich "System sicher aufsetzen" werde ich mir auch noch zu Gemüte führen . Schliesslich will ich hier nicht Stammgast werden

Hallo Marc und andere fleissige Helfer ,

eine Frage habe ich noch:

Bei Killbox! tauchte öfter diese Meldung auf:

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 5:01:32 PM

Ich vermute hier versucht Malware ihr eigenes Löschen zu vermeiden, oder?


Danke,

mji



hier der komplette Log von Killbox:
Killbox Closed(Exit) @ 11:44:24 AM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as MJI(Administrator)
was started @ Sonntag, April 23, 2006, 5:00 PM

# 1 [Replace on Delete]
Path = c:\windows\system32\dmhnr.exe
*Replaced with C:\Dokumente und Einstellungen\mji\Lokale Einstellungen\Temp\kbdummy.1

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 5:01:32 PM
# 2 [Files to Delete]
Path = c:\windows\system32\dmhnr.exe
*This file does not seem to exist

# 3 [Delete on Reboot]
Path = c:\windows\system32\dmhnr.exe
*This file does not seem to exist

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 5:02:08 PM
# 4 [Delete on Reboot]
Path = c:\windows\system32\test.exe
*This file does not seem to exist

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 5:02:49 PM
Pocket Killbox version 2.0.0.648
Running on Windows XP as MJI(Administrator)
was started @ Sonntag, April 23, 2006, 5:09 PM

# 1 [Files to Delete]
Path = c:\windows\system32\dmhnr.exe
*This file does not seem to exist

# 2 [Delete on Reboot]
Path = c:\windows\system32\dmhnr.exe
*This file does not seem to exist

New Log Created @ Sonntag, April 23, 2006, 5:12 PM