Hijacker eingefangen ! benötige dringend Hilfe

diabolis01 · 27.06.2006, 09:15

Hallo ,

es scheint so als hätte ich mir auf meinem Rechner einen Virus eingefangen !
Die Startseite im IE steht auf about:blank und lässt sich auch nicht mehr ändern ! Ausserdem werden von meinem Virenscanner immer wieder zwei trojaner angezeigt.... ! Dldr.Sagem und Agent.QT.19 ! ist wahrscheinlich Spyware oder ? habe schon etliche scanner drüber laufen lassen aber keiner hats raus bekommen ! kann mir jemand sagen was ich machen kann ?

Habe mich auch schon mit hijack this befasst und Poste nun mal die Logfiles
Kann mir jemand sagen welche ich löschen muss ???

Logfile of HijackThis v1.99.1
Scan saved at 10:11:27, on 27.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\RAINER~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: START_PAGE_URL=http://www.rtl.de/net
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/158949a974f60e77bb21/netzip/RdxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38342E3A-563A-433E-A8C6-CDB10FEDF831}: NameServer = 195.50.140.250 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{46CCEC6E-4DD5-4A89-A551-CE9616A5890A}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\rundll32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

Vielen Dank für die schnelle hilfe !!!!

BataAlexander · 27.06.2006, 09:34

Hallo,

lade Smitfraudfix gehe wie unter Reinigung beschrieben vor und poste das Logfile dann hier.

fixe mittels HJT im abgesicherten Modus:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\rundll32.dll

Scanne die Datei

C:\WINDOWS\system32\rundll32.dll
C:\WINDOWS\explorer.exe

online bei virustotal und poste das Ergebnis hier.

Dannach sehen wir weiter.

Gruß

Schrulli

diabolis01 · 27.06.2006, 10:40

Hi Schrulli,

habe nun alle durchgeführt !

Hier die Logfile von Smitfraudfix:

SmitFraudFix v2.65

Scan done at 11:10:41,41, 27.06.2006
Run from C:\Dokumente und Einstellungen\Rainer Simmat\Desktop\Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Hier die ergebnisse vom Online Virus check:

STATUS: FINISHED
Complete scanning result of "rundll32.exe", received in VirusTotal at 06.27.2006, 11:21:51 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.16 06.27.2006 no virus found
Authentium 4.93.8 06.26.2006 no virus found
Avast 4.7.844.0 06.26.2006 no virus found
AVG 386 06.26.2006 no virus found
BitDefender 7.2 06.27.2006 no virus found
CAT-QuickHeal 8.00 06.26.2006 no virus found
ClamAV devel-20060426 06.26.2006 no virus found
DrWeb 4.33 06.27.2006 no virus found
eTrust-InoculateIT 23.72.50 06.27.2006 no virus found
eTrust-Vet 12.6.2277 06.27.2006 no virus found
Ewido 3.5 06.26.2006 no virus found
Fortinet 2.77.0.0 06.27.2006 no virus found
F-Prot 3.16f 06.26.2006 no virus found
Ikarus 0.2.65.0 06.27.2006 no virus found
Kaspersky 4.0.2.24 06.27.2006 no virus found
McAfee 4793 06.26.2006 no virus found
Microsoft 1.1481 06.27.2006 no virus found
NOD32v2 1.1627 06.27.2006 no virus found
Norman 5.90.21 06.27.2006 no virus found
Panda 9.0.0.4 06.26.2006 no virus found
Sophos 4.07.0 06.27.2006 no virus found
Symantec 8.0 06.27.2006 no virus found
TheHacker 5.9.8.165 06.26.2006 no virus found
UNA 1.83 06.26.2006 no virus found
VBA32 3.11.0 06.26.2006 no virus found
VirusBuster 4.3.7:9 06.27.2006 no virus found
Aditional Information
File size: 33792 bytes
MD5: 9082ad264d95541ddc7cb2ac6513dc0d
SHA1: 59b60f0633c283feb42e5d30aea54d6c4555d176
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
STATUS: FINISHED
Complete scanning result of "explorer.exe", received in VirusTotal at 06.27.2006, 11:31:05 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.16 06.27.2006 no virus found
Authentium 4.93.8 06.26.2006 no virus found
Avast 4.7.844.0 06.26.2006 no virus found
AVG 386 06.26.2006 no virus found
BitDefender 7.2 06.27.2006 no virus found
CAT-QuickHeal 8.00 06.26.2006 no virus found
ClamAV devel-20060426 06.26.2006 no virus found
DrWeb 4.33 06.27.2006 no virus found
eTrust-InoculateIT 23.72.50 06.27.2006 no virus found
eTrust-Vet 12.6.2277 06.27.2006 no virus found
Ewido 3.5 06.26.2006 no virus found
Fortinet 2.77.0.0 06.27.2006 no virus found
F-Prot 3.16f 06.26.2006 no virus found
Ikarus 0.2.65.0 06.27.2006 no virus found
Kaspersky 4.0.2.24 06.27.2006 no virus found
McAfee 4793 06.26.2006 no virus found
Microsoft 1.1481 06.27.2006 no virus found
NOD32v2 1.1627 06.27.2006 no virus found
Norman 5.90.21 06.27.2006 no virus found
Panda 9.0.0.4 06.26.2006 no virus found
Sophos 4.07.0 06.27.2006 no virus found
Symantec 8.0 06.27.2006 no virus found
TheHacker 5.9.8.165 06.26.2006 no virus found
UNA 1.83 06.26.2006 no virus found
VBA32 3.11.0 06.26.2006 no virus found
VirusBuster 4.3.7:9 06.27.2006 no virus found
Aditional Information
File size: 1035264 bytes
MD5: 22fe1be02eadde1632e478e4125639e0
SHA1: 1d220a818eb52f5895de1c2cec9db8cf9c67c189
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

Die beiden Einträge habe ich mit HJT gefixt !!!

Wie sieht es aus ??? Ernst aber nicht Hoffnungslos ?

Schon mal vielen Dank für die Hilfe !

Gruß

Daniel

BataAlexander · 27.06.2006, 10:54

Hallo,

ich bin mir unsicher, wenn es wirklich dieser ist, siehts blöd aus.
Führe eine Scan mit Blacklight aus und poste das Log hier.

Dannach lasse einen Online Scan laufen

Zitat:

Zitat von Wildone

Macht zur Kontrolle noch einmal einen Onlinescan bei Panda dies muss mit dem IE geschehen, da ActiveX hierfür von Nöten ist.

Gruß

Schrulli

diabolis01 · 27.06.2006, 13:31

Hi Schrulli,

hier der Report von F-secure

Scan-Bericht
Dienstag, 27. Juni 2006 12:56:31 - 13:45:23
Computername: HEIDI
Scan-Methode: Computer vollständig überprüfen
Ziel: C:\ D:\

--------------------------------------------------------------------------------

Ergebnis
Keine Malware gefunden

--------------------------------------------------------------------------------

Statistiken
Gescannt:
Dateien: 29980
Systemregistrierung: 0
Nicht gescannt: 93
Ergebnis:
Viren: 0
Spyware: 0
Verdächtige Elemente: 0
Aktionen:
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Unter Quarantäne gestellt: 0
Fehlgeschlagen: 0
Boot-Sektoren:
Gescannt: 1
Infiziert: 0
Verdächtige Elemente: 0
Desinfiziert: 0
Dateien, nicht gescannt:
Datei C:\hiberfil.sys kann nicht geöffnet werden.
Datei C:\pagefile.sys kann nicht geöffnet werden.
Datei C:\WINDOWS\system32\config\default kann nicht geöffnet werden.
Datei C:\WINDOWS\SoftwareDistribution\EventCache\{24767DE3-72BD-41C0-AF0A-4CDF752CC7BC}.bin kann nicht geöffnet werden.
Datei im Archiv C:\WINDOWS\inf\oem24.inf kann nicht geöffnet werden.
Scannen von C:\WINDOWS\Driver Cache\i386\driver.cab wurde abgebrochen. [F-Secure AVP]
Scannen von C:\Programme\F-Secure Internet Security\backweb\4476822\Users\Default\Data\11d1\1060a610\pex_6.12-90.jar wurde abgebrochen. [F-Secure AVP]
Datei im Archiv C:\Programme\Ahead\InCD\GAA.BIN kann nicht geöffnet werden.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin1.zip\AdRoar.dll ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin10.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin2.zip\ARUpdate.exe ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin3.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin4.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin5.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin6.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin7.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin8.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdRoarPlugin9.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip\related.htm ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchSmartSearch.zip\explore.exe ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor.zip\cd_clint.dll ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor1.zip\cd_clint.dll ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor2.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor3.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor4.zip\B_371_0_1_531500.gif ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor5.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DelfinProject.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DelfinProject1.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DelfinProject2.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DelfinProject3.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DelfinProject4.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DelfinProject5.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit10.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit11.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit12.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit13.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit14.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit15.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit16.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit17.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit18.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit19.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit20.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit21.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit22.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit23.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit24.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit25.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit26.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit27.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit28.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit29.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit30.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit31.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit32.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit33.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit34.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eUniverseIncrediFind.zip\BHO/date.txt ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eUniverseIncrediFind1.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eUniverseIncrediFind2.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eUniverseIncrediFind3.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eUniverseIncrediFind4.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eUniverseIncrediFind5.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Ferret.zip\toolbar.dll ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GroksterTopsearch.zip\TopSearch.dll ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\KeenValueeUniverseMyFreeCursors.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\KeenValueeUniverseMyFreeCursors1.zip\wupdater.exe ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\KeenValueeUniverseMyFreeCursors2.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\KeenValueeUniverseMyFreeCursors3.zip\data1.dat ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\KeenValuePerfectNav.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\KeenValuePerfectNav1.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TurboDownload.zip\IExplore.exe ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TurboDownload1.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates.zip\scri1150a.htm ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates1.zip\WebRebates1.exe ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates2.zip\WebRebates0.exe ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates3.zip\disp1150.exe ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates4.zip\sbRecovery.reg ist verschlüsselt.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates5.zip\Ap1150/merc1167.dat ist verschlüsselt.
Datei im Archiv D:\TOOLS\Nero Ver.5.5.10.7\InCD\GAA.BIN kann nicht geöffnet werden.

--------------------------------------------------------------------------------

Optionen
Version der Definitionen:
Viren: 2006-06-27_01
Spyware: 2006-06-19_03
Scan-Module:
F-Secure AVP: 6.00.169, 2006-06-27
F-Secure Libra: 2.03.11, 2006-06-22
F-Secure Orion: 1.02.37, 2006-06-20
F-Secure Draco: 1.00.35, 2006-06-16
Scan-Optionen:
Definierte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Archive scannen
Aktionen:
Viren: Nach Scannen fragen
Spyware: Nach Scannen fragen

--------------------------------------------------------------------------------

Copyright © 1998-2005 Produktunterstützung | Virenprobe an F-Secure senden

Den Panda Scan liefer ich nach !!! läuft noch durch !
Habe immer Anivir im Hintergrund laufen .... der hat sich ständig gemeldet wegen den Trojanern ! Das macht er seit dem ich heute die ersten Schritte durchgeführt habe nicht mehr ! Die Startseite im IE ist auch wieder Okay !!
Melde mich gleich mit dem Panda Scna zurück !

Gruß

Daniel

diabolis01 · 27.06.2006, 13:36

Hier der Online Scan von Panda !!!
VG

Daniel

Ereignis Zustand Standort

Spyware:Cookie/ErrorSafe Nicht desinfiziert C:\Dokumente und Einstellungen\Rainer Simmat\Cookies\rainer simmat@errorsafe[1].txt
Spyware:Cookie/Reliablestats Nicht desinfiziert C:\Dokumente und Einstellungen\Rainer Simmat\Cookies\rainer simmat@stats1.reliablestats[1].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Rainer Simmat\Desktop\Virus_programme\SmitfraudFix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Rainer Simmat\Desktop\Virus_programme\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Rainer Simmat\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für SmitfraudFix.zip\SmitfraudFix\Process.exe
Adware:Adware/BroadcastPC
Nicht desinfiziert C:\Program Files\BTV\btvclean.exe
Adware:Adware/PurityScan
Nicht desinfiziert C:\Programme\Common files\?racle\msconfig.exe
Adware:adware/cydoor
Nicht desinfiziert C:\WINDOWS\system32\cd_clint.dll
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\Process.exe

BataAlexander · 27.06.2006, 14:03

Hallo,

Du hast jetzt F-Secure auf dem Rechner?!

Ich meinte Blacklight, aber nun gut.

Lade Dir Killbox und lösche folgende Dateien mittels delete on Reboot:

C:\ProgramFiles\BTV\ (ganzes Verzeichnis) C:\Programme\Common files\?racle\ (ganzes Verzeichnis)
C:\WINDOWS\system32\cd_clint.dll
C:\WINDOWS\system32\Process.exe

Dannach lade Dir noch mal Smitfraudfix, lösche vorher alle alten Versionen, gehe wie unter Reinigung beschrieben vor und poste dannach den Inhalt der rapport.txt.

Gruß

Schrulli

Hijacker eingefangen ! benötige dringend Hilfe

Log-Analyse und Auswertung: Hijacker eingefangen ! benötige dringend Hilfe