Hallo Spatzkatz,

Zitat:

Was ist mit dem Log von Ewido ?

Der Link ist auf einem Post von früher ....
Spywarequake guggst du hier :
http://virus-protect.org/artikel/spy...warequake.html
Wo wurde den das Zeug gefunden ? Welcher Pfad ?Nicht das du denkst wir sind pingelig,ist halt enorm wichtig die genauen Angaben...
Irrlicht

Hatte ja alles schon laufen lassen (siehe oben). Ewido mache ich jetzt. Melde mich heute oder morgen wieder!

Das Zeug nervt tierisch...

Führe Smitfraudfix wie hier beschrieben aus. Benutze gleich Option 2. Dann postest du die Datei C:\rapport.txt.
Scanne das System mit Rootkitrevealer, während dem Scan nichts machen! Poste danach das Logfile (File>>Safe)

Hier die Rapport.txt:

SmitFraudFix v2.67

Scan done at 22:48:04,98, 16.07.2006
Run from C:\Dokumente und Einstellungen\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ishost.exe Deleted
C:\WINDOWS\system32\ismon.exe Deleted
C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\DOKUME~1\KATHAR~1\Desktop\SpyQuake2.com.lnk Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\KATHAR~1\FAVORI~1\Antivirus Test Online.url Deleted
C:\DOKUME~1\KATHAR~1\STARTM~1\SpyQuake2.com 2.3.lnk Deleted
C:\DOKUME~1\KATHAR~1\STARTM~1\PROGRA~1\SpyQuake2.com Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"



»»»»»»»»»»»»»»»»»»»»»»»» End

Hier noch das Log-File vom Rootkitreveal:


HKLM\SOFTWARE\Classes\CLSID\{551E7168-6B6B-73F4-2358001EBB1BFA13}\{9EB39097-9AF5-4CC7-A66D04881D6D8211}\{B54D5FC9-25C8-0FB7-F96BD94B39BD18AF}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{564572D7-BA6B-A81E-17332C14105A24EF}\{35AC4256-1B84-66D8-7C4583AC3B4AA35B}\{791C0703-8CF5-813B-67470F66B09458B3}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{702B63A9-DFCB-3E43-C2B76BFD1C9BA57E}\{DAB6776A-2CC2-16F5-322B07855BE30B9F}\{5F22963C-84D9-05FE-828BE8E6312814FD}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{98E28BE4-118A-EA39-3FE2FDF7E232D89B}\{DFE81EF0-16B2-5E63-9055890879FD5BFF}\{9E285E3F-FD34-EDAD-0EA00DDB13898C03}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{D6C53DCC-FBE6-A484-895E707488E1192C}\{427B1CEB-CDC7-050B-E6202C9404952D54}\{86A51E58-9B8E-E4EB-26F8074E7F2FD295}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DCB42C02-2C7E-50EC-E2B5A792F7765BFB}\{38286259-1A12-EDE0-84E2CD6A1D76E8F7}\{2C2658AF-F73E-73C6-89D45D0D6FCCCFF2}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 16.07.2006 22:58 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 16.07.2006 22:58 56 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 16.07.2006 22:58 4 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\AgentEvents\00000285.xml 16.07.2006 23:21 1.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\AgentEvents\00000286.xml 16.07.2006 23:26 1.16 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\jusched.log 16.07.2006 23:06 206 bytes Hidden from Windows API.
C:\System Volume Information\_restore{87EF17FD-DD1A-4CB8-8ED5-EA517EC8BD90}\RP132\A0008935.dll 05.07.2006 10:46 18.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 16.07.2006 21:51 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 16.07.2006 21:51 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 16.07.2006 22:57 64.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\winhab32.dll.vir 05.07.2006 10:46 18.00 KB Visible in Windows API, but not in MFT or directory index.


Was soll ich als nächstes tun!

Ich bin euch für eure Hilfe so dankbar!!!!

Prüfe das System mit F-Secure Blacklight gegen und poste danach das Logfile.
Treten die Probleme noch auf?

vielleicht solltest du mal vor allen deine systemwiederherstellung deaktiveren....

Richtig. Wenn TO Geduld hat, kommen am Ende sowieso noch Vollwaschgang und Deinstallation nicht mehr benötigter Programme

bei der gelegenheit auch den Zlob nicht übersehen...

O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp

Zitat:

Zitat von rock

bei der gelegenheit auch den Zlob nicht übersehen...

O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp

Den kann ich im Log von Post 13 aber nicht mehr erkennen.

stimmt.... !

ich hab nur auf die antworten seit dem ersten log geschaut...da ist es nicht erwähnt worden.

im log aus post 13 wär dann der hier noch übrig glaub ich.

O20 - Winlogon Notify: winhab32 - C:\WINDOWS\SYSTEM32\winhab32.dll

Jetzt lasse TO erst mal wiederkommen. Dann sehen wir weiter.

selbstverständlich..

wollte nur mit winhab32.dll auf eine Trojan/Agent Variante hinweisen.

Zitat:

Zitat von rock

vielleicht solltest du mal vor allen deine systemwiederherstellung deaktiveren....

Lasse gerade das F-secure Blacklight drüber...

Will aber trotzdem wissen, was mit dem obigen gemeint ist... sorry, aber bin doch ne Frau...

Nicht benutzte Programme werden regelmäßig gelöscht. Das der Trojaner auf meinen Rechner kam ist absolut meine Schuld und ich weiß auch wie - war einfach dumm... Momentan merke ich nix mehr, aber letztes Mal war es genauso und ich hatte das Gefühl, daß nach dem Neustart der trojaner wieder zu geschlagen hat...

Ich poste dann das Logfile...

Für mich sind diese Logfiles wirklich nur bömische Dörfer http://www.trojaner-board.de/images/smilies/confused.gif
- bin echt dankbar für eure Hilfe!!!

F-secure Blacklight hat nix gefunden!

Die Probleme tauchen momentan auch nicht auf...