Trojan.Ntrootkit.y gefunden!!!

-=Gold=-=Edition=- · 03.02.2007, 23:54

Hi Leute,
ich habe mal meinen Anti Viren scanner durchlaufen lassen, und der hat in dem Verzeichniss C:\Windows und C:\Windows\system32 die Datei intercept.dll als infiziert abgezeigt. Der Scanner kann die Datei weder desinfizieren, noch löschen, und ich weiss auch nicht, ob die Datei für Windows wichtig ist, und ob ich sie löschen darf...

Bitte um eure Hilfe
ps wenn ihr meine logfile von HijackThis braucht, dann poste ich sie euch..

Danke im vorraus

fixxing_bob · 04.02.2007, 02:17

Lad die Datei doch hier hoch und lass sie überprüfen.

nochdigger · 04.02.2007, 08:19

mOIn auch

ja poste das HijackThis Log mal hierher und erstelle dazu noch eines mit Smidfraudfix Option 1, poste es ebenfalls (zu finden unter C:\rapport.txt).

MFG

-=Gold=-=Edition=- · 04.02.2007, 13:23

STATUS: FINISHEDComplete scanning result of "intercept.dll", received in VirusTotal at 02.04.2007, 13:10:29 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.03.2007 no virus found
Authentium 4.93.8 02.03.2007 no virus found
Avast 4.7.936.0 02.03.2007 no virus found
AVG 386 02.04.2007 no virus found
BitDefender 7.2 02.04.2007 no virus found
CAT-QuickHeal 9.00 02.03.2007 no virus found
ClamAV devel-20060426 02.03.2007 no virus found
DrWeb 4.33 02.04.2007 no virus found
eSafe 7.0.14.0 02.03.2007 no virus found
eTrust-InoculateIT 30.4.3364 02.02.2007 no virus found
eTrust-Vet 30.3.3366 02.03.2007 no virus found
Ewido 4.0 02.03.2007 no virus found
Fortinet 2.85.0.0 02.04.2007 no virus found
F-Prot 4.2.1.29 02.03.2007 no virus found
Ikarus T3.1.0.31 02.04.2007 no virus found
Kaspersky 4.0.2.24 02.04.2007 no virus found
McAfee 4955 02.02.2007 no virus found
Microsoft 1.2101 02.04.2007 no virus found
NOD32v2 2035 02.03.2007 no virus found
Norman 5.80.02 02.02.2007 no virus found
Panda 9.0.0.4 02.04.2007 no virus found
Prevx1 V2 02.04.2007 no virus found
Sophos 4.13.0 02.02.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.04.2007 no virus found
TheHacker 6.0.3.162 02.02.2007 no virus found
UNA 1.83 02.03.2007 no virus found
VBA32 3.11.2 02.04.2007 no virus found
VirusBuster 4.3.19:9 02.03.2007 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Dies war der scan von der intercept.dll datei im Verzeichniss
C:\Windows

Jetzt noch der scan von der intercept.dll datei im Verzeichniss
C:\Windows\system32

STATUS: FINISHEDComplete scanning result of "intercept.dll", received in VirusTotal at 02.04.2007, 13:16:38 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.03.2007 no virus found
Authentium 4.93.8 02.03.2007 no virus found
Avast 4.7.936.0 02.03.2007 no virus found
AVG 386 02.04.2007 no virus found
BitDefender 7.2 02.04.2007 no virus found
CAT-QuickHeal 9.00 02.03.2007 no virus found
ClamAV devel-20060426 02.03.2007 no virus found
DrWeb 4.33 02.04.2007 no virus found
eSafe 7.0.14.0 02.03.2007 no virus found
eTrust-InoculateIT 30.4.3364 02.02.2007 no virus found
eTrust-Vet 30.3.3366 02.03.2007 no virus found
Ewido 4.0 02.03.2007 no virus found
Fortinet 2.85.0.0 02.04.2007 no virus found
F-Prot 4.2.1.29 02.03.2007 no virus found
Ikarus T3.1.0.31 02.04.2007 no virus found
Kaspersky 4.0.2.24 02.04.2007 no virus found
McAfee 4955 02.02.2007 no virus found
Microsoft 1.2101 02.04.2007 no virus found
NOD32v2 2035 02.03.2007 no virus found
Norman 5.80.02 02.02.2007 no virus found
Panda 9.0.0.4 02.04.2007 no virus found
Prevx1 V2 02.04.2007 no virus found
Sophos 4.13.0 02.02.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.04.2007 no virus found
TheHacker 6.0.3.162 02.02.2007 no virus found
UNA 1.83 02.03.2007 no virus found
VBA32 3.11.2 02.04.2007 no virus found
VirusBuster 4.3.19:9 02.03.2007 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Bei beiden wurde kein Virus gefunden, aber ich frage mich immernoch, warum meine AntiVirensoftware (G-Data) einen Trojaner findet.
Trojan.Ntrootkit.y heisst der Trojaner.

Danke schon mal für den link, aber habt ihr auch noch eine andere Idee, wie ich herausfinden kann ob es sich um einen Trojaner handel, oder nicht

DANKE im Vorraus!

-=Gold=-=Edition=- · 04.02.2007, 13:38

@ nochdigger

Logfile of HijackThis v1.99.1
Scan saved at 13:25:15, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Gemeinsame Dateien\AOL\1135421987\ee\AOLSoftware.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
D:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
D:\Programme\Blue Soleil\BTNtService.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
c:\programme\gemeinsame dateien\aol\1135421987\ee\services\antiSpywareApp\ver2_0_13\AOLSP Scheduler.exe
c:\programme\gemeinsame dateien\aol\1135421987\ee\aolsoftware.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Programme\tuloxFreeWBE\FreeDict.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kapiland.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll (file missing)
O3 - Toolbar: (no name) - {3F756BC4-26CB-497E-9409-8F09C1850C80} - (no file)
O3 - Toolbar: (no name) - {4ADFE869-0C09-4F41-AD79-A8F1CFA201E8} - (no file)
O3 - Toolbar: (no name) - {2977A961-7304-49C3-9BA5-C957E5277A76} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1135421987\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://F:\Programme\MDT6\InstFred.ocx
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://F:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://F:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://F:\Programme\MDT6\AcPreview.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\Blue Soleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Unknown owner - I:\Programme\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
--------------------------------------------------------------------------

Und hier die Logfile von SmitFraudFix:

SmitFraudFix v2.138

Scan done at 13:34:33,35, 04.02.2007
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

nochdigger · 04.02.2007, 14:15

Hallo

mach bitte alle versteckten Datein und Ordner sichtbar dann lade dir mal die KillBox runter und entpacke es in einen eigenen Ordner.
Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken)
Starte die Killbox und wähle "Delete on Reboot", dann kopiere folgende Pfade in das weiße Feld :

C:\Windows\intercept.dll
C:\Windows\system32\intercept.dll

--> rotes X anklicken --> die folgende Frage mit "JA" und die nächste mit "NEIN" beantworten
--> nächsten Pfad einfügen usw. --> erst wenn du bei der letzten Datei angekommen bist, beantworte beide Fragen mit "JA" und dein Rechner wird Neustarten nun wieder in den normalen Modus.
Killbox legt für gewöhnlich Kopien der gelöschten Dateien im Killboxordner ab, lade diese Dateien erneut bei Virustotal hoch und poste die Ergebnisse.

MFG

-=Gold=-=Edition=- · 04.02.2007, 14:45

HI,
ich bin deinen anweisungen gefolgt, und dabei dieses Ergebniss:

STATUS: FINISHEDComplete scanning result of "intercept.dll", received in VirusTotal at 02.04.2007, 14:39:24 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.04.2007 no virus found
Authentium 4.93.8 02.03.2007 no virus found
Avast 4.7.936.0 02.03.2007 no virus found
AVG 386 02.04.2007 no virus found
BitDefender 7.2 02.04.2007 no virus found
CAT-QuickHeal 9.00 02.03.2007 no virus found
ClamAV devel-20060426 02.03.2007 no virus found
DrWeb 4.33 02.04.2007 no virus found
eSafe 7.0.14.0 02.03.2007 no virus found
eTrust-InoculateIT 30.4.3364 02.02.2007 no virus found
eTrust-Vet 30.3.3366 02.03.2007 no virus found
Ewido 4.0 02.04.2007 no virus found
Fortinet 2.85.0.0 02.04.2007 no virus found
F-Prot 4.2.1.29 02.03.2007 no virus found
Ikarus T3.1.0.31 02.04.2007 no virus found
Kaspersky 4.0.2.24 02.04.2007 no virus found
McAfee 4955 02.02.2007 no virus found
Microsoft 1.2101 02.04.2007 no virus found
NOD32v2 2035 02.03.2007 no virus found
Norman 5.80.02 02.02.2007 no virus found
Panda 9.0.0.4 02.04.2007 no virus found
Prevx1 V2 02.04.2007 no virus found
Sophos 4.13.0 02.02.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.04.2007 no virus found
TheHacker 6.0.3.162 02.02.2007 no virus found
UNA 1.83 02.03.2007 no virus found
VBA32 3.11.2 02.04.2007 no virus found
VirusBuster 4.3.19:9 02.03.2007 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Ich habe mal ne frage und zwar warum wird bei der virustotal analyse file size: 0 byte angezeigt???

nochdigger · 04.02.2007, 15:05

Hallo

Lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

MFG

-=Gold=-=Edition=- · 04.02.2007, 15:22

----- Root -----------------------------
Datentr„ger in Laufwerk E: ist Lokaler Datentr„ger
Volumeseriennummer: B86F-C126

Verzeichnis von E:\filelist

04.02.2007 15:12 2.270 filelist.bat
1 Datei(en) 2.270 Bytes
0 Verzeichnis(se), 40.747.249.664 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60E3-2094

Verzeichnis von C:\WINDOWS

04.02.2007 15:14 0 0.log
04.02.2007 15:14 2.042.042 WindowsUpdate.log
04.02.2007 15:14 2.048 bootstat.dat
04.02.2007 15:13 32.500 SchedLgU.Txt
04.02.2007 15:00 1.080 win.ini
04.02.2007 15:00 256 system.ini
04.02.2007 14:32 203.772 ntbtlog.txt
03.02.2007 16:31 746.308 iis6.log
03.02.2007 16:31 223.781 comsetup.log
03.02.2007 16:31 136.597 ntdtcsetup.log
03.02.2007 16:31 305.429 tsoc.log
03.02.2007 16:31 111.662 netfxocm.log
03.02.2007 16:31 1.891 imsins.log
03.02.2007 16:31 36.228 ocmsn.log
03.02.2007 16:31 31.228 tabletoc.log
03.02.2007 16:31 330.175 ocgen.log
03.02.2007 16:31 46.732 medctroc.Log
03.02.2007 16:31 32.999 msgsocm.log
03.02.2007 16:31 632.117 FaxSetup.log
03.02.2007 16:30 205.356 msmqinst.log
03.02.2007 16:30 167.422 setupact.log
02.02.2007 22:57 229 NeroDigital.ini
29.01.2007 19:14 85.992 wmsetup.log
29.01.2007 17:51 55.914 setupapi.log
28.01.2007 14:53 1.269 IE4 Error Log.txt
27.01.2007 21:58 121 GEARInstall.log
27.01.2007 20:31 4.254 mozver.dat
26.01.2007 17:25 4.980 desctemp.dat
21.01.2007 19:11 33.477 DirectX.log
18.01.2007 21:12 50 wiaservc.log
18.01.2007 21:12 216 wiadebug.log
14.01.2007 12:20 73.216 cadkasdeinst01.exe
10.01.2007 19:04 1.374 imsins.BAK
10.01.2007 19:04 10.555 KB929969.log
04.01.2007 01:49 9.292 super.chm
-----------------------------------------------------
Verzeichnis von C:\WINDOWS\system

07.07.2005 21:30 30.544 dib.drv
07.07.2005 21:30 133.200 cncs.dll
-----------------------------------------------------
Verzeichnis von C:\WINDOWS\system32

04.02.2007 15:14 88.350 nvapps.xml
04.02.2007 13:34 0 tmp.txt
04.02.2007 13:34 3.004 tmp.reg
02.02.2007 18:20 2.206 wpa.dbl
01.02.2007 05:56 823.296 divx_xx07.dll
01.02.2007 05:56 823.296 divx_xx0c.dll
01.02.2007 05:56 802.816 divx_xx11.dll
01.02.2007 05:56 639.066 DivX.dll
01.02.2007 05:55 679.936 divxdec.ax
31.01.2007 22:27 4.816 divxsm.tlb
31.01.2007 22:27 524.288 DivXsm.exe
31.01.2007 00:15 118.784 DivXCodecUpdateChecker.exe
30.01.2007 06:03 10.152 dsm_de.qm
30.01.2007 06:03 3.596.288 qt-dx331.dll
30.01.2007 05:56 73.728 dpl100.dll
30.01.2007 05:56 352.401 DivXMedia.ax
27.01.2007 20:50 321.928 FNTCACHE.DAT
27.01.2007 20:08 176.167 rmoc3260.dll
27.01.2007 20:08 5.632 pndx5032.dll
27.01.2007 20:08 6.656 pndx5016.dll
27.01.2007 20:08 278.528 pncrt.dll
26.01.2007 02:19 183.032 pxmas.dll
26.01.2007 02:19 72.440 pxhpinst.exe
26.01.2007 02:19 379.640 pxwave.dll
26.01.2007 02:19 502.520 pxdrv.dll
26.01.2007 02:19 1.329.912 pxsfs.dll
26.01.2007 02:19 116.472 pxcpyi64.exe
26.01.2007 02:19 118.520 pxinsi64.exe
26.01.2007 02:19 527.096 px.dll
26.01.2007 02:19 64.760 pxcpya64.exe
26.01.2007 02:19 64.760 pxinsa64.exe
26.01.2007 02:19 129.784 pxafs.dll
26.01.2007 02:19 39.672 vxblock.dll
26.01.2007 02:18 1.044.480 libdivx.dll
26.01.2007 02:18 200.704 ssldivx.dll
26.01.2007 02:13 196.608 dtu100.dll
26.01.2007 02:13 53.248 dpuGUI10.dll
26.01.2007 02:13 593.920 dpuGUI11.dll
26.01.2007 02:13 344.064 dpus11.dll
26.01.2007 02:13 57.344 dpv11.dll
26.01.2007 02:13 294.912 dpu10.dll
26.01.2007 02:13 294.912 dpu11.dll
03.01.2007 00:19 10.980.776 MRT.exe
---------------------------------------------------
Verzeichnis von C:\WINDOWS\Prefetch

04.02.2007 15:13 30.358 LOGONUI.EXE-0AF22957.pf
04.02.2007 15:12 50.062 CCLEANER.EXE-17ADB38C.pf
04.02.2007 15:11 97.692 AVGAS.EXE-12ADBC91.pf
04.02.2007 15:11 80.102 AVK.EXE-2E6FA0AF.pf
04.02.2007 15:11 11.884 VERCLSID.EXE-3667BD89.pf
04.02.2007 15:10 8.272 HPZSTW09.EXE-198F12E2.pf
04.02.2007 15:10 28.390 HPZSTC09.EXE-3AFDDA16.pf
04.02.2007 15:10 20.004 HPDARC.EXE-25DD680A.pf
04.02.2007 15:10 17.254 HPZENG09.EXE-21FF5F4F.pf
04.02.2007 15:03 61.178 ONVIRUSXP.EXE-19B6415B.pf
04.02.2007 15:03 10.652 ONVIRUS.EXE-3258F7E3.pf
04.02.2007 15:03 125.672 IEXPLORE.EXE-2CA9778D.pf
04.02.2007 15:03 68.918 WUAUCLT.EXE-399A8E72.pf
04.02.2007 15:03 1.429.364 NTOSBOOT-B00DFAAD.pf
04.02.2007 14:56 25.118 MSCONFIG.EXE-35E4DAE9.pf
04.02.2007 14:55 151.370 WMIPRVSE.EXE-28F301A9.pf
04.02.2007 14:15 68.326 ICQLITE.EXE-01822910.pf
04.02.2007 13:35 27.046 FREEDICT.EXE-145BB493.pf
04.02.2007 13:34 11.650 FIND.EXE-0EC32F1E.pf
04.02.2007 13:34 22.520 CSCRIPT.EXE-1C26180C.pf
04.02.2007 13:34 13.442 CMD.EXE-087B4001.pf
04.02.2007 13:30 27.458 SMITFRAUDFIX.EXE-2D1E7000.pf
04.02.2007 13:25 105.080 NOTEPAD.EXE-336351A9.pf
04.02.2007 13:25 17.178 HIJACKTHIS.EXE-375DC4F0.pf
04.02.2007 13:08 91.672 TASKMGR.EXE-20256C55.pf
04.02.2007 00:18 84.766 DFRGNTFS.EXE-269967DF.pf
04.02.2007 00:18 49.388 MMC.EXE-1EF9AA05.pf
03.02.2007 23:30 71.520 LUCOMS~1.EXE-02DB5950.pf
03.02.2007 23:30 62.590 AUPDATE.EXE-089630E1.pf
03.02.2007 23:30 44.926 NDETECT.EXE-38C3701D.pf
03.02.2007 23:10 24.566 OUTLOOK.EXE-26998F3E.pf
03.02.2007 22:03 65.122 HL.EXE-00C69FBC.pf
03.02.2007 22:02 122.088 HL.EXE-36E5FF45.pf
03.02.2007 22:02 55.320 STEAM.EXE-22171979.pf
03.02.2007 22:00 86.246 WMPLAYER.EXE-09969339.pf
03.02.2007 21:52 25.028 CSC.EXE-1113BFA6.pf
03.02.2007 21:52 6.804 CVTRES.EXE-13DEB540.pf
03.02.2007 21:52 72.474 USENEXT.EXE-1681815B.pf
03.02.2007 21:50 55.108 SOFTWAREUPDATE.EXE-1E90DF1F.pf
03.02.2007 20:47 79.642 FIREFOX.EXE-1D57670A.pf
03.02.2007 19:32 55.252 ALG.EXE-0F138680.pf
03.02.2007 19:32 70.258 NMINDEXINGSERVICE.EXE-19799BA6.pf
03.02.2007 19:32 8.588 WSCNTFY.EXE-1B24F5EB.pf
03.02.2007 16:47 16.706 7ZG.EXE-1175D9D1.pf
03.02.2007 16:31 40.916 RUNDLL32.EXE-45FC4FA2.pf
03.02.2007 16:30 54.976 SYSOCMGR.EXE-31169C54.pf
03.02.2007 16:30 55.434 OSE.EXE-313A091F.pf
03.02.2007 16:27 16.258 CLEANMGR.EXE-1F86EA8E.pf
03.02.2007 16:11 23.782 RUNDLL32.EXE-327ED30F.pf
03.02.2007 16:11 18.372 RUNDLL32.EXE-2A94BB85.pf
03.02.2007 16:11 36.706 RUNDLL32.EXE-2E5AF1D7.pf
03.02.2007 15:41 54.984 XPCLEAN.EXE-1F3E043C.pf
03.02.2007 15:35 8.878 INSHELP.EXE-227675C5.pf
03.02.2007 15:35 31.762 AVP.EXE-0DC668BD.pf
03.02.2007 15:35 37.666 MSIEXEC.EXE-2F8A8CAE.pf
03.02.2007 15:34 59.880 RUNDLL32.EXE-132B2031.pf
03.02.2007 14:39 39.168 IMAPI.EXE-0BF740A4.pf
03.02.2007 14:21 18.592 SETUP.EXE-265BBF1C.pf
03.02.2007 14:21 12.138 KAV6.0.2.614ENTRIAL.EXE-1E305570.pf
03.02.2007 13:47 42.786 ACRORD32INFO.EXE-30CEC19C.pf
03.02.2007 13:33 30.712 DEFRAG.EXE-273F131E.pf
03.02.2007 13:33 697.566 Layout.ini
03.02.2007 13:24 103.296 NTVDM.EXE-1A10A423.pf
03.02.2007 12:21 89.326 AOLSOFTWARE.EXE-228B3558.pf
03.02.2007 12:21 39.828 AOLLAUNCH.EXE-30377E4C.pf
03.02.2007 12:04 37.572 AD-AWARE.EXE-063A652A.pf
03.02.2007 11:05 12.426 CALC.EXE-02CD573A.pf
03.02.2007 10:34 82.862 WINWORD.EXE-218A1AF8.pf
03.02.2007 10:16 13.630 AOLTPSPD.EXE-3850049D.pf
03.02.2007 10:16 12.010 SHELLMON.EXE-1C0146BB.pf
03.02.2007 10:16 75.662 WAOL.EXE-24E2CCAA.pf
03.02.2007 10:16 94.926 AOL.EXE-2202F9A1.pf
03.02.2007 00:12 69.278 AVSDVDPLAYER.EXE-1658C777.pf
03.02.2007 00:08 44.622 FFMPEG.EXE-1A6D3AAC.pf
03.02.2007 00:07 33.912 FFMPEG.EXE-12A5431C.pf
02.02.2007 23:48 36.510 SUPER.EXE-24B7AAB1.pf
02.02.2007 23:21 19.570 RUNDLL32.EXE-1A3F8A4C.pf
02.02.2007 23:11 43.178 DWWIN.EXE-30875ADC.pf
02.02.2007 23:11 173.748 DUMPREP.EXE-1B46F901.pf
02.02.2007 23:07 12.978 AOLNYSEV.EXE-1CC5208B.pf
02.02.2007 23:07 20.916 AOLNYSEV.EXE-26B8BD7B.pf
02.02.2007 23:06 20.556 PCSECURITYTEST.EXE-265F4518.pf
02.02.2007 22:59 62.818 WMPLAYER.EXE-0996933B.pf
02.02.2007 22:57 110.094 WMPLAYER.EXE-0996933A.pf
02.02.2007 22:56 126.458 AOLLOAD.EXE-3B503A56.pf
02.02.2007 22:51 31.422 DIVXSM.EXE-3407AB62.pf
02.02.2007 22:44 25.030 REGSVR32.EXE-25EEFE2F.pf
02.02.2007 22:44 52.268 CONVERTER.EXE-07C40BD4.pf
02.02.2007 22:44 27.986 RUNDLL32.EXE-390B3626.pf
02.02.2007 22:42 26.420 DIVXCOMPONENTINSTALLER.EXE-2E1624C8.pf
02.02.2007 22:41 20.766 PATCHINSTALLER.EXE-237A0CD3.pf
02.02.2007 22:41 14.570 DIVXCONNECTIONTESTER.EXE-0FAB0CBB.pf
02.02.2007 22:35 9.478 DIVXCODECUPDATECHECKER.EXE-37DBCF54.pf
02.02.2007 22:24 13.670 RUNDLL32.EXE-451FC2C0.pf
02.02.2007 20:01 62.874 A2FREE.EXE-0973940C.pf
01.02.2007 21:00 56.668 ACAD.EXE-27C284A9.pf
01.02.2007 20:07 48.488 EVEREST.BIN-244B27D6.pf
01.02.2007 20:07 7.412 EVEREST.EXE-2C3ABCFD.pf
01.02.2007 18:46 57.696 HPWUCLI.EXE-2C988391.pf
01.02.2007 17:47 15.132 WINHLP32.EXE-2C18E975.pf
01.02.2007 17:47 45.192 PCONOFFTIME.EXE-3341369D.pf
31.01.2007 20:06 70.538 UPDATER.EXE-068581D9.pf
31.01.2007 19:31 44.926 BLUESOLEIL.EXE-239DCB5F.pf
31.01.2007 19:30 16.148 RUNDLL32.EXE-1A1B693B.pf
31.01.2007 19:21 74.194 APPLICATIONINSTALLER.EXE-399541B8.pf
31.01.2007 19:21 54.374 GETCONNECTED.EXE-07DA08A9.pf
31.01.2007 19:21 74.940 LAUNCHAPPLICATION.EXE-37608EED.pf
31.01.2007 18:44 20.384 MPAPI3S.EXE-0C517CE6.pf
31.01.2007 18:44 49.600 DATALA~1.EXE-1A4F4FF6.pf
31.01.2007 18:43 31.042 CONNECTIONMANAGER.EXE-037D1A40.pf
31.01.2007 18:39 29.720 SERVIC~1.EXE-22757822.pf
31.01.2007 18:39 10.482 HID2HCI.EXE-066026AE.pf
30.01.2007 16:39 20.124 RUNDLL32.EXE-1851D75D.pf
29.01.2007 19:14 28.192 SETUP_WM.EXE-19AC5A9B.pf
29.01.2007 19:07 37.102 MPLAYER.EXE-247BB0EC.pf
29.01.2007 18:52 14.236 SETUP.EXE-09CD10E3.pf
29.01.2007 18:51 45.406 HH.EXE-2D1A70B3.pf
29.01.2007 18:50 12.148 SUPER2007_B21.EXE-335BFEDC.pf
29.01.2007 18:43 15.982 RUNDLL32.EXE-3930A2D5.pf
29.01.2007 18:23 28.088 HELPSVC.EXE-2878DDA2.pf
29.01.2007 18:06 15.976 RUNDLL32.EXE-43086512.pf
29.01.2007 17:54 77.614 HELPCTR.EXE-3862B6F5.pf
29.01.2007 17:53 19.404 MSINFO32.EXE-20B2F2A1.pf
29.01.2007 17:51 10.762 RUNONCE.EXE-2803F297.pf
29.01.2007 15:25 19.904 SYMBBAUTOREG.EXE-08E6CB5E.pf
29.01.2007 15:25 47.148 MCADAUTOREG.EXE-15C10E4D.pf
28.01.2007 14:53 14.984 SNDVOL32.EXE-383480B7.pf
28.01.2007 14:53 30.492 IEDW.EXE-2D047874.pf
27.01.2007 20:53 64.588 WMPLAYER.EXE-09969338.pf
27.01.2007 20:17 34.568 MSMSGS.EXE-32066BA5.pf
--------------------------------------------------------------
Verzeichnis von C:\WINDOWS\tasks

04.02.2007 15:14 412 Symantec NetDetect.job
04.02.2007 15:14 6 SA.DAT
03.02.2007 21:50 276 AppleSoftwareUpdate.job
--------------------------------------------------------------
Ist das ok?

nochdigger · 05.02.2007, 08:23

Hallo

ich gehe mal davon aus das diese Ordner leer waren --> C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp oder?

Wechsle bitte in den abgesicherten Modus und lösche mit hilfe der Killbox bitte folgende Dateien :

C:\Windows\imsins.bak
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\tmp.reg

starte dein System in den normalen Modus und entferne die gelöschten Dateien aus dem Killboxordner.
Mache bitte ein Update deines G DATA AntiVirenKits und scanne dein System dann berichte ob noch etwas gefunden wird.

MFG

-=Gold=-=Edition=- · 05.02.2007, 16:14

Hi,
ja die beiden Ordner waren leer.

Ich habe aber noch mal eine Frage befor ich dies durchführe und zwar, ich habe ja immernoch diese Datei (intercept.dll, die Probleme macht) im Killbox Ordner. Soll die da bleiben, oder soll ich die wieder an den ursprünglichen Ort: \Windows und \Windows\system32 verschieben, bevor ich diesen Schritt mache, den du mir geschrieben hast?

nochdigger · 05.02.2007, 22:07

Hallo

Zitat:

ich habe ja immernoch diese Datei (intercept.dll, die Probleme macht) im Killbox Ordner. Soll die da bleiben, oder soll ich die wieder an den ursprünglichen Ort: \Windows und \Windows\system32 verschieben

du kannst alle Dateien die wir in den Killboxordner geschafft haben löschen.
Was sagt dein Antivirenprogramm nachdem du die Dateien gelöscht hast?

MFG

-=Gold=-=Edition=- · 06.02.2007, 15:59

Ok, ich habe alle Dateien aus dem Killbox Ordner gelöscht. Mein AV Programm hat dann auch nichts mehr von sich gegeben!

...was soviel bedeutet, wie das mein system wieder clean ist...

Habe auch mal auf anderen Computern geschaut, ob die diese intercept.dll Datei haben, aber die PC haben die nicht!, dass heist, die Datei war NICHT von Windows...

Und hiermit bedanke ich mich RECHTHERZLICH bei dir (ihnen) für die SUPER tolle Hilfe

MfG Denis

nochdigger · 06.02.2007, 23:10

Hallo

Zitat:

Und hiermit bedanke ich mich RECHTHERZLICH bei dir (ihnen) für die SUPER tolle Hilfe

bitte gern für die hilfestellung, nur sprechen sich die Leute in den Foren im allgemeinen immer mit "du" an

.

MFG

-=Gold=-=Edition=- · 09.02.2007, 23:31

Ok danke"!

Trojan.Ntrootkit.y gefunden!!!

Log-Analyse und Auswertung: Trojan.Ntrootkit.y gefunden!!!