Browser Fenster popt auf

inshin · 14.02.2007, 23:56

Hallo,
tja...ich dachte mit 15 Jahren IT Erfahrung kann nix mehr passieren...falsch gedacht.
Mein Problem:
Wenn ich einen Browser starte (FireFox oder IE) popt nach einiger Zeit immer ein weiteres Fenster auf (meist Werbung). Die Anleitung zur Entfernung des Swizzor habe ich schon durchgeführt...kein Erfolg. Bevor ich jetzt mein komplettes System platt mache habe ich noch die Hoffnung, dass mir hier jemand helfen kann.

hier das HiJack Log:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958

danke
GUA
[/edit]

Cleriker · 15.02.2007, 01:30

Sind es immer die gleichen PopUps oder verschiedene?
(wenn gleiche -> welche)
Was hast du bez. des Swizzors.A schon verändert?
(Einträge gelöscht, Programme deinstalliert,...)

gut nacht
Cleriker

big_surfer · 15.02.2007, 09:54

Zitat:

Zitat von inshin

Hallo,
tja...ich dachte mit 15 Jahren IT Erfahrung kann nix mehr passieren...falsch gedacht.
Mein Problem:
Wenn ich einen Browser starte (FireFox oder IE) popt nach einiger Zeit immer ein weiteres Fenster auf (meist Werbung). Die Anleitung zur Entfernung des Swizzor habe ich schon durchgeführt...kein Erfolg. Bevor ich jetzt mein komplettes System platt mache habe ich noch die Hoffnung, dass mir hier jemand helfen kann.

Auch 15 jahre IT Erfahrung reichen anscheinend nicht aus!

Frag dich doch einmal, warum du den Swizzor erhalten hast. Da kann doch etwas in deinen Einstellungen und deiner Einstellung nicht ganz richtig sein. Was nützt es dir also, wenn du einen Trojaner findest und löscht, wenn du dir sofort einen neuen einfängst?

Deswegen hilft nur Plattmachen und vernünftig abgesichert Neuaufsetzen!

Cleriker · 15.02.2007, 11:30

Hi,

Zitat:

Deswegen hilft nur Plattmachen und vernünftig abgesichert Neuaufsetzen

Warte doch mal, wenn es nur der Swizzor ist, ist eine Bereinigung
immer noch möglich. Ich konnte das LogFile gestern noch kurz sehen. Und
die Swizzorproblematik war nicht ersichtlich.

@Inshin:
Erstelle bitte, wie erwähnt, ein neues LogFile mit editierten Links
und mach für einen schnelleren Support gleich folgendes:

Anleitung SmitfraudFix:
Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Arbeiten mit MWAV (eScan):
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

F-Secure Blacklight – Rootkitscanner:
* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

mfg Cleriker

inshin · 15.02.2007, 20:37

Moin Moin,
oha...800 GB Scann dauert. Aber bin fast fertig.

Das sieht allerdings wirklich nicht gut aus. Ich glaube fast der Kolleger Surfer hatte recht, da stimmt etwas mit meinem Sicherheitskonzept nicht. Ich habe, glaube ich, alle Trojaner die es gibt...bin eventuell eine Versuchswiese der Programmierer.

Ich poste die LOGs gleich hier rein

inshin · 15.02.2007, 21:30

Moin Cleriker
hier das HiJack Log:
Logfile of HijackThis v1.99.1
Scan saved at 15:44:47, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
D:\games\steam\steam.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Wisterer HX\WistererHX.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinCmd\TOTALCMD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Deutschland Radio Toolbar - {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - C:\Programme\Deutschland_Radio\tbDeut.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - h**p://w*w.medionshop.de/ (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.aldi.com
O15 - Trusted IP range: 192.168.178.27
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: DirectX Service (DirectWycm) - Unknown owner - C:\WINDOWS\
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

SmitfraudFix:
SmitFraudFix v2.142

Scan done at 15:49:21,18, 15.02.2007
Run from D:\images\___app\internet\trojaner probleme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\dr.exe FOUND !
C:\WINDOWS\user32.exe FOUND !
C:\WINDOWS\Tasks\At1.job FOUND !
C:\WINDOWS\Tasks\At2.job FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\dr.exe~ FOUND !
C:\Programme\serial.dat FOUND !
C:\Programme\serial.zip FOUND !
C:\Programme\user32.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

MWAV (eScan):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Feb 15 15:54:57 2007 => Version 9.1.4
Thu Feb 15 15:53:13 2007 => Virus-Datenbank Datum: 2/14/2007
Thu Feb 15 15:54:31 2007 => Virus-Datenbank Datum: 2/15/2007
Thu Feb 15 21:03:54 2007 => Virus-Datenbank Datum: 2/15/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 15 15:55:30 2007 => System found infected with clipgenie Spyware/Adware (cg.ini)! Action taken: Keine Aktion vorgenommen.
Thu Feb 15 15:55:30 2007 => System found infected with antispywarebox Adware (user32.exe)! Action taken: Keine Aktion vorgenommen.
Thu Feb 15 15:55:31 2007 => System found infected with antispywarebox Adware (user32.exe)! Action taken: Keine Aktion vorgenommen.
Thu Feb 15 15:55:40 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.
Thu Feb 15 15:55:41 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)! Action taken: Keine Aktion vorgenommen.
Thu Feb 15 15:55:42 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.
Thu Feb 15 15:55:42 2007 => System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Feb 15 15:55:01 2007 => File C:\WINDOWS\system32\jkhfg.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:55:01 2007 => File C:\WINDOWS\system32\yayayvs.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.gl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:55:11 2007 => File C:\WINDOWS\system32\Suchspur.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:55:14 2007 => File C:\WINDOWS\system32\Suchspur.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:55:14 2007 => File C:\WINDOWS\system32\yayayvs.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.gl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:55:14 2007 => File C:\WINDOWS\system32\jkhfg.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:55:16 2007 => File C:\WINDOWS\system32\jkhfg.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:55:17 2007 => File C:\WINDOWS\system32\yayayvs.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.gl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:56:04 2007 => Datei C:\WINDOWS\system32\Comclg32.dll markiert als not-a-virus:Monitor.Win32.ParentsFriend.7004. Keine Aktion vorgenommen.
Thu Feb 15 15:56:07 2007 => File C:\WINDOWS\system32\ddcawtq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.gl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:56:16 2007 => File C:\WINDOWS\system32\jkhfg.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:56:37 2007 => File C:\WINDOWS\system32\Suchspur.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 15:56:44 2007 => Datei C:\WINDOWS\system32\winadmd.exe markiert als not-a-virus:Monitor.Win32.ParentsFriend.7004. Keine Aktion vorgenommen.
Thu Feb 15 15:56:44 2007 => Datei C:\WINDOWS\system32\winadmkill.exe markiert als not-a-virus:Monitor.Win32.ParentsFriend.7004. Keine Aktion vorgenommen.
Thu Feb 15 15:56:46 2007 => File C:\WINDOWS\system32\yayayvs.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.gl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 16:04:08 2007 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c7as7erg.default\Cache\0C5F4A29d01//PE_Patch.UPX//SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 18:08:50 2007 => File C:\Programme\Everest Poker\cstart-tmp.exe//PE_Patch.PECompact//PecBundle//PECompact markiert als "not-a-virus:AdWare.Win32.Casino.t". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Feb 15 18:49:30 2007 => Datei C:\Programme\ParentsFriend\pfadmin.exe markiert als not-a-virus:Monitor.Win32.ParentsFriend.7004. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Feb 15 15:55:30 2007 => Offending file found: C:\WINDOWS\cg.ini
Thu Feb 15 15:55:30 2007 => Offending file found: C:\WINDOWS\user32.exe
Thu Feb 15 15:55:31 2007 => Offending file found: C:\Programme\user32.exe
Thu Feb 15 15:55:40 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soliddocuments\installer\solid converter pdf\***\solidsfx_data\install.dat
Thu Feb 15 15:55:41 2007 => Offending file found: C:\WINDOWS\system32\unzip32.dll
Thu Feb 15 15:55:42 2007 => Offending file found: C:\WINDOWS\unvise32.exe
Thu Feb 15 15:55:42 2007 => Offending file found: C:\WINDOWS\tasks\at1.job
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 15 21:03:54 2007 => Gefundene Viren: 55
Thu Feb 15 21:03:54 2007 => Anzahl Fehler: 361
Thu Feb 15 21:03:54 2007 => Dauer des Scans bisher: 05:02:04
Thu Feb 15 21:03:54 2007 => Gescannte Dateien: 138156
Thu Feb 15 15:54:57 2007 => Specherüberprüfung: Aktiviert
Thu Feb 15 15:54:57 2007 => Registry Überprüfung: Aktiviert
Thu Feb 15 15:54:57 2007 => System-Ordner Überprüfung: Aktiviert
Thu Feb 15 15:54:57 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Feb 15 15:54:57 2007 => Überprüfung der Dienste: Aktiviert
Thu Feb 15 15:54:57 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Feb 15 15:54:57 2007 => Überprüfung aller Festplatten :Aktiviert

F-Secure Blacklight – Rootkitscanner:

02/15/07 20:27:07 [Info]: BlackLight Engine 1.0.55 initialized
02/15/07 20:27:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/15/07 20:27:07 [Note]: 7019 4
02/15/07 20:27:07 [Note]: 7005 0
02/15/07 20:27:12 [Note]: 7006 0
02/15/07 20:27:12 [Note]: 7011 1464
02/15/07 20:27:13 [Note]: 7026 0
02/15/07 20:27:13 [Note]: 7026 0
02/15/07 20:28:10 [Note]: FSRAW library version 1.7.1021
02/15/07 21:11:21 [Note]: 4013 26212
02/15/07 21:11:21 [Note]: 4020 11714 65536
02/15/07 21:11:21 [Note]: 4018 11714 65536
02/15/07 21:12:43 [Note]: 4013 26212
02/15/07 21:12:43 [Note]: 4020 11714 65536
02/15/07 21:12:43 [Note]: 4018 11714 65536
02/15/07 21:14:05 [Note]: 7007 0

so...ich bereite schon mal meinen CD-Satz vor

Vielen Dank für Eure Unterstützung

Cleriker · 15.02.2007, 23:02

Hui

da ist ja einiges an Trojanern und nachkommender
Malware auf deinem System plaziert.
Dieser Backdoor sticht ganz besonders ins Auge.
Die Folge ist die Erahnung von Big_Surfer bzw. dir selbst.
Setze nach einer der Verlinkung neu auf und ändere
augrund des Backdoors alle Passwörter bevor du
wieder ins Netz gehst.

mfg Cleriker

inshin · 15.02.2007, 23:50

Yes Sir,
da hilft wohl nix.

Danke für Eure Unterstützung

Browser Fenster popt auf

Log-Analyse und Auswertung: Browser Fenster popt auf