| |
| |||||||
Log-Analyse und Auswertung: bitte um bewertung des logfilesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.08.2007, 20:18
| #1 |
| |  bitte um bewertung des logfiles Hallo allerseits! Ich habe ein großes Problem mit einer Art Malware. Das denke ich zumindest. Das Problem besteht darin, dass im Abstand von einigen Sekunden immer die folgende Seite aufgemacht wird (NICHT DRAUF GEHEN -> ) h**p://demd0.fortunecity.com/ Auf der Seite stand heute mittag noch was von einem Farbkreis und der "Wie alt werden Sie"-Werbung. Jetzt wird darauf hingewiesen, dass es adaware ist. Es steht der folgende Link da und es wird gesagt, dass diese Seite geloggt wurde oder so. h**p://www.spywareinfo.com/articles/hijacked. Ich war auf der Seite, ich fand sie vertrauenswürdig. Weiß jemand ob man dieser Seite vertrauen kann? Ich habe bisher folgendes versucht: Kaspersky 7.0, SpySweeper, Spybot S&D. Das hat im Grunde nichts genutzt, es wurde ab und zu was gefunden, an diesem Problem hat sich jedoch nichts geändert. Ich habe auch Firefox neu installiert und die persönlichen Daten gelöscht. Das hat es auch nicht gebracht. Dann habe ich mit highjackthis gescannt und meiner Meinung nach den/die Übeltäter gefunden. Ich glaube es sind die ersten paar Einträge, die mit R1 oder R0 beginnen. Da steht nämlich auch die Internetadresse, die immer wieder aufgerufen wird. Hier mal der Logfile (wenn diese Art des Postings nicht richtig ist, berichtigt mich bitte): Logfile of HijackThis v1.99.1 Scan saved at 21:15:27, on 01.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\msdl.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Security\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Player\Audio\Winamp\winampa.exe C:\WINDOWS\system32\avgaurd.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe C:\Programme\Brennen und kopieren\DAEMON Tools Pro\DTProAgent.exe C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\PROGRA~1\Webshots\Webshots.scr C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Uni\WLan\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Webroot\Spy Sweeper\SSU.EXE C:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://h **p://demd0.fortunecity.com/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://h **p://demd0.fortunecity.com/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://h **p://demd0.fortunecity.com/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://h **p://demd0.fortunecity.com/search O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2843E1DB-CA97-46C0-B6C0-7D28FAE0C522} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Security\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Brennen und kopieren\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [D-Link AirPlus G] "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" O4 - HKLM\..\Run: [ANIWZCS2Service] "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Player\Audio\Winamp\winampa.exe O4 - HKLM\..\Run: [avgaurd] C:\WINDOWS\system32\avgaurd.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\Brennen und kopieren\DAEMON Tools Pro\DTProAgent.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{D59A72A9-C4EC-4418-82E3-58F3D91D9A5E}: NameServer = 81.14.243.9 81.14.244.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B0BD9A-9AFC-4C73-A894-A3642C3BD780}: NameServer = 192.168.178.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: AddFiltr - Unknown owner - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe (file missing) O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Uni\WLan\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe Die Einträge mit R1 und R0 habe ich gefixt, auch im abgesicherten Modus. Sie sind aber nach jedem Neustart wieder da. Und auch nach dem fixen ohne Neustart öffnet sich immer noch die Seite. Ich bin total am Verzweifeln, ich habe alles getan, was mir eingefallen ist. Ich muss doch wohl wegen sonem Dreck nicht schon wieder formatieren, oder? Bitte, wenn jemand irgendwas weiß, immer her damit. Bitte, bitte. Und wenn irgendwas fehlt oder ich es falsch gepostet habe, bitte sagt es mir, ich ändere es. Danke schonmal an jeden, der es sich durchliest! |
|
01.08.2007, 21:14
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | bitte um bewertung des logfiles Hallo.
__________________Zitat:
C:\WINDOWS\system32\msdl.exe Werte diese Datei bitte mal online bei Virustotal aus und poste sämtliche Ergebnisse inkl. Infos zu Prüfsummen und Dateigröße. Poste bitte auch gleich mal ein Log mit Filelist: Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________ |
|
01.08.2007, 21:55
| #3 | |
| /// Helfer-Team   | bitte um bewertung des logfiles DarkAngel_452, du solltest mMn auch die folgende Datei bei Virustotal prüfen lassen, wie von cosinus beschrieben:
__________________Zitat:
__________________ |
|
01.08.2007, 22:44
| #4 |
| | bitte um bewertung des logfiles danke für eure antworten. die seite gibt es tatsächlich nicht mehr, es kommt aber jetzt was von "not found" und trotzdem ne seite mit müll. hier eure geforderten daten: Online-Auswertung von C:\WINDOWS\system32\msdl.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.2.0 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.08.01 - Avast 4.7.1029.0 2007.08.01 - AVG 7.5.0.476 2007.08.01 VB.IK BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.08.01 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01BACKDOOR.Trojan packed by INARYRES eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5024 2007.08.01 - Ewido 4.0 2007.08.01 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.08.01 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 - Kaspersky 4.0.2.24 2007.08.01 - McAfee 5088 2007.08.01 - Microsoft 1.2704 2007.08.01 - NOD32v2 2431 2007.08.01 probably a variant of Win32/VB.BCO Norman 5.80.02 2007.08.01 - Panda 9.0.0.4 2007.08.01 Suspicious file Prevx1 V2 2007.08.01 - Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.01 - Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.08.01 - Webwasher-Gateway6.0.1 2007.08.01 - weitere Informationen File size: 422329 bytes MD5: d41b0ef398602da5611463ed1e855fb7 SHA1: 0a80b556d14464f39b8a3df8e8299a1d2e4fd93f packers: BINARYRES Online-Auswetung von C:\WINDOWS\system32\avgaurd.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32007.8.2.0 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 HEUR/Malware Authentium 4.93.8 2007.08.01 Possibly a new variant of W32/VB-EMU:VB-Backdoor-HRS-based!Maximus Avast 4.7.1029.0 2007.08.01 - AVG 7.5.0.476 2007.08.01 - BitDefender 7.2 2007.08.01 Generic.Malware.Sdldspg.E4AE50D3 CAT-QuickHeal 9.00 2007.08.01 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 modification of BackDoor.Generic.1420 eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5024 2007.08.01 - Ewido 4.0 2007.08.01 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.08.01 W32/VB-EMU: VB-Backdoor-HRS-based!Maximus F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 - Kaspersky 4.0.2.24 2007.08.01 - McAfee 5088 2007.08.01 - Microsoft 1.2704 2007.08.01 - NOD32v2 2431 2007.08.01 probably unknown NewHeur_PE virus Norman 5.80.02 2007.08.01 - Panda 9.0.0.4 2007.08.01 Suspicious file Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 Mal/Behav-010 Sunbelt 2.2.907.0 2007.08.01 - Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.08.01 - VirusBuster 4.3.26:9 2007.08.01 - Webwasher-Gateway6.0.1 2007.08.01 Heuristic.Malware weitere Informationen File size: 32768 bytes MD5: 7ce49a3b2bcf6a4f13bbcab3de9f24d0 SHA1: 07672679677b0793d69ffd057ec016b34eaaf441 Die File-List-Daten Verzeichnis von C:\ 01.08.2007 22:55 1.560.281.088 pagefile.sys 01.08.2007 22:35 0 23990098.$$$ 31.07.2007 22:27 164 install.dat 15.07.2007 03:52 11.004.972 debug.log Verzeichnis von C:\WINDOWS\system32 01.08.2007 23:00 392.630 perfh009.dat 01.08.2007 23:00 58.930 perfc009.dat 01.08.2007 23:00 405.692 perfh007.dat 01.08.2007 23:00 70.976 perfc007.dat 01.08.2007 23:00 938.224 PerfStringBackup.INI 01.08.2007 22:56 2.422 wpa.dbl 01.08.2007 22:56 55.081 vsconfig.xml 01.08.2007 22:55 51.048 nvapps.xml 01.08.2007 22:55 108.336 mswinsck.ocx 31.07.2007 19:10 32.768 avgnd.exe 31.07.2007 18:00 52.237 jpg.dll 31.07.2007 18:00 53.773 zlib.dll 31.07.2007 13:53 32.768 avgaurd.exe 19.07.2007 22:42 16.184 ssiefr.EXE 19.07.2007 22:42 26.424 wrlzma.dll 19.07.2007 22:42 219.448 WRLogonNtf.dll 17.07.2007 13:01 5.214 jupdate-1.6.0_02-b06.log 12.07.2007 02:22 139.264 javaws.exe 12.07.2007 02:22 69.632 javacpl.cpl 12.07.2007 01:22 135.168 javaw.exe 12.07.2007 01:22 135.168 java.exe Verzeichnis von C:\WINDOWS 01.08.2007 22:56 0 0.log 01.08.2007 22:56 1.682.281 WindowsUpdate.log 01.08.2007 22:55 2.048 bootstat.dat 01.08.2007 21:33 26 Lic.xxx 01.08.2007 21:33 442.638 ntbtlog.txt 31.07.2007 22:52 2.828 SchedLgU.Txt 31.07.2007 22:27 700 win.ini 31.07.2007 19:39 824.902 setupapi.log 31.07.2007 19:09 32.768 avgnd.exe 31.07.2007 13:53 32.768 avgaurd.exe 23.07.2007 11:10 98.304 system32CmdLineExt.dll 23.07.2007 11:02 537 DirectX.log 19.07.2007 22:54 1.521.464 WRSetup.dll 15.07.2007 00:08 529 eReg.dat 07.07.2007 21:35 215 wiadebug.log 07.07.2007 21:12 50 wiaservc.log 01.07.2007 00:25 174.103 setupact.log Verzeichnis von C:\WINDOWS\Prefetch 31.07.2007 22:52 22.284 LOGONUI.EXE-0AF22957.pf 31.07.2007 22:34 31.582 WMIPRVSE.EXE-28F301A9.pf 31.07.2007 22:34 33.078 WMIADAP.EXE-2DF425B2.pf 31.07.2007 22:31 24.268 NVSVC32.EXE-1F9EED18.pf 31.07.2007 22:31 16.558 RUNDLL32.EXE-1857459C.pf 31.07.2007 22:27 26.714 WUAUCLT.EXE-399A8E72.pf 31.07.2007 22:27 17.448 ALG.EXE-0F138680.pf 31.07.2007 22:27 19.658 IMAPI.EXE-0BF740A4.pf Verzeichnis von C:\WINDOWS\tasks 31.07.2007 22:52 6 SA.DAT Verzeichnis von C:\WINDOWS\temp 01.08.2007 23:20 8.192 cch~148b661b8.htp 01.08.2007 23:20 8.192 cch~148b670fe.htp 01.08.2007 23:17 8.192 cch~11bb446ba.htp 01.08.2007 23:17 8.192 cch~11bb432ee.htp 01.08.2007 23:14 8.192 cch~f540fb8d.htp 01.08.2007 23:14 8.192 cch~f540ea1b.htp 01.08.2007 23:08 8.192 cch~a83c560e.htp 01.08.2007 23:08 8.192 cch~a83c66a1.htp 01.08.2007 22:56 409 WGANotify.settings 01.08.2007 22:55 255 WGAErrLog.txt 01.08.2007 22:55 256 ZLT02a11.TMP 01.08.2007 22:55 256 ZLT0068e.TMP 31.07.2007 19:39 1.942.297 dneinst.log 31.07.2007 19:11 0 Upd3B.tmp 31.07.2007 19:10 0 Upd33.tmp 31.07.2007 19:09 0 Upd32.tmp 31.07.2007 19:08 0 Upd2D.tmp 31.07.2007 19:08 0 Upd18.tmp 31.07.2007 19:07 0 Upd15.tmp 31.07.2007 18:30 256 ZLT0188b.TMP 31.07.2007 18:30 256 ZLT06d34.TMP 30.07.2007 21:40 0 UpdA9.tmp 29.07.2007 21:40 0 Upd1F.tmp 28.07.2007 21:00 0 Upd3F.tmp 27.07.2007 21:00 0 Upd14.tmp 26.07.2007 12:07 0 Upd13.tmp 26.07.2007 12:04 256 ZLT03f62.TMP 26.07.2007 12:04 256 ZLT03f5f.TMP 25.07.2007 11:57 0 Upd17.tmp 24.07.2007 11:57 0 UpdEE.tmp 23.07.2007 10:25 0 UpdEB.tmp 21.07.2007 22:36 0 UpdE6.tmp 19.07.2007 14:59 0 UpdE0.tmp 17.07.2007 23:32 0 UpdDF.tmp 16.07.2007 23:02 0 Upd122.tmp 15.07.2007 23:02 0 UpdD6.tmp 14.07.2007 14:23 0 UpdD9.tmp 13.07.2007 14:23 0 UpdC9.tmp 12.07.2007 14:23 0 UpdCC.tmp 11.07.2007 14:23 0 Upd1B3.tmp 10.07.2007 13:22 0 Upd11C.tmp 09.07.2007 12:35 0 UpdC8.tmp 08.07.2007 12:35 0 UpdC7.tmp 07.07.2007 12:08 0 Upd11.tmp 05.07.2007 10:08 0 UpdB4.tmp 04.07.2007 00:02 0 UpdAC.tmp 02.07.2007 23:44 0 UpdF4.tmp 01.07.2007 23:44 0 UpdDD.tmp Verzeichnis von C:\DOKUME~1\NAME\LOKALE~1\Temp 01.08.2007 23:20 123.764 filelist.txt 01.08.2007 23:00 32.284 jusched.log 01.08.2007 22:44 8.026.669 MWAV.LOG 01.08.2007 22:44 262.616 sfdb.dat 01.08.2007 22:26 30.902 mwXface.log 01.08.2007 21:33 626.688 msvcr80.dll 01.08.2007 21:33 548.864 msvcp80.dll 01.08.2007 21:33 241.664 MYDB.DLL 01.08.2007 21:19 16.384 ~DFC9AE.tmp 01.08.2007 21:19 16.384 ~DFB2A7.tmp 01.08.2007 09:24 16.384 ~DF6731.tmp 01.08.2007 09:24 16.384 ~DF5043.tmp 31.07.2007 23:44 16.384 ~DFBA9C.tmp 31.07.2007 23:44 16.384 ~DF8721.tmp 31.07.2007 19:40 3.172.256 kl-install-2007-07-31-19-38-55.log 31.07.2007 19:40 542.719 caevents.log 31.07.2007 19:39 728 KLeaner.log 31.07.2007 19:29 16.384 ~DF4BF0.tmp 31.07.2007 19:11 16.384 ~DF4D27.tmp 31.07.2007 19:11 16.384 ~DF43B1.tmp 31.07.2007 18:40 16.384 ~DFE474.tmp 31.07.2007 18:40 16.384 ~DFD2F4.tmp 31.07.2007 18:33 3.174.336 kl-install-2007-07-31-18-31-51.log 31.07.2007 18:28 78.058 kl-install-2007-07-31-18-26-57.log 31.07.2007 18:26 5.851 plf2A.tmp 31.07.2007 18:22 16.384 ~DF3987.tmp 31.07.2007 18:22 16.384 ~DF395D.tmp 31.07.2007 18:22 16.384 ~DF3933.tmp 31.07.2007 18:22 16.384 ~DF38C5.tmp 31.07.2007 18:22 16.384 ~DF31AB.tmp 31.07.2007 18:22 16.384 ~DF2A34.tmp 31.07.2007 18:01 16.384 ~DFCE5F.tmp 31.07.2007 18:01 16.384 ~DFC790.tmp 31.07.2007 17:38 16.384 ~DF3469.tmp 31.07.2007 17:38 16.384 ~DF3415.tmp 31.07.2007 17:38 16.384 ~DF343F.tmp 31.07.2007 17:38 16.384 ~DF33EA.tmp 31.07.2007 17:34 16.384 ~DF5580.tmp 31.07.2007 17:33 16.384 ~DF4B43.tmp 31.07.2007 13:05 16.384 ~DF4A2D.tmp 31.07.2007 13:05 16.384 ~DF433D.tmp 31.07.2007 10:13 24.315 avp.klb 31.07.2007 10:13 3.124 daily-ex.avc 31.07.2007 10:13 62.299 daily.avc 31.07.2007 10:13 47.710 unp037.avc 31.07.2007 10:13 48.366 unp027.avc 31.07.2007 10:13 69.675 unp002.avc 31.07.2007 10:13 1.582 daily-ec.avc 31.07.2007 10:13 10.178 dailyc.avc 31.07.2007 09:57 1.153.524 File2.sdb 31.07.2007 09:57 157.220 Spyware.sdb 31.07.2007 09:57 243.375 spydb.avs 31.07.2007 09:57 1.236.170 Cid.sdb 31.07.2007 09:57 243.375 spydb.old 31.07.2007 09:57 2.064.636 File1.sdb 31.07.2007 09:57 723.696 Dir.sdb 30.07.2007 23:03 91.298 Chinese.Age 30.07.2007 23:03 110.178 Icelandic.Age 30.07.2007 23:03 115.002 Polish.Age 30.07.2007 23:03 111.897 Finnish.Age 30.07.2007 23:03 116.336 French.Age 30.07.2007 23:03 115.121 Spanish.Age 30.07.2007 23:03 114.940 Spanishl.Age 30.07.2007 23:03 110.860 Romanian.Age 30.07.2007 23:03 114.358 Portuguese.Age 30.07.2007 23:03 122.452 Italian.Age 30.07.2007 23:03 124.890 German.Age 30.07.2007 23:03 124.890 language.ini 30.07.2007 21:20 16.384 ~DF6897.tmp 30.07.2007 21:20 16.384 ~DF61E9.tmp 30.07.2007 16:19 19.192 fa001.avc 29.07.2007 21:43 13.592 temp.ani 29.07.2007 21:43 65.536 drm_dialogs.dll 29.07.2007 21:39 16.384 ~DF835D.tmp 29.07.2007 21:39 16.384 ~DF7BDA.tmp 29.07.2007 16:46 161.792 esupdate.exe 29.07.2007 16:44 43.520 setpriv.exe 29.07.2007 16:39 118.784 avpmhook.dll 29.07.2007 16:12 38.400 unregx.exe 29.07.2007 16:09 1.945.600 msvl64.dll 29.07.2007 16:04 418.368 mwavscan.com 29.07.2007 16:04 418.368 mexe.com 29.07.2007 16:02 143.360 msvlclnt.dll 29.07.2007 15:59 44.096 Getvlist.exe 29.07.2007 13:15 16.384 ~DF4950.tmp 29.07.2007 13:15 16.384 ~DF425A.tmp 28.07.2007 19:16 16.384 ~DF62F2.tmp 28.07.2007 19:16 16.384 ~DF462D.tmp 28.07.2007 17:07 32.756 fa.avc 28.07.2007 17:07 13.539 ext999.avc 28.07.2007 17:07 78.792 ca.avc 28.07.2007 17:07 11.907 ext009.avc 28.07.2007 17:07 37.383 unp031.avc 28.07.2007 17:07 65.450 unp023.avc 28.07.2007 17:07 42.215 unp022.avc 28.07.2007 17:07 30.279 unp024.avc 28.07.2007 17:07 37.859 unp020.avc 28.07.2007 17:07 42.415 unp018.avc 28.07.2007 17:07 117.466 base145.avc 28.07.2007 17:07 53.020 base095.avc 28.07.2007 17:07 48.853 base091.avc 28.07.2007 17:07 42.394 ext003c.avc 28.07.2007 17:07 122.167 base030c.avc 28.07.2007 10:32 16.384 ~DFFE0A.tmp 28.07.2007 10:32 16.384 ~DFF6A4.tmp 28.07.2007 00:46 121 D653F3EC.TMP 27.07.2007 21:00 16.384 ~DF1606.tmp 27.07.2007 21:00 16.384 ~DFFEB5.tmp 27.07.2007 12:46 49.169 ext006.avc 27.07.2007 12:46 48.547 ext001.avc 27.07.2007 12:46 8.376 krn003.avc 27.07.2007 12:46 35.209 krn004.avc 27.07.2007 08:52 16.384 ~DF9592.tmp 27.07.2007 08:52 16.384 ~DF8EE8.tmp 26.07.2007 23:02 3.797 java_install_reg.log 26.07.2007 18:08 16.384 ~DFB920.tmp 26.07.2007 18:08 16.384 ~DFB168.tmp 26.07.2007 18:01 24.883 24089.dmp 26.07.2007 18:01 2.512 330f_appcompat.txt 26.07.2007 16:56 16.384 ~DFC56B.tmp 26.07.2007 16:56 16.384 ~DFB61D.tmp 26.07.2007 12:44 16.384 ~DF7677.tmp 26.07.2007 12:44 16.384 ~DF76CB.tmp 26.07.2007 12:44 16.384 ~DF76A1.tmp 26.07.2007 12:44 16.384 ~DF764D.tmp 26.07.2007 12:42 16.384 ~DFEB9B.tmp 26.07.2007 12:42 16.384 ~DFEBFF.tmp 26.07.2007 12:42 16.384 ~DFEC29.tmp 26.07.2007 12:42 16.384 ~DFEB71.tmp 26.07.2007 12:42 16.384 ~DFE4BE.tmp 26.07.2007 12:42 16.384 ~DFD158.tmp 26.07.2007 12:19 16.384 ~DF6E2A.tmp 26.07.2007 12:19 16.384 ~DF6DD6.tmp 26.07.2007 12:19 16.384 ~DF6DAC.tmp 26.07.2007 12:19 16.384 ~DF6E00.tmp 26.07.2007 12:13 16.384 ~DF6B32.tmp 26.07.2007 12:13 16.384 ~DF6B08.tmp 26.07.2007 12:13 16.384 ~DF6ADE.tmp 26.07.2007 12:13 16.384 ~DF6AB4.tmp 26.07.2007 12:06 16.384 ~DF7CA7.tmp 26.07.2007 12:06 16.384 ~DF719B.tmp 26.07.2007 10:31 41.656 unp038.avc 26.07.2007 10:31 52.126 unp005.avc 26.07.2007 10:31 25.778 unp004.avc 26.07.2007 10:31 50.079 base137.avc 26.07.2007 10:31 4.930 base999.avc 26.07.2007 10:31 49.738 base112.avc 26.07.2007 10:31 49.623 base001.avc 26.07.2007 01:53 16.384 ~DFD1FD.tmp 26.07.2007 01:53 16.384 ~DFCB46.tmp 26.07.2007 01:27 16.384 ~DF4361.tmp 26.07.2007 01:27 16.384 ~DF39CA.tmp 25.07.2007 17:37 16.384 ~DF6CFE.tmp 25.07.2007 17:37 16.384 ~DF5124.tmp 25.07.2007 13:08 16.384 ~DFE7EC.tmp 25.07.2007 13:08 16.384 ~DFE817.tmp 25.07.2007 13:08 16.384 ~DFE841.tmp 25.07.2007 13:08 16.384 ~DFE7C2.tmp 25.07.2007 13:08 16.384 ~DFDF40.tmp 25.07.2007 13:07 16.384 ~DFD810.tmp 25.07.2007 12:46 24.883 61ECC9.dmp 25.07.2007 12:46 2.512 e369_appcompat.txt 25.07.2007 12:45 24.671 61BF70.dmp 25.07.2007 12:45 2.512 b0be_appcompat.txt 25.07.2007 12:26 16.384 ~DFDDE8.tmp 25.07.2007 12:26 16.384 ~DFDE12.tmp 25.07.2007 12:26 16.384 ~DFDDBE.tmp 25.07.2007 12:26 16.384 ~DFDD94.tmp 25.07.2007 11:02 16.384 ~DF442D.tmp 25.07.2007 11:02 16.384 ~DF74E.tmp 24.07.2007 23:40 49.598 ext007.avc 24.07.2007 23:40 49.566 ext005.avc 24.07.2007 23:40 47.424 ext004.avc 24.07.2007 23:40 48.659 unp013.avc 24.07.2007 23:40 49.676 base117.avc 24.07.2007 23:40 49.165 base032.avc 24.07.2007 23:40 49.566 ext001c.avc 24.07.2007 23:40 37.482 krnjava.avc 24.07.2007 11:56 16.384 ~DFFC5F.tmp 24.07.2007 11:56 16.384 ~DFF467.tmp 23.07.2007 21:34 16.384 ~DFE1D7.tmp 23.07.2007 21:34 16.384 ~DFCE1C.tmp 23.07.2007 18:59 16.384 ~DF4B7.tmp 23.07.2007 18:59 16.384 ~DFFD9D.tmp 22.07.2007 12:46 16.384 ~DF30F5.tmp 22.07.2007 12:46 16.384 ~DF2879.tmp 21.07.2007 22:34 16.384 ~DF5479.tmp 21.07.2007 22:34 16.384 ~DF4886.tmp 21.07.2007 17:54 63.011 unp035.avc 21.07.2007 17:54 50.174 base143.avc 20.07.2007 18:08 175.968 phupdn.txt 20.07.2007 17:57 18.427 global.daz 20.07.2007 17:57 52.216 phupdn.txz 20.07.2007 17:13 49.604 base029.avc 20.07.2007 12:12 16.384 ~DF4254.tmp 20.07.2007 12:12 16.384 ~DF393D.tmp 19.07.2007 14:58 16.384 ~DF7999.tmp 19.07.2007 14:58 16.384 ~DF6F88.tmp 18.07.2007 19:22 16.384 ~DFBDB4.tmp 18.07.2007 19:22 16.384 ~DFB535.tmp 18.07.2007 15:24 48.642 ext008.avc 18.07.2007 15:24 47.415 ext003.avc 18.07.2007 15:24 46.810 unp036.avc 18.07.2007 15:24 58.775 unp019.avc 18.07.2007 15:24 23.499 unp000.avc 18.07.2007 15:24 48.410 ext002c.avc 18.07.2007 09:44 16.384 ~DF90B9.tmp 18.07.2007 09:44 16.384 ~DF881C.tmp 17.07.2007 23:30 16.384 ~DF47D3.tmp 17.07.2007 23:30 16.384 ~DF3E4B.tmp 17.07.2007 16:04 384.512 MDownload.exe 17.07.2007 14:18 16.384 ~DFA7EE.tmp 17.07.2007 14:18 16.384 ~DFA7C4.tmp 17.07.2007 14:18 16.384 ~DFA79A.tmp 17.07.2007 14:18 16.384 ~DFA770.tmp 17.07.2007 13:06 51.827 English.Age 17.07.2007 12:59 1.160 jinstall.cfg 17.07.2007 12:55 16.384 ~DF4C53.tmp 17.07.2007 12:55 16.384 ~DF442F.tmp 16.07.2007 17:10 16.384 ~DFAFB2.tmp 16.07.2007 17:10 16.384 ~DFA85D.tmp 16.07.2007 10:20 16.384 ~DF68E8.tmp 16.07.2007 10:20 16.384 ~DF6188.tmp 15.07.2007 23:00 16.384 ~DF8613.tmp 15.07.2007 23:00 16.384 ~DF7EBE.tmp 14.07.2007 23:41 16.384 ~DF7B03.tmp 14.07.2007 23:41 16.384 ~DF74AF.tmp 14.07.2007 20:12 16.384 ~DFCEFB.tmp 14.07.2007 20:12 16.384 ~DFC89B.tmp 14.07.2007 17:48 16.384 ~DF3638.tmp 14.07.2007 17:48 16.384 ~DF2E1F.tmp 14.07.2007 14:02 16.384 ~DFE1E0.tmp 14.07.2007 14:02 16.384 ~DFE20B.tmp 14.07.2007 14:02 16.384 ~DFE1B6.tmp 14.07.2007 14:02 16.384 ~DFE18B.tmp 14.07.2007 12:26 16.384 ~DF387A.tmp 14.07.2007 12:26 16.384 ~DF2E9B.tmp 13.07.2007 13:04 16.384 ~DF4698.tmp 13.07.2007 13:04 16.384 ~DF3F6C.tmp 13.07.2007 09:39 16.384 ~DFBDA8.tmp 13.07.2007 09:39 16.384 ~DFB623.tmp 12.07.2007 21:59 16.384 ~DF6A5D.tmp 12.07.2007 21:59 16.384 ~DF6121.tmp 12.07.2007 19:14 16.384 ~DFB186.tmp 12.07.2007 19:14 16.384 ~DFAA04.tmp 12.07.2007 18:35 3.361 avp_ext.set 12.07.2007 18:35 3.361 avp.set 12.07.2007 18:35 42.264 unp032.avc 12.07.2007 18:35 50.722 base144.avc 12.07.2007 18:35 50.024 base028c.avc 12.07.2007 18:35 50.179 base029c.avc 12.07.2007 12:27 16.384 ~DF4555.tmp 12.07.2007 12:27 16.384 ~DF3D5E.tmp 11.07.2007 11:23 5.012 ASPNETSetup_00003.log 11.07.2007 11:11 16.384 ~DF67BA.tmp 11.07.2007 11:11 16.384 ~DF60F7.tmp 10.07.2007 12:32 120.747 krnunp.avc 09.07.2007 16:31 64.662 unp016.avc 09.07.2007 10:58 16.384 ~DF6381.tmp 09.07.2007 10:58 16.384 ~DF5C0F.tmp 08.07.2007 23:58 16.384 ~DFE472.tmp 08.07.2007 23:58 16.384 ~DFDDA7.tmp 08.07.2007 15:27 16.384 ~DF48FB.tmp 08.07.2007 15:27 16.384 ~DF4925.tmp 08.07.2007 15:27 16.384 ~DF48D1.tmp 08.07.2007 15:27 16.384 ~DF48A7.tmp 08.07.2007 15:26 16.384 ~DFC922.tmp 08.07.2007 15:26 16.384 ~DFC8F8.tmp 08.07.2007 15:26 16.384 ~DFC8A4.tmp 08.07.2007 15:26 16.384 ~DFC8CE.tmp 08.07.2007 09:37 16.384 ~DF8EA9.tmp 08.07.2007 09:37 16.384 ~DF72DF.tmp 07.07.2007 14:43 21.684 gen005.avc 07.07.2007 14:43 23.916 unp021.avc 07.07.2007 14:43 49.550 base031.avc 07.07.2007 12:13 16.384 ~DFEC3C.tmp 07.07.2007 12:13 16.384 ~DFE2C1.tmp 05.07.2007 16:35 16.384 ~DFBA5B.tmp 05.07.2007 16:34 16.384 ~DFAC7B.tmp 05.07.2007 12:18 16.384 ~DF4E65.tmp 05.07.2007 12:18 16.384 ~DF414F.tmp 05.07.2007 10:06 16.384 ~DF21CC.tmp 05.07.2007 10:06 16.384 ~DFF8EA.tmp 05.07.2007 10:05 49.792 unp030.avc 04.07.2007 22:04 48.243 imgad.gif 04.07.2007 12:54 24.842.240 86dc6.msi 04.07.2007 10:08 16.384 ~DFC359.tmp 04.07.2007 10:08 16.384 ~DFBC82.tmp 04.07.2007 00:00 16.384 ~DFBCD4.tmp 04.07.2007 00:00 16.384 ~DFB601.tmp 03.07.2007 17:06 16.384 ~DFC0D1.tmp 03.07.2007 17:06 16.384 ~DFB9FA.tmp 03.07.2007 10:06 55.694 unp006.avc 03.07.2007 10:06 50.255 base142.avc 03.07.2007 10:06 50.270 base027c.avc 02.07.2007 23:35 16.384 ~DF3034.tmp 02.07.2007 23:35 16.384 ~DF29A9.tmp 02.07.2007 16:29 14.400 faristream.ppl 02.07.2007 16:29 14.912 farbuffer.ppl 02.07.2007 16:28 135.168 ScanningProcess.exe 02.07.2007 16:28 65.536 ikave.dll 02.07.2007 16:27 274.432 kave.dll 01.07.2007 14:33 16.384 ~DFB1AB.tmp 01.07.2007 14:33 16.384 ~DFB181.tmp 01.07.2007 14:33 16.384 ~DFB12D.tmp 01.07.2007 14:33 16.384 ~DFB157.tmp 01.07.2007 14:22 16.384 ~DFB8B6.tmp 01.07.2007 14:22 16.384 ~DFB200.tmp 01.07.2007 00:26 23.386 btwinlog.txt wenn euch das weiter hilft würde ich mich sehr freuen. das was ich da von backdoor und so gelesen habe, hört sich ja nicht geerade gut an  edit: die zeilen sind wieder alle verrutscht...ich hoffe ihr könnt es irgendwie lesen |
|
01.08.2007, 22:52
| #5 | ||
| /// Helfer-Team | bitte um bewertung des logfilesZitat:
Zitat:
 Ferner würde ich versuchen, die beiden Dateien, die du bereits bei Virustotal gescannt hast, an drei, vier AV-Hersteller zur Prüfung einzusenden (auch daz gibt es Hinweise in den FAQ) und deren Antworten hier zu posten.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
02.08.2007, 11:52
| #6 |
| | bitte um bewertung des logfiles das scannen habe ich leider noch nicht geschafft, aber ich habe das böse programm gefunden...das, was die seiten immer wieder aufmacht. und zwar habe ich aus nem ganz anderen grund meinen taskmanager geöffnet und da war ein programm namens "project1". das habe ich beendet und jetzt öffnen sich keine seiten mehr. natürlich ist das keine dauerlösung. kennt jemand sonen mistding, dass sich project1 nennt? also klingelst da vllt bei irgendwem und er hat die perfekte lösung für mich? |
|
02.08.2007, 20:33
| #7 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | bitte um bewertung des logfiles C:\WINDOWS\system32\ssiefr.EXE Werte diese Datei bitte auch mal bei Virustotal aus, die kommt mir nämlich nicht ganz koscher vor. Die zuvor ausgewertete Datei solltest du schon mal löschen, geh bitte so vor: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. 6.) Besorg dir bitte auch Blacklight, lass das System scannen und poste den Bericht. 7.) Befreie dein System mit Hilfe des CCleaner von unnötigen Tempfiles. 8.) Neues Log von Filelist erstellen und posten. Bitte in dieser Reihenfolge abarbeiten. Project1.exe könnte übrigens dieser hier sein. Ich wär übrigens auch dafür, die Datei avgaurd.exe an die AV-Labs einzusenden. Wenn du magst, kannst du sie auch Markus (mmk) oder mir senden. Die Datei als Zip verschlüsselt senden, Passwort nat. der Zip in den body der mail! Achso, nachdem du sie mit dem Avenger gelöscht hast, befindet sie sich in im Backup von Avenger unter C:\avenger\backup.zip 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu bitte um bewertung des logfiles |
| adobe, antivir, avgnt, avgnt.exe, bho, browser, explorer, firefox, firefox neu, highjackthis, hijackthis, immer wieder, internet explorer, logfile, monitor, mozilla, mozilla firefox, neustart, nvidia, problem, rundll, security, sekunden, senden, shortcut, software, solution, system, träge, webroot, windows, windows xp, wlan, öffnet |
Linear-Darstellung
