| |
| |||||||
Log-Analyse und Auswertung: Goode olde pop-upsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.08.2007, 12:25
| #1 |
| |  Goode olde pop-ups Hallo Forum! Bekomme staendig nervige Popups! Oeffnet sich sowohl IE (obowhl ich den nicht benutze) als auch manchmal tabs im firefox (hab ich schon neu installiert - nix geholfen) Hab mal die main.txt log von dem DSS tool beigefuegt, die auch eine HijackThis log beinhaltet. Besonders Sorgen macht mir Code:
ATTFilter backup-20070811-124506-496 O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\gyccqtwj.dll",forkonce
Auch die kuerzlich erstellen files Code:
ATTFilter 2007-08-10 09:55:49 0 d-------- C:\WINDOWS\system32\iieldknh
2007-08-08 13:07:22 66112 --a------ C:\WINDOWS\system32\yfkrbnjy.exe
2007-08-07 13:05:09 66112 --a------ C:\WINDOWS\system32\gtkqvgom.exe
2007-08-06 18:48:30 66112 --a------ C:\WINDOWS\system32\pabmuijn.exe
Findet mir bitte raus was ich da hab und wie ich's wegkriegt! Gruss Stefan Code:
ATTFilter Deckard's System Scanner v20070809.63 Run by Stefan on 2007-08-11 at 12:44:26 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- System Restore is disabled; attempting to re-enable...success. -- Last 1 Restore Point(s) -- 1: 2007-08-11 10:44:28 UTC - RP1 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis (run as Stefan.exe) ---------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:46:21, on 11.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe C:\Programme\Siemens\Gigaset USB Stick 54\OdHost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Home\Downloads\dss.exe C:\PROGRA~1\TRENDM~1\HIJACK~1\Stefan.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - C:\WINDOWS\system32\pmnkjgh.dll (file missing) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6D55F78D-57E0-7A56-9975-02E12506D1B4} - C:\Programme\Vdlfmove\buzhcbto.dll (file missing) O2 - BHO: H - {70C872E5-69F5-456f-B809-484106881B7B} - q24m.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {77D4E341-7688-4379-ABAC-4634EB882C9A} - C:\WINDOWS\system32\geebc.dll O2 - BHO: (no name) - {7989EDF5-1179-481F-8C47-897C3653EDE8} - C:\WINDOWS\system32\jkkli.dll (file missing) O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\oyotdmjb.dll (file missing) O2 - BHO: (no name) - {FD2A7D3A-3DA1-4CA5-AD39-B4C3A72B567F} - C:\WINDOWS\system32\hggdcbx.dll (file missing) O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O20 - Winlogon Notify: geebc - C:\WINDOWS\system32\geebc.dll O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\SYSTEM32\winzdn32.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 3778 bytes -- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) ----------- backup-20070811-121253-444 O23 - Service: DomainService - - C:\WINDOWS\system32\urtqkqyr.exe backup-20070811-122821-845 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll backup-20070811-124506-496 O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\gyccqtwj.dll",forkonce -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R3 CBTNDIS5 (CBTNDIS5 NDIS Protocol Driver) - c:\windows\system32\cbtndis5.sys <Not Verified; Printing Communications Assoc., Inc. (PCAUSA); PCAUSA Rawether for Windows> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- S2 Ati HotKey Poller - c:\windows\system32\ati2evxx.exe (file missing) S4 DomainService - c:\windows\system32\urtqkqyr.exe /service (file missing) -- Device Manager: Disabled ---------------------------------------------------- Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318} Description: Audiocontroller für Multimedia Device ID: PCI\VEN_8086&DEV_24C5&SUBSYS_102A1734&REV_02\3&267A616A&0&FD Manufacturer: Name: Audiocontroller für Multimedia PNP Device ID: PCI\VEN_8086&DEV_24C5&SUBSYS_102A1734&REV_02\3&267A616A&0&FD Service: Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318} Description: PCI-Modem Device ID: PCI\VEN_8086&DEV_24C6&SUBSYS_102A1734&REV_02\3&267A616A&0&FE Manufacturer: Name: PCI-Modem PNP Device ID: PCI\VEN_8086&DEV_24C6&SUBSYS_102A1734&REV_02\3&267A616A&0&FE Service: Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: Cisco Systems VPN Adapter Device ID: ROOT\NET\0000 Manufacturer: Cisco Systems Name: Cisco Systems VPN Adapter PNP Device ID: ROOT\NET\0000 Service: CVirtA -- Files created between 2007-07-11 and 2007-08-11 ----------------------------- 2007-08-11 12:22:27 125504 --a------ C:\WINDOWS\system32\gyccqtwj.dll 2007-08-11 12:16:48 75328 --a------ C:\WINDOWS\system32\wcrlkefc.exe <Not Verified; ; DDC> 2007-08-11 12:12:16 0 d-------- C:\Programme\Trend Micro 2007-08-11 11:53:24 0 d-------- C:\Programme\Enigma Software Group 2007-08-11 11:44:47 125504 --a------ C:\WINDOWS\system32\eoqciimw.dll 2007-08-11 11:39:17 75328 --a------ C:\WINDOWS\system32\nrhcyqkf.exe <Not Verified; ; DDC> 2007-08-11 11:10:56 75328 --a------ C:\WINDOWS\system32\xmnfnxrk.exe <Not Verified; ; DDC> 2007-08-10 13:55:42 666619 ---hs---- C:\WINDOWS\system32\cbeeg.ini2 2007-08-10 09:55:49 0 d-------- C:\WINDOWS\system32\iieldknh 2007-08-08 13:07:22 66112 --a------ C:\WINDOWS\system32\yfkrbnjy.exe 2007-08-07 13:05:09 66112 --a------ C:\WINDOWS\system32\gtkqvgom.exe 2007-08-06 18:48:30 66112 --a------ C:\WINDOWS\system32\pabmuijn.exe 2007-08-05 23:43:24 0 d-------- C:\Programme\Comical 2007-08-05 18:45:40 66112 --a------ C:\WINDOWS\system32\ttdfmrct.exe 2007-08-05 15:28:03 125504 --a------ C:\WINDOWS\system32\dioyfidv.dll 2007-08-05 15:25:03 66112 --a------ C:\WINDOWS\system32\gnbrfmpb.exe 2007-08-05 04:57:56 31254 --a------ C:\WINDOWS\system32\ssqqnmm.dll 2007-08-04 17:02:31 0 d-------- C:\Programme\Miranda IM 2007-08-04 15:52:41 105 --a------ C:\WINDOWS\system32\mit.bat 2007-08-04 15:52:34 31254 --a------ C:\WINDOWS\system32\tuvurpq.dll 2007-08-04 15:25:21 66112 --a------ C:\WINDOWS\system32\uocbpngc.exe 2007-08-04 15:24:15 653849 ---hs---- C:\WINDOWS\system32\cbeeg.bak2 2007-07-29 19:44:05 0 d-------- C:\Programme\MyPlayCity.com 2007-07-29 14:49:15 0 d-------- C:\Programme\Lionhead Studios 2007-07-28 21:33:19 0 d-------- C:\Programme\LimeWire 2007-07-23 23:33:18 0 d-------- C:\Programme\nethack -- Find3M Report --------------------------------------------------------------- 2007-08-11 12:35:03 0 d-------- C:\Programme\Java 2007-08-11 01:04:33 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\uTorrent 2007-08-06 09:58:08 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\??mbols 2007-08-06 09:42:19 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Grisoft 2007-08-05 04:58:05 0 d-------- C:\Programme\Gemeinsame Dateien 2007-08-04 16:18:05 0 d--h----- C:\Programme\InstallShield Installation Information 2007-08-04 06:47:13 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\FinalBurner Audio CD 2007-08-01 20:39:19 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\LimeWire 2007-07-29 14:48:02 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2007-07-07 12:14:01 6369 ---hs---- C:\WINDOWS\system32\cbeeg.bak1 2007-07-07 12:13:50 266336 --a------ C:\WINDOWS\system32\geebc.dll 2007-07-06 18:48:36 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\vlc 2007-07-06 18:24:13 0 d-------- C:\Programme\VideoLAN 2007-07-02 22:49:48 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\dvdcss 2007-07-01 22:26:11 0 d-------- C:\Programme\Vim 2007-06-30 19:36:29 27 --a------ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\gnuplot_history 2007-06-30 19:35:17 0 d-------- C:\Programme\gnuplot 2007-06-24 17:59:42 0 d-------- C:\Programme\Manhunt 2007-06-21 22:01:01 0 d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks 2007-06-21 22:00:56 0 d-------- C:\Programme\Cisco Systems 2007-06-19 22:16:56 1 --a------ C:\WINDOWS\system32\boa.dat 2007-06-19 22:16:55 1 --a------ C:\WINDOWS\system32\ps.dat 2007-06-19 22:09:52 22016 --a------ C:\WINDOWS\system32\winzdn32.dll 2007-06-18 13:44:52 0 d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\ACD Systems 2007-06-06 21:22:37 801 --a------ C:\WINDOWS\mozver.dat 2007-05-27 00:55:59 10985 --a------ C:\WINDOWS\scunin.dat 2007-05-27 00:55:57 967 --a------ C:\WINDOWS\ScUnin.pif 2007-05-27 00:55:57 67584 --a------ C:\WINDOWS\ScUnin.exe <Not Verified; Blizzard Entertainment; Starcraft Uninstaller> 2007-05-26 17:16:40 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2007-05-26 17:16:18 21840 --a-----t C:\WINDOWS\system32\SIntfNT.dll 2007-05-26 17:16:18 17212 --a-----t C:\WINDOWS\system32\SIntf32.dll 2007-05-26 17:16:18 12067 --a-----t C:\WINDOWS\system32\SIntf16.dll -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{066A2CDC-319E-4460-BA45-C24562CD51AA}] C:\WINDOWS\system32\pmnkjgh.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D55F78D-57E0-7A56-9975-02E12506D1B4}] C:\Programme\Vdlfmove\buzhcbto.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{70C872E5-69F5-456f-B809-484106881B7B}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{77D4E341-7688-4379-ABAC-4634EB882C9A}] 07.07.2007 12:13 266336 --a------ C:\WINDOWS\system32\geebc.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7989EDF5-1179-481F-8C47-897C3653EDE8}] C:\WINDOWS\system32\jkkli.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C6039E6C-BDE9-4de5-BB40-768CAA584FDC}] C:\WINDOWS\system32\oyotdmjb.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD2A7D3A-3DA1-4CA5-AD39-B4C3A72B567F}] C:\WINDOWS\system32\hggdcbx.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [04.09.2001 16:24 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [28.02.2003 21:00] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [12.07.2007 04:00] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [04.04.2007 00:29] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Gigaset WLAN Adapter Monitor.lnk - C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe [28.04.2007 22:12:40] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{066A2CDC-319E-4460-BA45-C24562CD51AA}"= C:\WINDOWS\system32\pmnkjgh.dll [ ] "{FD2A7D3A-3DA1-4CA5-AD39-B4C3A72B567F}"= C:\WINDOWS\system32\hggdcbx.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebc] C:\WINDOWS\system32\geebc.dll 07.07.2007 12:13 266336 C:\WINDOWS\system32\geebc.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzdn32] winzdn32.dll 19.06.2007 22:09 22016 C:\WINDOWS\system32\winzdn32.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiTrayTools] -- End of Deckard's System Scanner: finished at 2007-08-11 at 12:48:23 --------- Code:
ATTFilter O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
Code:
ATTFilter O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
|
|
11.08.2007, 13:50
| #2 |
  | Goode olde pop-ups Hallo
__________________lade dir Smidfraudfix halte dich bitte genau an die Anleitung und poste den rapport1.txt von vor und den rapport2.txt nach der Bereinigung. Anschließend lade dir bitte von hier -->Vundofix * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. C:\VundoFix Backups - löschen + Papierkorb leeren nach durchlauf der beiden Programme berichte bitte und poste die dazugehörigen Logs. MFG |
|
11.08.2007, 22:18
| #3 |
| | Goode olde pop-ups Vielen Dank nochdigger! Vundofix hat ne Menge gefunden und geloescht - bin jetzt ein Tag pop-up frei; glaube jetzt is alles weg. Falls es dich interessiert hab ich nochmal den HijackThis laufen lassen.
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:16:39, on 11.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe C:\Programme\Siemens\Gigaset USB Stick 54\OdHost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Miranda IM\miranda32.exe C:\Home\Downloads\utorrent.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6D55F78D-57E0-7A56-9975-02E12506D1B4} - C:\Programme\Vdlfmove\buzhcbto.dll (file missing) O2 - BHO: H - {70C872E5-69F5-456f-B809-484106881B7B} - q24m.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7989EDF5-1179-481F-8C47-897C3653EDE8} - C:\WINDOWS\system32\jkkli.dll (file missing) O2 - BHO: (no name) - {FB47A340-C48C-40B4-806E-27F0F9B0F01D} - C:\WINDOWS\system32\geebc.dll (file missing) O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\SYSTEM32\winzdn32.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 3482 bytes |
|
12.08.2007, 06:32
| #4 |
| | Goode olde pop-ups Moin das du jetzt keine PopUps mehr hast ist schön aber nicht alles. Lass bitte Smitfrautfix (oben verlinkt) zur Bereinigung laufen, anschließend poste den rapport1.txt von vor und den rapport2.txt nach der Bereinigung und dann, lade dir mal die Filelist.zip + Lade dir die Filelist.zip auf den Desktop + entpacke die Zip-Datei auf deinen Desktop + starte den Rechner neu + öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei + dein Editor (Textverarbeitungsprogramm) wird sich öffnen + markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien in nächsten Beitrag (es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS, C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp). MFG |
|
12.08.2007, 09:42
| #5 |
| | Goode olde pop-ups Smitfraud hab ich natuerlich auch laufen lassen wie du sagtest. rapport.txt von vorher: Code:
ATTFilter SmitFraudFix v2.210
Scan done at 15:18:08,26, 11.08.2007
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe
C:\Programme\Siemens\Gigaset USB Stick 54\OdHost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Stefan\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: National Semiconductor DP83815-basierter PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 217.237.151.142
DNS Server Search Order: 217.237.150.188
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A933FB29-FCDA-4785-B995-4769ACEB1C98}: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD3A3BCA-A190-4AC8-95D2-9662F565AAFC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A933FB29-FCDA-4785-B995-4769ACEB1C98}: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD3A3BCA-A190-4AC8-95D2-9662F565AAFC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A933FB29-FCDA-4785-B995-4769ACEB1C98}: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FD3A3BCA-A190-4AC8-95D2-9662F565AAFC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=217.237.151.142 217.237.150.188
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Code:
ATTFilter SmitFraudFix v2.210
Scan done at 15:26:43,64, Sa 11.08.2007
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A933FB29-FCDA-4785-B995-4769ACEB1C98}: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD3A3BCA-A190-4AC8-95D2-9662F565AAFC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A933FB29-FCDA-4785-B995-4769ACEB1C98}: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD3A3BCA-A190-4AC8-95D2-9662F565AAFC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A933FB29-FCDA-4785-B995-4769ACEB1C98}: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FD3A3BCA-A190-4AC8-95D2-9662F565AAFC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=217.237.151.142 217.237.150.188
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=217.237.151.142 217.237.150.188
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Hier die Ausgabe von filelist gekuerzt auf den letzten Monat: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\
12.08.2007 10:35 43 filelist.txt
11.08.2007 15:37 805.306.368 pagefile.sys
16 Datei(en) 806.513.614 Bytes
0 Verzeichnis(se), 2.265.284.608 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\WINDOWS
12.08.2007 10:13 447.306 WindowsUpdate.log
11.08.2007 15:37 0 0.log
11.08.2007 15:37 159 wiadebug.log
11.08.2007 15:37 50 wiaservc.log
11.08.2007 15:37 2.048 bootstat.dat
11.08.2007 15:27 257.904 setupact.log
11.08.2007 15:22 846.740 ntbtlog.txt
11.08.2007 15:20 22.056 SchedLgU.Txt
05.08.2007 21:31 2.238 Casino.ico
05.08.2007 21:31 1.150 Free Online Dating.ico
05.08.2007 21:31 4.846 Spyware Remover.ico
04.08.2007 16:52 149 wininit.ini
115 Datei(en) 11.931.305 Bytes
0 Verzeichnis(se), 2.265.280.512 Bytes frei
----- System ---
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\WINDOWS\system
04.08.2004 00:58 146.944 winspool.drv
04.08.2004 00:37 69.632 mmsystem.dll
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 2.265.276.416 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\WINDOWS\system32
11.08.2007 15:33 75.328 jilahebs.exe
11.08.2007 15:26 0 tmp.txt
11.08.2007 15:26 1.634 tmp.reg
11.08.2007 15:17 75.328 sndudnjr.exe
11.08.2007 12:35 5.214 jupdate-1.6.0_02-b06.log
11.08.2007 12:16 75.328 wcrlkefc.exe
11.08.2007 11:39 75.328 nrhcyqkf.exe
11.08.2007 11:10 1.214.801 ktqnnsra.ini
11.08.2007 11:10 75.328 xmnfnxrk.exe
11.08.2007 11:10 2.422 wpa.dbl
10.08.2007 09:35 1.195.114 ceqlpfga.ini
08.08.2007 13:07 66.112 yfkrbnjy.exe
08.08.2007 09:55 1.194.754 qoolgxkv.ini
07.08.2007 13:05 66.112 gtkqvgom.exe
07.08.2007 13:05 1.194.575 ukyjwxdr.ini
06.08.2007 18:49 1.194.275 mvtdhtjb.ini
06.08.2007 18:48 66.112 pabmuijn.exe
06.08.2007 10:06 69.184 oyotdmjb.dll.bak
05.08.2007 22:04 143 mcrh.tmp
05.08.2007 18:45 66.112 ttdfmrct.exe
05.08.2007 15:25 66.112 gnbrfmpb.exe
05.08.2007 03:28 1.204.740 kywbogma.ini
04.08.2007 15:25 66.112 uocbpngc.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
1879 Datei(en) 345.725.654 Bytes
0 Verzeichnis(se), 2.265.092.096 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\WINDOWS\Prefetch
12.08.2007 10:35 10.618 FIND.EXE-0EC32F1E.pf
12.08.2007 10:35 12.912 CMD.EXE-087B4001.pf
12.08.2007 10:33 15.956 NOTEPAD.EXE-336351A9.pf
12.08.2007 10:33 49.704 ACRORD32INFO.EXE-19D979CC.pf
12.08.2007 10:29 27.150 GVIM.EXE-02925CC0.pf
12.08.2007 10:25 17.830 RUNDLL32.EXE-3280FCB8.pf
12.08.2007 10:25 17.710 RUNDLL32.EXE-31812007.pf
12.08.2007 10:25 17.710 RUNDLL32.EXE-43EC7D0D.pf
12.08.2007 10:25 17.710 RUNDLL32.EXE-3B24F241.pf
12.08.2007 10:25 17.710 RUNDLL32.EXE-147CD57B.pf
12.08.2007 10:25 17.866 RUNDLL32.EXE-2F955FC7.pf
12.08.2007 10:25 17.698 RUNDLL32.EXE-13E14580.pf
12.08.2007 10:24 17.710 RUNDLL32.EXE-3BC0823C.pf
12.08.2007 10:24 17.710 RUNDLL32.EXE-1B3E4281.pf
12.08.2007 10:24 17.698 RUNDLL32.EXE-283862C6.pf
12.08.2007 10:24 17.710 RUNDLL32.EXE-4A06CB9F.pf
12.08.2007 10:23 20.048 RUNDLL32.EXE-3B3339F8.pf
12.08.2007 10:09 19.922 WUAUCLT.EXE-399A8E72.pf
12.08.2007 05:41 258.682 Layout.ini
12.08.2007 00:45 51.368 WMIPRVSE.EXE-28F301A9.pf
12.08.2007 00:45 73.992 HELPSVC.EXE-2878DDA2.pf
12.08.2007 00:06 114.420 VLC.EXE-29851A71.pf
11.08.2007 23:16 56.722 HIJACKTHIS.EXE-39024128.pf
11.08.2007 23:14 36.062 ADOBEUPDATER.EXE-370FC314.pf
11.08.2007 23:14 60.178 ACRORD32.EXE-153330F0.pf
11.08.2007 23:13 86.920 FIREFOX.EXE-1D57670A.pf
11.08.2007 23:13 22.096 UTORRENT.EXE-10A4417A.pf
11.08.2007 20:27 23.112 MIRANDA32.EXE-248B043D.pf
11.08.2007 16:46 17.566 RUNDLL32.EXE-2843BB75.pf
11.08.2007 16:46 17.554 RUNDLL32.EXE-280A0BFB.pf
11.08.2007 16:45 17.554 RUNDLL32.EXE-1738CD15.pf
11.08.2007 16:45 17.554 RUNDLL32.EXE-321A5631.pf
11.08.2007 16:45 17.920 RUNDLL32.EXE-47407CCF.pf
11.08.2007 15:39 21.718 TASKMGR.EXE-20256C55.pf
11.08.2007 15:38 666.968 NTOSBOOT-B00DFAAD.pf
11.08.2007 15:38 65.040 VUNDOFIX.EXE-397EF437.pf
11.08.2007 15:35 11.234 REGEDIT.EXE-1B606482.pf
11.08.2007 15:35 7.416 VUNDOFIXSVC.EXE-18ADD79E.pf
11.08.2007 15:35 6.750 JAVA.EXE-1980726E.pf
11.08.2007 15:33 14.838 EXPLORER.EXE-082F38A9.pf
11.08.2007 15:33 21.168 JNRHTNQY.EXE-1B41B8D7.pf
11.08.2007 15:33 9.922 JILAHEBS.EXE-00734D0E.pf
11.08.2007 15:32 77.326 IEXPLORE.EXE-2CA9778D.pf
11.08.2007 15:19 21.942 WDQWBIVK.EXE-358ABCAD.pf
11.08.2007 15:18 14.314 NOTEPAD.EXE-189578DA.pf
11.08.2007 15:18 11.930 FINDSTR.EXE-0CA6274B.pf
11.08.2007 15:18 29.618 CSCRIPT.EXE-1C26180C.pf
11.08.2007 15:18 5.410 DUMPHIVE.EXE-32A71AF3.pf
11.08.2007 15:18 6.426 SWREG.EXE-19E5CA30.pf
11.08.2007 15:18 4.076 SRCHSTS.EXE-0C47798B.pf
11.08.2007 15:18 5.972 SWREG.EXE-3688D00C.pf
11.08.2007 15:18 11.740 CHKNTFS.EXE-31921D64.pf
11.08.2007 15:18 30.004 SMITFRAUDFIX.EXE-11B4C1D4.pf
11.08.2007 13:55 23.238 VIM.EXE-1B6B95A0.pf
11.08.2007 13:45 38.842 DFRGNTFS.EXE-269967DF.pf
11.08.2007 13:45 14.242 DEFRAG.EXE-273F131E.pf
11.08.2007 13:05 17.932 SSH.EXE-26AE7132.pf
11.08.2007 12:53 78.902 RUNDLL32.EXE-2576181F.pf
11.08.2007 12:34 7.222 LAUNCHER.EXE-2D15694C.pf
11.08.2007 12:34 9.326 UNPACK200.EXE-087E38E4.pf
11.08.2007 12:34 98.078 ZIPPER.EXE-267AD91C.pf
11.08.2007 12:34 34.258 MSIEXEC.EXE-2F8A8CAE.pf
11.08.2007 12:32 17.794 JAVAWS.EXE-2FE35B5C.pf
11.08.2007 12:32 66.554 JAVAW.EXE-1E0E94C2.pf
11.08.2007 12:25 19.382 DRWTSN32.EXE-2B4B52AC.pf
11.08.2007 12:25 59.648 DWWIN.EXE-30875ADC.pf
11.08.2007 12:19 20.884 CUKHGRLK.EXE-368A2E32.pf
11.08.2007 12:17 12.260 LSPFIX.EXE-29B45C49.pf
11.08.2007 12:13 10.860 NET.EXE-01A53C2F.pf
11.08.2007 12:13 12.712 NET1.EXE-029B9DB4.pf
11.08.2007 12:12 16.964 HJTSETUP.EXE-295AF473.pf
11.08.2007 12:05 69.446 AVGAS.EXE-093B2849.pf
11.08.2007 11:59 64.428 RUNDLL32.EXE-13404D23.pf
11.08.2007 11:48 21.406 CONTROL.EXE-013DBFB5.pf
11.08.2007 11:48 11.444 WSCNTFY.EXE-1B24F5EB.pf
11.08.2007 00:08 34.142 MAHJONGG.EXE-22A56692.pf
76 Datei(en) 3.026.848 Bytes
0 Verzeichnis(se), 2.265.182.208 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\WINDOWS\tasks
11.08.2007 15:37 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 2.265.182.208 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\WINDOWS\Temp
12.08.2007 10:19 0 winC6.tmp
12.08.2007 09:57 0 winC5.tmp
12.08.2007 09:35 0 winC4.tmp
12.08.2007 09:13 0 winC3.tmp
12.08.2007 08:51 0 winC2.tmp
etc.
191 Datei(en) 14.450 Bytes
0 Verzeichnis(se), 2.265.165.824 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 9C76-912E
Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp
11.08.2007 23:02 0 u6mA1.tmp
11.08.2007 23:02 0 1enA0.tmp
11.08.2007 16:50 624 java_install_reg.log
11.08.2007 15:42 396 jusched.log
11.08.2007 15:33 32.768 ~DF504F.tmp
11.08.2007 14:30 282 jar_cache62525.tmp
11.08.2007 14:30 138 jar_cache62527.tmp
11.08.2007 14:30 131.060 jar_cache62517.tmp
11.08.2007 14:30 156.044 jar_cache62518.tmp
11.08.2007 14:30 0 jar_cache62543.tmp
11.08.2007 14:30 0 jar_cache62542.tmp
11.08.2007 14:30 327 jar_cache62524.tmp
11.08.2007 14:30 4.110 jar_cache62519.tmp
11.08.2007 14:30 7.206 jar_cache62541.tmp
11.08.2007 14:30 5.921 jar_cache62534.tmp
11.08.2007 14:30 5.739 jar_cache62523.tmp
11.08.2007 14:30 1.907 jar_cache62528.tmp
11.08.2007 14:30 3.160 jar_cache62529.tmp
11.08.2007 14:30 2.039 jar_cache62530.tmp
11.08.2007 14:30 1.654 jar_cache62540.tmp
11.08.2007 14:30 4.720 jar_cache62532.tmp
11.08.2007 14:30 4.559 jar_cache62533.tmp
11.08.2007 14:30 7.606 jar_cache62531.tmp
11.08.2007 14:30 6.661 jar_cache62535.tmp
11.08.2007 14:30 5.992 jar_cache62536.tmp
11.08.2007 14:30 390 jar_cache62537.tmp
11.08.2007 14:30 793 jar_cache62538.tmp
11.08.2007 14:30 2.465 jar_cache62539.tmp
11.08.2007 14:30 167 jar_cache62520.tmp
11.08.2007 14:30 693 jar_cache62522.tmp
11.08.2007 14:30 1.020 jar_cache62526.tmp
11.08.2007 14:30 2.998 jar_cache62521.tmp
43 Datei(en) 495.384 Bytes
0 Verzeichnis(se), 2.265.169.920 Bytes frei
|
|
12.08.2007, 09:45
| #6 |
| | Goode olde pop-ups Bin gerade dabei Freunde wie yfkrbnjy.exe aus system32 zu loeschen. |
|
12.08.2007, 09:53
| #7 | |
| | Goode olde pop-ups Hallo bitte vor dem löschen Auswerten lassen wer weiß was du da alles löschst  Diese hier bitte Überprüfen : Zitat:
hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 28 AntiVirus Engine, Last Update(070807) oder hier Jotti überprüfen (kann einige Minuten dauern) lassen, poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
|
12.08.2007, 10:07
| #8 |
| | Goode olde pop-ups D'oh! Da war ich wohl zu schnell mit der del-Taste unterwegs... bis auf die C:\WINDOWS\SYSTEM32\winzdn32.dll ist alles schon geloescht. Hab die file mal pruefen lassen und es ist tatsaechlich ein Trojaner/Dialer, Sagt VirusTotal. MD5: 48e258e92fad046dfd985b00254100f0 SHA1: 25ebb0793dddb85ce29805c4a3798003d9ba3cde Das schlimmste is, die DLL is wohl auch gerade geladen. Ich versuch sie mal im safe-mode zu loeschen... Naja kann jedenfalls gut sein, dass ich bald wieder neue Dateien zum auswerten hab'. |
|
12.08.2007, 14:05
| #9 | ||
| | Goode olde pop-ups Moin Zitat:
 Zitat:
O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\SYSTEM32\winzdn32.dll Mach bitte zur Nachkontrolle einen eScan nach dieser Anleitung eScananleitung, poste das Ergebnis mithilfe der Find.bat. MFG |
|
| Themen zu Goode olde pop-ups |
| 4d36e972-e325-11ce-bfc1-08002be10318, adobe, avg, bho, browser, ctfmon.exe, drivers, einstellungen, enigma, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, home, installation, internet, internet explorer, jusched.exe, mozilla, mozilla firefox, pop-up, popups, registry, rundll, s-1-5-18, scan, server, software, stick, system restore, temp, trend micro, unknown file in winsock lsp, usb, windows, windows xp, wlan |
Linear-Darstellung
