Nach hunderten Trojanern/Viren/Würmer - Hijack Log

aw-kapa · 20.08.2007, 14:00

Hallo,

ich habe hier einen ehemals verseuchten Rechner stehen der natürlich Rummuckt. Er hat z.B. nach 10 Minuten Standzeit keine Lust mehr im IE Seiten darzustellen...
Ich habe mit Kasersky Antivir 7 gut 450 verseuchte Dateien entfernt und danach nochmal Antivir drüberlaufen lassen.
Ich versuche grad natürlich die Kiste wieder ans laufen zu bekommen.

Hier mal das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:54:01, on 20.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\KAPA-Service\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://w*w.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://w*w.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu238\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu238\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu238\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://h*p://xtraz.icq.com/xtraz/act...deoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h*p://w*w.update.microsoft.co...?1187594452281
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://h*p://static.ak.studivz.net/p...eUploader4.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - h*p://driveragent.com/files/driveragent.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h*p://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: advacfgb - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

cosinus · 20.08.2007, 14:16

Hallo.

Zitat:

Ich habe mit Kasersky Antivir 7 gut 450 verseuchte Dateien entfernt und danach nochmal Antivir drüberlaufen lassen.

Das Kaspersky-Logfile wäre interessant zu sehen.

Zitat:

O20 - Winlogon Notify: advacfgb - C:\WINDOWS\

Deutet auf Malware hin, zumindest einen Überrest davon.

Zitat:

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

Ist dieses Programm bewusst installiert?

Mach bitte auch mal einen Check mit Blacklight und poste das Logfile.
Interessant wären auch die Inhalte der Systemordner, gehe so vor:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

aw-kapa · 20.08.2007, 14:33

Kaspersky ist nicht mehr drauf, demnach auch das Logfile nicht mehr ^^

O20 - Winlogon Notify: advacfgb - C:\WINDOWS\
ist schon gefixt, nachdem ich hier gepostet habe - sorry!

RAdmin ist bewusst installiert.

Die anderen Schritte schaue ich mir mal an.

aw-kapa · 20.08.2007, 15:24

So.
Hier die Auswertungen von Blacklight und Filelist

Blacklight hat nichts gefunden

Filelist:

Verzeichnis von C:\

20.08.2007 16:06 805.306.368 pagefile.sys
20.08.2007 11:50 211 boot.ini
04.07.2007 02:01 389 Verknpfung mit My Downloads.lnk

Verzeichnis von C:\WINDOWS\system32

20.08.2007 13:00 122.142 TZLog.log
20.08.2007 12:26 314.644 perfh009.dat
20.08.2007 12:26 320.424 perfh007.dat
20.08.2007 12:26 49.372 perfc007.dat
20.08.2007 12:26 40.972 perfc009.dat
20.08.2007 12:26 732.342 PerfStringBackup.INI
20.08.2007 12:24 189.792 FNTCACHE.DAT
20.08.2007 12:11 664 d3d9caps.dat
20.08.2007 10:09 2.206 wpa.dbl
17.08.2007 09:47 6 ksl48.bin
13.08.2007 22:41 6 opnnt.bin
02.08.2007 21:34 16.789.464 MRT.exe
03.07.2007 10:39 1.004 vsconfig.xml

Verzeichnis von C:\WINDOWS\Prefetch

20.08.2007 16:16 11.422 FIND.EXE-0EC32F1E.pf
20.08.2007 16:16 15.476 CMD.EXE-087B4001.pf
20.08.2007 16:16 28.242 WINZIP32.EXE-335422C1.pf
20.08.2007 16:13 34.884 EVEREST.EXE-18181F57.pf
20.08.2007 16:13 183.432 FIREFOX.EXE-1D57670A.pf
20.08.2007 16:10 16.188 FSBL.EXE-2F0AF8CC.pf
20.08.2007 16:09 15.312 VERCLSID.EXE-3667BD89.pf
20.08.2007 16:08 35.780 WMIPRVSE.EXE-28F301A9.pf
20.08.2007 16:08 64.348 WUAUCLT.EXE-399A8E72.pf
20.08.2007 16:08 924.542 NTOSBOOT-B00DFAAD.pf
20.08.2007 16:06 62.386 LOGONUI.EXE-0AF22957.pf
20.08.2007 16:05 12.432 FAMITRFC.EXE-0F5A6F20.pf
20.08.2007 16:05 39.870 MMC.EXE-22FA564C.pf
20.08.2007 16:05 10.508 _IU14D2N.TMP-0E166603.pf
20.08.2007 16:05 11.826 UNINS000.EXE-1F4FAC10.pf
20.08.2007 16:04 33.880 ASPY7.EXE-10513871.pf
20.08.2007 16:04 53.526 RUNDLL32.EXE-2576181F.pf
20.08.2007 16:03 101.962 IEXPLORE.EXE-2CA9778D.pf
20.08.2007 16:03 16.108 MSNAPPAU.EXE-07C6C34E.pf
20.08.2007 16:01 56.732 SETUP.EXE-1575CA37.pf
20.08.2007 16:00 56.850 FIREFOX SETUP 2.0.0.6.EXE-08C72046.pf
20.08.2007 15:54 16.718 PING.EXE-31216D26.pf
20.08.2007 15:51 46.286 RSERVER3.EXE-32C71DC9.pf
20.08.2007 15:50 17.114 RSL.EXE-10F4C363.pf
20.08.2007 15:49 19.228 RUNONCE.EXE-2803F297.pf
20.08.2007 15:49 17.546 RSL.EXE-318CA3D9.pf
20.08.2007 15:49 16.322 RSERVER3.EXE-18AE373E.pf
20.08.2007 15:49 46.492 MSIEXEC.EXE-2F8A8CAE.pf
20.08.2007 15:49 11.514 RSERV30DE.EXE-0299533D.pf
20.08.2007 15:46 32.770 CCLEANER.EXE-065E2F3F.pf
20.08.2007 15:46 15.246 NTVDM.EXE-1A10A423.pf
20.08.2007 15:46 12.340 GUNINST.EXE-1148A6D2.pf
20.08.2007 15:46 10.554 UNINSTAL.EXE-02AEE1F0.pf
20.08.2007 15:42 11.428 RADMIN22DE.EXE-2121A49C.pf
20.08.2007 15:21 15.940 DOWNLOAD.EXE-14D24509.pf
20.08.2007 15:21 47.568 SCANNINGPROCESS.EXE-1C632141.pf
20.08.2007 15:21 14.534 MWAVL.EXE-28A6ECB0.pf
20.08.2007 15:21 39.504 MEXE.COM-1CFFD1C3.pf
20.08.2007 15:21 75.902 MWAV.EXE-35D0D35F.pf
20.08.2007 15:00 14.886 REGEDIT.EXE-1B606482.pf
20.08.2007 15:00 52.686 HIJACKTHIS.EXE-08FC3B7D.pf
20.08.2007 15:00 13.630 NOTEPAD.EXE-336351A9.pf
20.08.2007 14:47 20.318 REGSVR32.EXE-25EEFE2F.pf
20.08.2007 13:34 26.454 WINWORD.EXE-3395695A.pf
20.08.2007 13:34 70.600 OUTLOOK.EXE-14C4968A.pf
20.08.2007 13:33 55.176 AVCENTER.EXE-37584419.pf
20.08.2007 13:16 42.186 AVGNT.EXE-36CA4640.pf
20.08.2007 13:16 13.784 AVGUARD.EXE-3490B18B.pf
20.08.2007 13:15 74.200 MSIMN.EXE-0B61806C.pf
20.08.2007 13:13 18.026 GHOSTEXP.EXE-0AE79BB9.pf
20.08.2007 13:13 11.534 RUNDLL32.EXE-268BFF96.pf
20.08.2007 13:09 13.332 AVNOTIFY.EXE-22AE9451.pf
20.08.2007 13:09 13.324 PREUPD.EXE-358AA1C1.pf
20.08.2007 13:09 38.038 UPDATE.EXE-13D57D76.pf
20.08.2007 13:03 74.942 UPDATE.EXE-36509CB8.pf
20.08.2007 13:03 4.100 ARPIDFIX.EXE-25B5D524.pf
20.08.2007 13:03 79.628 UPDATE.EXE-00F10F77.pf
20.08.2007 13:03 79.736 UPDATE.EXE-2CCC0CD1.pf
20.08.2007 13:03 79.542 UPDATE.EXE-32DF00A1.pf
20.08.2007 13:03 76.942 UPDATE.EXE-0C866A93.pf
20.08.2007 13:02 79.432 UPDATE.EXE-145E52C5.pf
20.08.2007 13:02 80.770 UPDATE.EXE-02C1EC48.pf
20.08.2007 13:02 82.364 UPDATE.EXE-33509310.pf
20.08.2007 13:02 74.558 UPDATE.EXE-08123E76.pf
20.08.2007 13:02 76.136 UPDATE.EXE-39E63F51.pf
20.08.2007 13:01 4.100 ARPIDFIX.EXE-1A0E5491.pf
20.08.2007 13:01 76.954 UPDATE.EXE-1AD5CD3C.pf
20.08.2007 13:01 4.100 ARPIDFIX.EXE-1CEC4407.pf
20.08.2007 13:01 81.030 UPDATE.EXE-10343C9E.pf
20.08.2007 13:01 84.412 UPDATE.EXE-2461DDD9.pf
20.08.2007 13:01 80.840 UPDATE.EXE-39E2C3CE.pf
20.08.2007 13:01 4.100 ARPIDFIX.EXE-347B851F.pf
20.08.2007 13:01 81.238 UPDATE.EXE-0EB97441.pf
20.08.2007 13:01 80.254 UPDATE.EXE-1B613AD0.pf
20.08.2007 13:01 75.794 UPDATE.EXE-2BAE7599.pf
20.08.2007 13:01 79.804 UPDATE.EXE-2364EFDF.pf
20.08.2007 13:00 75.624 UPDATE.EXE-271AB620.pf
20.08.2007 13:00 79.860 UPDATE.EXE-296404FD.pf
20.08.2007 13:00 79.870 UPDATE.EXE-0CB4CFFE.pf
20.08.2007 13:00 78.192 UPDATE.EXE-30285BCA.pf
20.08.2007 13:00 79.792 UPDATE.EXE-19EBB401.pf
20.08.2007 13:00 75.654 UPDATE.EXE-1DC1E04C.pf
20.08.2007 13:00 4.816 TZCHANGE.EXE-095D4BC4.pf
20.08.2007 13:00 76.082 UPDATE.EXE-361FAD5D.pf
20.08.2007 12:59 76.640 UPDATE.EXE-1C48F2CB.pf
20.08.2007 12:59 74.952 UPDATE.EXE-2176BE1E.pf
20.08.2007 12:59 78.998 UPDATE.EXE-1AD752A8.pf
20.08.2007 12:59 4.198 ARPIDFIX.EXE-06095CD7.pf
20.08.2007 12:59 74.940 UPDATE.EXE-1D934457.pf
20.08.2007 12:59 77.110 UPDATE.EXE-04AE578C.pf
20.08.2007 12:59 78.634 UPDATE.EXE-0EEA2959.pf
20.08.2007 12:58 77.018 UPDATE.EXE-2D93DD96.pf
20.08.2007 12:58 78.576 UPDATE.EXE-14D010BE.pf
20.08.2007 12:58 78.666 UPDATE.EXE-062ED3E9.pf
20.08.2007 12:58 78.562 UPDATE.EXE-0FA82BD2.pf
20.08.2007 12:58 80.104 UPDATE.EXE-1AE0A390.pf
20.08.2007 12:57 78.534 UPDATE.EXE-1D0B7C49.pf
20.08.2007 12:54 19.662 DEFRAG.EXE-273F131E.pf
20.08.2007 12:54 92.068 DFRGNTFS.EXE-269967DF.pf
20.08.2007 12:52 1.140.516 Layout.ini
20.08.2007 12:28 89.214 UPDATE.EXE-060AD173.pf
20.08.2007 12:28 80.142 UPDATE.EXE-0A55314E.pf
20.08.2007 12:27 91.052 UPDATE.EXE-021EC829.pf
20.08.2007 12:21 6.800 SPUPDSVC.EXE-21B36524.pf
20.08.2007 12:08 36.416 RUNDLL32.EXE-31EBBE5F.pf
20.08.2007 12:01 83.466 UPDATE.EXE-31FE6921.pf
20.08.2007 12:00 101.024 NETCFG.EXE-14A5C63C.pf
20.08.2007 11:59 77.224 UPDATE.EXE-14BCA40A.pf
20.08.2007 11:59 81.682 AVP.EXE-05BE32F4.pf
20.08.2007 11:58 78.688 UPDATE.EXE-06D2124F.pf
20.08.2007 11:50 23.152 MSCONFIG.EXE-35E4DAE9.pf
20.08.2007 11:48 70.342 ICQLITE.EXE-2AEFACA7.pf
20.08.2007 11:47 13.912 RUNDLL32.EXE-451FC2C0.pf
20.08.2007 10:59 71.010 UPDATE.EXE-0561564F.pf
20.08.2007 09:34 156.832 IEDW.EXE-2D047874.pf
17.08.2007 14:30 95.998 HELPSVC.EXE-2878DDA2.pf
15.08.2007 22:54 147.400 ADVACFGB.EXE-111AC3D2.pf
15.08.2007 13:59 148.764 QIP.EXE-071FCCCB.pf
13.08.2007 22:36 22.664 PAYIYR.EXE-256B8DF3.pf
13.08.2007 21:37 117.452 WINAMP.EXE-08C38ED9.pf

Verzeichnis von C:\WINDOWS

20.08.2007 16:07 0 0.log
20.08.2007 16:07 159 wiadebug.log
20.08.2007 16:07 1.382.820 WindowsUpdate.log
20.08.2007 16:07 50 wiaservc.log
20.08.2007 16:06 2.048 bootstat.dat
20.08.2007 16:06 32.626 SchedLgU.Txt
20.08.2007 16:01 0 nsreg.dat
20.08.2007 15:55 3.749 setupapi.log
20.08.2007 15:49 0 setupact.log
20.08.2007 15:49 0 setuperr.log
20.08.2007 15:42 60 Wininit.ini
20.08.2007 15:22 50 Lic.xxx
20.08.2007 15:21 667 win.ini
20.08.2007 11:50 227 system.ini
20.08.2007 09:21 6.078.836 setupapi.log.1.old
03.07.2007 18:12 582 tpene.dll

Verzeichnis von C:\WINDOWS\tasks

20.08.2007 16:07 6 SA.DAT

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B460-F1E1

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B460-F1E1

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

20.08.2007 16:16 120.389 filelist.txt
1 Datei(en) 120.389 Bytes
0 Verzeichnis(se), 23.149.232.128 Bytes frei

P.S.: Macht ihr eigentlich was anderes als das Hijack Logfile auf der hiojackthis.de Page auswerten zu lassen? Würde mich mal interessieren!

cosinus · 20.08.2007, 15:29

Vllt. könntest du mal diesen Ordner leeren:

C:\WINDOWS\Prefetch

Und evtl. noch vorhandene Temp-Files, geht wunderbar z.B. mit dem CCleaner - vor der Bereinigung alle anderen Programme nat. beenden.

Folge dann mal dem eScan-Link in meiner Signatur.

Edit:

Zitat:

P.S.: Macht ihr eigentlich was anderes als das Hijack Logfile auf der hiojackthis.de Page auswerten zu lassen? Würde mich mal interessieren!

Die automatische Auswertung benutze ich auch, aber auf die allein kann man sich nicht stützen, es kommt auch dort vor, dass gute Einträge als böse betrachtet werden und andersrum. Außerdem wird nicht die weitere Vorgehensweise geschildert, wenn böse Einträge mit schädlichen Dateien angezeigt werden, das bloße Fixen allein reicht nicht aus.

aw-kapa · 20.08.2007, 15:34

Ccleaner habe ich bereits verwendet.

Was bringt es den prefetch Ordner zu leeren? Würde mich mal interessieren.

cosinus · 20.08.2007, 15:37

Im Prefetch Ordner lagert Windows bestimmte Dateien ab, das soll dazu führen, dass häufig benötigte Programme schneller starten - wie das aber genau funktioniert wird wohl nur MS wissen.
Ich würde den leeren, da sich wohl auch Schädlingskomponenten eingetragen haben könnten, ist kein Muss aber so fängt der Ordner mal wieder "von vorne" an

aw-kapa · 20.08.2007, 15:44

Gibt es empfehlenswerte Antispy Programme, außer Spybot? Wie es aussieht findet eScan ein paar mehr Dateien die nach Spyware riechen (scannt noch, also kommt das Logfile später).

Adaware soll ja nicht so gut sein..

cosinus · 20.08.2007, 15:48

Du könntest mal AVZ4 ausprobieren.
Hier dazu die Anleitung von Rene-gad.

aw-kapa · 22.08.2007, 13:45

Ich kann den eScan Report hier nicht einfügen. Das Board sagt mir, dass 17 Grafiken verwendet aber nur 8 erlaubt sind.

aw-kapa · 22.08.2007, 14:20

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\S1MNGT2J\vga_sis_s130[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1MNGT2J\vga_sis_s130[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 28205
Gescannte Dateien: 1069
Gescannte Dateien: 78790
Gefundene Viren: 6
Gefundene Viren: 0
Gefundene Viren: 34
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 4
Anzahl Fehler: 0
Anzahl Fehler: 58
Dauer des Scans bisher: 00:09:52
Dauer des Scans bisher: 00:01:06
Dauer des Scans bisher: 01:55:01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:35:14,31
Batchende: 14:35:28,21

Ich versuche einfach mal die Datei "zerstückelt" hier zu posten.

aw-kapa · 22.08.2007, 14:23

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Downloads\radmin\radmin22de.exe//radmin.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\Downloads\radmin\radmin22de.exe//radmin.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP540\A0199367.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200234.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200235.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200236.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200237.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200238.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200254.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200255.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200256.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EA1E57A-C1DC-47E6-B0E4-B1E5E8CDC2B7}\RP546\A0200257.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSU_0001_N68M1402NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSU_0001_N68M1402NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSU_0001_N68M1402NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UERSU_0001_N68M1402NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.9\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M0602NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\WinAntiSpyware2006FreeInstall.exe markiert als "not-a-virus: Downloader.Win32.WinFixer.w". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\objsafe.tlb
Offending file found: C:\WINDOWS\system32\objsafe.tlb
Offending file found: C:\WINDOWS\system32\objsafe.tlb
Offending file found: C:\WINDOWS\system32\objsafe.tlb
Offending file found: C:\WINDOWS\system32\objsafe.tlb
Offending file found: C:\WINDOWS\system32\objsafe.tlb
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenu !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\whenusave !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenu !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\whenusave !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenu !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\whenusave !!!

aw-kapa · 22.08.2007, 14:25

Die Datei ist geordnet gepostet - also von oben nach unten.
Das Problem mit den Grafiken lag übrigends am [...]trojan

own[...]
Das Board macht aus dem [...]trojan: Down[...] einen Smilie

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.8
Sprache: German
C:\DOKUME~1\Admin\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: Keine Aktion vorgenommen.
System found infected with medload Browser Hijacker (C:\WINDOWS\system32\objsafe.tlb)! Action taken: Keine Aktion vorgenommen.
System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: Keine Aktion vorgenommen.
System found infected with medload Browser Hijacker (C:\WINDOWS\system32\objsafe.tlb)! Action taken: Keine Aktion vorgenommen.
System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: Keine Aktion vorgenommen.
System found infected with medload Browser Hijacker (C:\WINDOWS\system32\objsafe.tlb)! Action taken: Keine Aktion vorgenommen.

cosinus · 22.08.2007, 22:47

Mach mal folgendes:

1. Deaktiviere die Systemwiederherstellung.

2. Bereinige mit dem CCleaner dein System von unnötigen temp. Dateien - vorher bitte alle anderen Programme beenden.

3. Poste die Inhalte der Systemordner, gehe dazu so vor:

a) Lade das filelist.zip auf deinen Desktop herunter.
b) Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
c) Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
d) Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

aw-kapa · 23.08.2007, 15:46

Es sind keine Temp-Dateien mehr drauf, außer 2 oder 3 Stück, daran kann es nicht liegen. Ich habe währenddessen auch alle Programme beendet und div. andere Sachen gemacht. Es hat sich nicht gebessert.

20.08.2007, 15:48	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nach hunderten Trojanern/Viren/Würmer - Hijack Log Du könntest mal AVZ4 ausprobieren. Hier dazu die Anleitung von Rene-gad. __________________ Logfiles bitte immer in CODE-Tags posten

Nach hunderten Trojanern/Viren/Würmer - Hijack Log

Log-Analyse und Auswertung: Nach hunderten Trojanern/Viren/Würmer - Hijack Log