Trojaner setzt internet verbindung lahm

babis271 · 26.08.2007, 12:43

Hallo liebe Mit user von Trojaner boar da ich ein neues mitglied hier drine bin breuchte ich bitte eure hilfe .

Ich habe mir vor kurzen erst den laptop geholt als ich abends im msn war habe ich auch dummer weise den MSN VIRUS paris hilton beckommen den trojaner habe ich raus becommen habe alle antiviren und scanner progarmme die es nur gibt benutz (versteht sich alles im abgesichrten modus gestartet ) der lapi is frei .

Jetzt trennt sich aber komischer weise mene net verbindung obwohl ich noch online bin ...ich kann keine seiten mehr aufrufen obwohl ich noch online bin danach kannich auch nich mehr musik hören da er alles dicht macht . Mein verdacht ist auf ein anderen trojaner alles ist aber sauber ..

könte mir da jemand bitte weiter helfen ??

BS : Windows Xp SP2
Antivirus : Avast - Antivir

**Sunny** · 26.08.2007, 12:55

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Gruß
Sunny

babis271 · 26.08.2007, 13:13

Also zu erst einmal bedanke ich mich bei dir das du es mir so leicht gemacht hast um mir zu erkleren was ich machen muss

da ich ein bischen gerade durcheinander geckommen bin setzte ich das mal rein was ich gerde sehe sei mir bitte nich böse da ich mich auch nich so gut auskenne mit dem tehma pc aber bevor ich mich für das tehma formatieren endscheide google ich mich durch und frage expertern lieber wie hier

babis271 · 26.08.2007, 13:18

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 78B2-2F36

Verzeichnis von C:\

26.08.2007 14:11 805.306.368 pagefile.sys
23.08.2007 10:45 211 boot.ini
20.08.2007 14:06 0 mcaf.log
19.08.2007 16:17 43.040 hermcx.exe
18.08.2007 23:06 2 2024943414
13.08.2007 14:16 268 sqmdata09.sqm
13.08.2007 14:16 244 sqmnoopt05.sqm
25.03.2007 13:56 268 sqmdata08.sqm
25.03.2007 13:56 244 sqmnoopt04.sqm
24.03.2007 21:18 268 sqmdata07.sqm
24.03.2007 21:18 244 sqmnoopt03.sqm
02.02.2007 23:24 268 sqmdata06.sqm
02.02.2007 23:24 244 sqmnoopt02.sqm
02.02.2007 22:01 268 sqmdata05.sqm
02.02.2007 22:01 244 sqmnoopt01.sqm
02.02.2007 00:45 268 sqmdata04.sqm
02.02.2007 00:45 244 sqmnoopt00.sqm
02.02.2007 00:16 268 sqmdata03.sqm
02.02.2007 00:16 244 sqmnoopt19.sqm
30.01.2007 20:38 268 sqmdata02.sqm
30.01.2007 20:38 244 sqmnoopt18.sqm
30.01.2007 20:14 268 sqmdata01.sqm
30.01.2007 20:14 244 sqmnoopt17.sqm
27.01.2007 21:14 268 sqmdata00.sqm
27.01.2007 21:14 244 sqmnoopt16.sqm
----- System32 -------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 78B2-2F36

Verzeichnis von C:\WINDOWS\system32

21.08.2007 13:56 3.002 CONFIG.NT
21.08.2007 13:53 5.214 jupdate-1.6.0_02-b06.log
20.08.2007 22:57 401.398 perfh009.dat
20.08.2007 22:57 62.678 perfc009.dat
20.08.2007 22:57 416.044 perfh007.dat
20.08.2007 22:57 75.392 perfc007.dat
20.08.2007 22:57 966.250 PerfStringBackup.INI
20.08.2007 20:42 261 spupdwxp.log
20.08.2007 20:41 2.206 wpa.dbl
20.08.2007 20:41 179.448 FNTCACHE.DAT
18.08.2007 16:01 55.004 xpdx.sys
28.07.2007 00:07 783.224 aswBoot.exe
27.07.2007 23:57 95.608 AvastSS.scr
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
03.06.2007 14:31 10.752 ff_vfw.dll
31.05.2007 08:44 740.442 divx.dll
28.04.2007 14:54 593.920 xvidcore.dll
24.04.2007 11:32 1.485.696 LegitCheckControl.DLL
23.04.2007 02:15 3.596.288 qt-dx331.dll
23.04.2007 02:02 73.728 dpl100.dll
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:44 34.136 wucltui.dll.mui
08.03.2007 01:51 39.672 vxblock.dll
08.03.2007 01:51 379.640 pxwave.dll
08.03.2007 01:51 1.628.920 pxsfs.dll
08.03.2007 01:51 187.128 pxmas.dll
08.03.2007 01:51 64.760 pxinsa64.exe
08.03.2007 01:51 72.440 pxhpinst.exe
08.03.2007 01:51 510.712 pxdrv.dll
08.03.2007 01:51 64.760 pxcpya64.exe
08.03.2007 01:51 129.784 pxafs.dll
08.03.2007 01:51 547.576 px.dll
16.02.2007 10:54 49.152 QuickTime.qts
16.02.2007 10:54 65.536 QuickTimeVR.qtx
09.02.2007 20:31 1.134.623 HEIMNETZ
i

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 78B2-2F36

Verzeichnis von C:\WINDOWS\Prefetch

26.08.2007 14:19 15.774 CMD.EXE-087B4001.pf
26.08.2007 14:18 53.814 WINRAR.EXE-3588DFE8.pf
26.08.2007 14:16 14.054 NOTEPAD.EXE-336351A9.pf
26.08.2007 14:13 25.438 SETUP.OVR-10EB9DE2.pf
26.08.2007 14:13 28.020 WMIPRVSE.EXE-28F301A9.pf
26.08.2007 14:13 27.230 WUAUCLT.EXE-399A8E72.pf
26.08.2007 14:13 100.036 AVAST.SETUP-2B043760.pf
26.08.2007 14:13 797.406 NTOSBOOT-B00DFAAD.pf
26.08.2007 14:09 39.114 SVCHOST.EXE-3530F672.pf
26.08.2007 14:08 44.628 DRWTSN32.EXE-2B4B52AC.pf
26.08.2007 13:48 30.296 LOGONUI.EXE-0AF22957.pf
26.08.2007 13:38 29.778 WLLOGINPROXY.EXE-33926225.pf
26.08.2007 13:38 89.974 IEXPLORE.EXE-2CA9778D.pf
26.08.2007 12:08 11.122 RUNDLL32.EXE-451FC2C0.pf
26.08.2007 11:46 57.096 NMIndexStoreSvr.exe-1DBCF9FD.pf
26.08.2007 11:45 22.348 RUNDLL32.EXE-3FC4ABD5.pf
26.08.2007 11:45 45.784 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf
26.08.2007 11:44 19.170 CONTROL.EXE-013DBFB5.pf
26.08.2007 11:44 13.810 RUNDLL32.EXE-2341BBC5.pf
26.08.2007 11:40 108.528 UPDATE.EXE-13D57D76.pf
26.08.2007 11:39 58.704 USNSVC.EXE-1D8C2356.pf
26.08.2007 11:39 17.648 PREUPD.EXE-358AA1C1.pf
26.08.2007 11:38 69.426 MSNMSGR.EXE-091111D0.pf
25.08.2007 21:29 53.110 DISKCLEANER.EXE-015A6E3D.pf
25.08.2007 21:28 73.356 REGISTRYCLEANER.EXE-2ACFEEF7.pf
25.08.2007 21:28 54.270 SYSTEMOPTIMIZER.EXE-191231CF.pf
25.08.2007 21:28 34.666 ONECLICKMAINTENANCE.EXE-1D493D41.pf
25.08.2007 21:21 30.422 RUNDLL32.EXE-26F7E7E6.pf
25.08.2007 21:19 52.888 RUNDLL32.EXE-13404D23.pf
25.08.2007 21:13 13.860 RUNDLL32.EXE-19ADA8AF.pf
25.08.2007 13:29 13.560 SNDVOL32.EXE-383480B7.pf
25.08.2007 13:16 17.592 IMAPI.EXE-0BF740A4.pf
25.08.2007 13:14 64.386 NERO.EXE-2031B565.pf
25.08.2007 13:14 78.568 NEROSTARTSMART.EXE-0A488AA3.pf
25.08.2007 12:58 66.038 LIMEWIRE.EXE-1CE6208C.pf
25.08.2007 12:56 87.348 WINAMP.EXE-08C38ED9.pf
25.08.2007 11:46 35.994 AUDITION.EXE-3193310F.pf
25.08.2007 11:33 48.660 DW20.EXE-005BA42F.pf
25.08.2007 11:28 4.096 WSCNTFY.EXE-1B24F5EB.pf
25.08.2007 11:28 26.382 REGSVR32.EXE-25EEFE2F.pf
25.08.2007 11:27 18.464 SETUP_WM.EXE-344330D8.pf
25.08.2007 11:27 11.234 AUD_WMF.EXE-097D636F.pf
25.08.2007 11:23 4.922 KEYMAKER.EXE-24EE955F.pf
25.08.2007 11:22 107.050 MSIEXEC.EXE-2F8A8CAE.pf
25.08.2007 11:21 11.218 SETUP.EXE-04A4A35A.pf
25.08.2007 10:57 28.866 RUNDLL32.EXE-4CB845E8.pf
25.08.2007 10:53 17.698 NMBGMONITOR.EXE-0BC10095.pf
25.08.2007 10:53 14.800 NMFIRSTSTART.EXE-115B5C51.pf
25.08.2007 10:53 32.098 NEROSCOUTOPTIONS.EXE-03A37DAB.pf
25.08.2007 10:52 7.868 NEROREMOTECTRLHANDLER.EXE-20176ACF.pf
25.08.2007 10:52 32.496 NEROVISION.EXE-0D954CB8.pf
25.08.2007 10:52 13.814 NBSERVICE.EXE-00252459.pf
25.08.2007 10:47 19.262 TASKMGR.EXE-20256C55.pf
25.08.2007 10:46 19.994 SHFOLDER.EXE-270768E8.pf
25.08.2007 10:43 22.488 SETUPX.EXE-057EA756.pf
25.08.2007 10:39 52.704 NERO-7.0.8.2_ALL_NO_YT.EXE-298B837E.pf
25.08.2007 10:35 54.420 NERO-7.0.8.2_ALL_NO_YT.EXE-32808059.pf
25.08.2007 10:31 72.238 EXPLORER.EXE-082F38A9.pf
25.08.2007 10:13 11.480 IMAGEDRIVE.EXE-22BFA497.pf
25.08.2007 10:12 23.216 NEROSTARTSMART.EXE-280EC446.pf
25.08.2007 10:12 23.922 UNNERO.EXE-31B0EB60.pf
25.08.2007 10:12 5.728 NEROCHECK.EXE-092C6DFA.pf
25.08.2007 10:12 31.088 UNNERO.EXE-24B46BFF.pf
25.08.2007 10:01 56.650 NERO.EXE-32314E31.pf
25.08.2007 08:45 18.438 _IU14D2N.TMP-38A1306E.pf
25.08.2007 08:45 16.250 UNINS000.EXE-0D999965.pf
25.08.2007 08:45 6.872 SKIN.EXE-0D281E3E.pf
25.08.2007 08:39 51.634 SHAREAZA.EXE-257261C0.pf
25.08.2007 08:38 13.480 IS-4QJ83.TMP-32E32D32.pf
25.08.2007 08:38 13.500 SHAREAZA_2.2.5.5.EXE-384624B4.pf
25.08.2007 08:36 32.504 IEDW.EXE-2D047874.pf
25.08.2007 02:40 38.834 WMPLAYER.EXE-09969338.pf
25.08.2007 01:45 12.100 INSTALL.EXE-10ADD043.pf
25.08.2007 01:45 15.590 MSW76.TMP-00D2E3F4.pf
25.08.2007 01:45 22.638 DOWNLOAD.EXE-2ABD4045.pf
25.08.2007 01:35 18.522 TASKKILL.EXE-0A8306E3.pf
25.08.2007 01:35 10.354 WGATRAY.EXE-2E5D4BB0.pf
25.08.2007 01:30 10.256 WGATRAY.EXE-0D487BDF.pf
25.08.2007 01:30 10.256 WGATRAY.EXE-0AB0D223.pf
25.08.2007 01:24 10.256 WGATRAY.EXE-089BFA7B.pf
25.08.2007 01:24 10.256 WGATRAY.EXE-037CB44D.pf
25.08.2007 01:23 10.256 WGATRAY.EXE-050AC78B.pf
25.08.2007 01:11 66.766 ACRORD32.EXE-0EC716D9.pf
24.08.2007 23:57 150.256 MPLAYERC.EXE-27FBB82C.pf
24.08.2007 23:37 129.170 AVNOTIFY.EXE-22AE9451.pf
24.08.2007 09:07 376.280 Layout.ini
24.08.2007 08:10 3.434 EXECNOWINDOW.EXE-0BAF0F10.pf
24.08.2007 08:10 6.696 UNPACK200.EXE-06A4D9DE.pf
24.08.2007 08:10 22.944 LIMEWIREWIN.EXE-1394187B.pf
23.08.2007 22:16 14.966 GUARDGUI.EXE-1BD45C30.pf
23.08.2007 22:09 56.622 MSIMN.EXE-0B61806C.pf
23.08.2007 17:24 17.714 UPDATE.EXE-142C0E6D.pf
23.08.2007 17:24 49.802 WINDOWSINSTALLER-KB893803-X86-06C5024D.pf
23.08.2007 17:23 12.606 SPYWAREFIGHTER.EXE-0507A64E.pf
23.08.2007 15:17 38.060 BLUESOLEIL.EXE-27062591.pf
23.08.2007 15:17 9.276 HID2HCI.EXE-0869C6B5.pf
23.08.2007 14:16 22.702 WAB.EXE-3B1FC393.pf
23.08.2007 14:15 17.876 UTORRENT.EXE-393CAE21.pf
23.08.2007 14:15 16.448 AU_.EXE-1563F1CE.pf
23.08.2007 14:15 11.854 HELPER.EXE-244ABC1F.pf
23.08.2007 14:15 11.556 UNINSTALLER.EXE-2294980C.pf
23.08.2007 14:15 15.204 A~NSISU_.EXE-15E93D38.pf
23.08.2007 14:15 10.798 UNINSTALL.EXE-0B559CB1.pf
23.08.2007 14:15 17.310 UNINS000.EXE-0EB917B2.pf
23.08.2007 14:15 15.072 _REGDLL.TMP-012E3A13.pf
23.08.2007 14:15 10.354 TVP.EXE-07D441DA.pf
23.08.2007 14:10 98.088 FIREFOX.EXE-17EE503B.pf
23.08.2007 12:32 63.590 DFRGNTFS.EXE-269967DF.pf
23.08.2007 12:32 34.820 MMC.EXE-1EF9AA05.pf
23.08.2007 12:32 14.248 CLEANMGR.EXE-1F86EA8E.pf
23.08.2007 10:17 24.110 MSCONFIG.EXE-35E4DAE9.pf
22.08.2007 17:10 17.650 SP3.0.387.BETA.EXE-01F2C794.pf
22.08.2007 17:00 10.048 WLANGUI.EXE-0299A31C.pf
22.08.2007 16:52 12.678 REGEDIT.EXE-1B606482.pf
22.08.2007 16:44 40.380 RSTRUI.EXE-03C49A96.pf
22.08.2007 16:39 9.034 UNERASE.EXE-0680700B.pf
22.08.2007 16:38 46.260 UNDELETE.EXE-0A5CE9F4.pf
22.08.2007 16:01 63.816 WMPLAYER.EXE-0996933C.pf
22.08.2007 15:38 47.422 AVSCAN.EXE-05AECC0E.pf
22.08.2007 15:11 54.542 AVCONFIG.EXE-3B8B9C26.pf
22.08.2007 15:10 64.688 AVCENTER.EXE-37584419.pf
22.08.2007 15:10 16.372 AVGNT.EXE-36CA4640.pf
22.08.2007 14:11 14.666 DEFRAG.EXE-273F131E.pf
21.08.2007 22:59 73.536 WMPLAYER.EXE-0996933A.pf
21.08.2007 18:32 59.282 ASHSIMPL.EXE-007287FE.pf
21.08.2007 13:53 39.460 UNPACK200.EXE-087E38E4.pf
21.08.2007 13:53 7.130 LAUNCHER.EXE-2D15694C.pf
21.08.2007 00:19 48.990 UNREGMP2.EXE-07CACB61.pf
20.08.2007 21:54 16.540 RUNONCE.EXE-2803F297.pf
20.08.2007 21:53 23.282 SEC3_SUPPORT.EXE-07E78583.pf
130 Datei(en) 5.494.506 Bytes
0 Verzeichnis(se), 5.291.507.712 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 78B2-2F36

Verzeichnis von C:\WINDOWS

26.08.2007 14:11 405.234 WindowsUpdate.log
26.08.2007 14:11 0 0.log
26.08.2007 14:11 2.048 bootstat.dat
26.08.2007 14:10 32.616 SchedLgU.Txt
25.08.2007 21:13 86.906 setupapi.log
25.08.2007 11:27 60.549 wmsetup.log
23.08.2007 17:25 68.411 iis6.log
23.08.2007 17:25 22.594 comsetup.log
23.08.2007 17:25 12.302 ntdtcsetup.log
23.08.2007 17:25 1.374 imsins.log
23.08.2007 17:25 3.119 tabletoc.log
23.08.2007 17:25 20.420 tsoc.log
23.08.2007 17:25 2.038 ocmsn.log
23.08.2007 17:25 9.183 KB893803v2.log
23.08.2007 17:25 6.548 netfxocm.log
23.08.2007 17:25 7.335 MedCtrOC.log
23.08.2007 17:25 26.340 ocgen.log
23.08.2007 17:25 1.968 msgsocm.log
23.08.2007 17:25 30.692 FaxSetup.log
23.08.2007 17:25 15.818 msmqinst.log
23.08.2007 17:24 308 avmcowlan.log
23.08.2007 17:24 1.118 avmcoins.log
23.08.2007 16:23 116 NeroDigital.ini
23.08.2007 12:32 176.772 setupact.log
23.08.2007 10:45 227 system.ini
23.08.2007 10:45 477 win.ini
21.08.2007 11:11 216 wiadebug.log
21.08.2007 10:49 50 wiaservc.log
21.08.2007 00:19 236 wmsetup10.log
20.08.2007 23:27 730 SpywareDoctor505Uninstall.log
20.08.2007 22:55 217 SpywareDoctor505Installation.log
20.08.2007 20:44 1.175 OEWABLog.txt
20.08.2007 20:44 57.942 spupdsvc.log
20.08.2007 20:44 316.640 WMSysPr9.prx
20.08.2007 20:44 597 DtcInstall.log
20.08.2007 20:42 12.203 setuplog.txt
20.08.2007 20:40 404.594 svcpack.log
20.08.2007 19:09 600 cmsetacl.log
20.08.2007 19:09 1.645 sessmgr.setup.log
20.08.2007 17:20 1.109.750 setupapi.log.0.old
20.08.2007 16:40 1.409 QTFont.for
20.08.2007 16:40 54.156 QTFont.qfn
20.08.2007 10:34 2.758 ie7_main.log
19.08.2007 10:46 19.944 DPINST.LOG
15.08.2007 09:46 1.140 mozver.dat
15.08.2007 09:45 0 nsreg.dat
13.08.2007 22:56 6.104 ModemLog_Bluetooth DUN Modem.txt
13.08.2007 22:56 6.098 ModemLog_Bluetooth Fax Modem.txt
13.08.2007 22:56 4.142 ModemLog_HSP56 MR.txt
02.02.2007 00:15 347 nsw.log

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 78B2-2F36

Verzeichnis von C:\WINDOWS\tasks

26.08.2007 14:11 6 SA.DAT
18.08.2001 23:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 5.291.507.712 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 78B2-2F36

Verzeichnis von C:\WINDOWS\temp

26.08.2007 14:11 16.384 Perflib_Perfdata_51c.dat
26.08.2007 11:39 0 UpdD.tmp
25.08.2007 21:20 16.384 Perflib_Perfdata_54c.dat
25.08.2007 12:55 16.384 Perflib_Perfdata_57c.dat
25.08.2007 10:55 16.384 Perflib_Perfdata_524.dat
25.08.2007 00:14 16.384 Perflib_Perfdata_53c.dat
24.08.2007 23:59 16.384 Perflib_Perfdata_564.dat
24.08.2007 23:35 0 UpdC.tmp
24.08.2007 23:33 16.384 Perflib_Perfdata_5b0.dat
24.08.2007 16:13 16.384 Perflib_Perfdata_580.dat
23.08.2007 22:57 0 UpdB.tmp
23.08.2007 22:54 16.384 Perflib_Perfdata_5c8.dat
23.08.2007 22:05 16.384 Perflib_Perfdata_554.dat
23.08.2007 21:20 131.072 8AF12AB59DCE7145.tmp
23.08.2007 21:19 16.384 Perflib_Perfdata_5b8.dat
23.08.2007 17:30 16.384 Perflib_Perfdata_520.dat
23.08.2007 16:59 16.384 Perflib_Perfdata_5dc.dat
23.08.2007 14:08 16.384 Perflib_Perfdata_588.dat
23.08.2007 10:59 16.384 Perflib_Perfdata_528.dat
22.08.2007 22:54 0 Upd9.tmp
22.08.2007 15:07 0 Upd8.tmp
22.08.2007 15:07 0 Upd7.tmp
22.08.2007 15:06 0 Upd6.tmp
22.08.2007 15:05 0 Upd5.tmp
21.08.2007 22:57 16.384 Perflib_Perfdata_508.dat
21.08.2007 21:54 0 UpdE.tmp
21.08.2007 21:40 0 svcipa.exe
21.08.2007 20:30 16.384 Perflib_Perfdata_5b4.dat
21.08.2007 18:31 16.384 Perflib_Perfdata_5c0.dat
21.08.2007 13:59 16.384 Perflib_Perfdata_5e0.dat
20.08.2007 21:54 0 UpdA.tmp
20.08.2007 21:53 290.816 SEC3_Support.exe
20.08.2007 11:10 20 sqlite_RrS8BcS28hbmI6c-journal
20.08.2007 11:10 0 sqlite_RrS8BcS28hbmI6c
20.08.2007 10:53 0 Upd4.tmp
20.08.2007 10:51 0 Upd3.tmp
20.08.2007 10:49 38.440 $_2341234.TMP
19.08.2007 20:51 0 Upd18.tmp
19.08.2007 20:51 0 Upd17.tmp
19.08.2007 17:37 0 Upd16.tmp
19.08.2007 17:31 133.556 $_2341233.TMP
19.08.2007 17:04 0 $b17a2e8.tmp
18.08.2007 16:03 131.072 B4396C79B4AEEEC3.tmp
18.08.2007 16:02 131.072 7CF28762C38CA0D4.tmp
18.08.2007 16:02 70.007 AE8AB41F91F72503.tmp
18.08.2007 16:02 131.072 302DCAF35670F42D.tmp
14.08.2007 08:44 161 DFC5A2B2.TMP
49 Datei(en) 1.545.560 Bytes
0 Verzeichnis(se), 5.291.503.616 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 78B2-2F36

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

26.08.2007 14:19 117.290 filelist.txt
26.08.2007 14:16 11.398 jusched.log
25.08.2007 12:13 0 TempCover6
25.08.2007 11:53 0 TempCover5
25.08.2007 11:33 81 dw.log
25.08.2007 11:27 0 TempCover4
25.08.2007 11:24 0 TempCover3
25.08.2007 11:21 1.200.128 193a5a.mst
25.08.2007 10:57 0 TempCover2
25.08.2007 10:46 36 int5BA.tmp
25.08.2007 10:28 40 int681.tmp
25.08.2007 10:28 417.896 int680.tmp
25.08.2007 10:28 0 int686.tmp
25.08.2007 10:28 0 int685.tmp
25.08.2007 10:28 0 int684.tmp
25.08.2007 10:28 0 int683.tmp
25.08.2007 10:28 0 int682.tmp
25.08.2007 10:28 2.200.149 int644.tmp
25.08.2007 10:27 38.740 int632.tmp
25.08.2007 10:25 8 int544.tmp
25.08.2007 10:25 1.645.728 int518.tmp
23.08.2007 14:37 1.292 java_install_reg.log

babis271 · 26.08.2007, 13:28

08/26/07 14:30:16 [Info]: BlackLight Engine 1.0.64 initialized
08/26/07 14:30:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/26/07 14:30:16 [Note]: 7019 4
08/26/07 14:30:16 [Note]: 7005 0
08/26/07 14:30:19 [Note]: 7006 0
08/26/07 14:30:19 [Note]: 7011 1492
08/26/07 14:30:20 [Note]: 7026 0
08/26/07 14:30:20 [Note]: 7026 0
08/26/07 14:30:25 [Note]: FSRAW library version 1.7.1022
08/26/07 14:36:16 [Note]: 7007 0

**Sunny** · 26.08.2007, 13:32

So weit, so gut, poste jetzt noch das Ergebnis von HijackThis, dann fangen wir an dein System zu bereinigen.

Gruß

babis271 · 26.08.2007, 13:35

habe doch beide ergebnisse rien gepostet ..

und von HijackThis und von F-Secure Blacklight

es sei den ich habe etwas falsch getahn ????

**Sunny** · 26.08.2007, 13:40

Falsch hast du bis jetzt noch garnichts gemacht

, was mir aber noch fehlt ist das hier:

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Erst wenn ich diese letzte Info habe, können wir loslegen..

Sunny

babis271 · 26.08.2007, 13:43

aaaa o.k soory mein fehler :-)

Logfile of HijackThis v1.99.1
Scan saved at 14:52:00, on 26.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{50D3371C-3CBA-47BC-9A12-B5D3F38BA745}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

**Sunny** · 26.08.2007, 14:14

Also viel konnte ich bislang noch nicht finden, aber kontrolliere mal dein System weiter:

*lade dir das Tool -> http://sosvirus.changelog.fr/MSNFix.zip
*entpacke das .zip Archiv auf den Desktop und starte die msnfix.bat
*Englische Sprache auswählen und suchen lassen (Search)
*wenn etwas gefunden wird drücke eine Taste, nach der Bereinigung den
Rechner neu starten lassen
*auf dem Desktop sollte eine .txt Datei nach dem Neustart erscheinen, öffne diese und kopiere den Inhalt hier in einen Beitrag

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\hermcx.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Du hast das bislang alles sehr gut gemacht dafür das du dich damit überhaupt nicht auskennst. Weiter so...

Sunny

babis271 · 26.08.2007, 14:22

kann es vileicht eigentlich auch sein das der Windows Genuine Advantage ein kleinen schaden anrichten könnte ??

vor etwas längerer zeit hatte mein kleiner neffe sich etwas runtergeladen und darauf kamm es dann . ich habe das system auf 4 tage züruck gesetzt und dachte das es o.k ist .

aber gibt es ne möglichkeit das er auch was damit zu tuhen hat ??

weil den tool damit ich es auf orginall machen kann nimmt er nich an warum weis ich ehrlih gesagt nich .

babis271 · 26.08.2007, 15:20

Also das ist das ergebniss vom online (die anderen beiden exe dateien dich ich gedownloadet habe nimmt er nich an er bricht die ganze zeit immer ab )

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.25 -
Authentium 4.93.8 2007.08.26 -
Avast 4.7.1029.0 2007.08.26 -
AVG 7.5.0.484 2007.08.25 -
BitDefender 7.2 2007.08.26 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.26 -
DrWeb 4.33 2007.08.26 Trojan.Spambot
eSafe 7.0.15.0 2007.08.26 Suspicious Trojan/Worm
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.26 -
FileAdvisor 1 2007.08.26 -
Fortinet 2.91.0.0 2007.08.26 -
F-Prot 4.3.2.48 2007.08.26 -
F-Secure 6.70.13030.0 2007.08.26 -
Ikarus T3.1.1.12 2007.08.26 -
Kaspersky 4.0.2.24 2007.08.26 -
McAfee 5105 2007.08.24 -
Microsoft 1.2803 2007.08.26 -
NOD32v2 2484 2007.08.25 Win32/Rustock.NCO
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.26 Suspicious file
Prevx1 V2 2007.08.26 -
Rising 19.37.62.00 2007.08.26 -
Sophos 4.21.0 2007.08.26 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.26 -
TheHacker 6.1.9.173 2007.08.26 -
VBA32 3.12.2.3 2007.08.26 -
VirusBuster 4.3.26:9 2007.08.25 -
Webwasher-Gateway 6.0.1 2007.08.26 Win32.Malware.dam (suspicious)
weitere Informationen
File size: 43040 bytes
MD5: 8dcdf9fd683198d2eb2ed9d76f163f7e
SHA1: 0056478791bb15f77a920f0a04a53f606fb48418

26.08.2007, 13:32	#6
Sunny Administrator > Competence Manager	Trojaner setzt internet verbindung lahm So weit, so gut, poste jetzt noch das Ergebnis von HijackThis, dann fangen wir an dein System zu bereinigen. Gruß __________________ --> Trojaner setzt internet verbindung lahm

Trojaner setzt internet verbindung lahm

Plagegeister aller Art und deren Bekämpfung: Trojaner setzt internet verbindung lahm