Bitte einmal überprüfen. Danke!

AlSharif · 30.08.2007, 08:56

Hallo,

habe mir einen Trojaner eingefangen. Inzwischen hab ich immerhin die registry und den taskmanager wieder zum Laufen bekommen, jedoch scheint er sich immer wieder auszubreiten, so dass ich bei jedem Systemstart von antivir beispielsweise folgende Viren angezeigt bekomme:

TR/Dropper.Gen
TR/Pandex.L.2

---------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:49:09, on 30.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
E:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\kb106\Dealio.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {746FFEA8-60F4-44D3-8BA2-6CAD18A4832E} - C:\WINDOWS\system32\ddaba.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\kb106\Dealio.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ6\ICQ.exe -minimize
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [au] C:\Programme\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [cohnlnyqg] c:\windows\system32\cohnlnyqg.exe cohnlnyqg
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\rwinlmdt.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\kb106\res\DealioSearch.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb106\Dealio.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D37C3F8-79D1-427D-BE07-0F5FCCDDEC80}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B19F3FE8-24EB-4813-87AC-9C60CB2E2292}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 7313 bytes

Also, ich sehe da nicht durch. Deswegen ein großes Dankeschön für eure Mühe

AlSharif · 30.08.2007, 11:46

Bitte helft mir!!!

myrtille · 30.08.2007, 13:26

Drängler werden hier nicht gern gesehen.

Wir tun was wir können, so schnell wir können. Wenns noch schneller gehen muss, dann wende dich an kostenpflichtigen Support, die haben sofort Zeit.

Du hast ne Menge seltsamer Sachen auf deinem Rechner.
Lass bitte folgende Dateien mal bei virustotal auswerten:

Zitat:

C:\WINDOWS\Temp\startdrv.exe
c:\windows\system32\cohnlnyqg.exe %systemroot%\system32\tscupgrd.exe "%SystemRoot%\System32\syssetub.dll"

Du kannst in deinem Explorer in die Adressleiste %systemRoot%\system32 eingeben um in den Ordner zu gelangen. Normalerweise entspricht %systemroot% C:\windows\.

lg myrtille

AlSharif · 30.08.2007, 14:21

Okay, ich sehs ein, tschuldigt bitte...

Datei tscupgrd.exe
Ergebnis: 0/32 (0%)

Datei cohnlnyqg.exe
Ergebnis: 1/32 (3.13%)
Webwasher-Gateway 6.0.1 2007.08.30 Virus.Win32.FileInfector.gen (suspicious)

"C:\WINDOWS\Temp\startdrv.exe" findet er nicht. Ich glaube AntiVir hat sie nach Systemstart sofort gelöscht.

"%SystemRoot%\System32\syssetub.dll" war auch nicht da. Als ich es gesucht habe, schlug antivir an und meldete "system32/mail.....sys" wurde gefunden, TR/Dropper.Gen

Habs gelöscht...

PS: Habe nach Überprüfung die cohnlnyqg.exe nochmal gesucht....war auch plötzlich weg ...

myrtille · 30.08.2007, 14:26

Bitte nicht eigenmächtig handeln.

Hättest du die Dateien nicht gelöscht, hätte man diese noch analysieren können, ich glaube nicht, dass die Dateien harmlos sind.

Lass dann mal Blacklight
über dein System laufen, ich hab ne dumpfe Ahnung, warum du nichts siehst und die hat nichts Gutes zu bedeuten.

EDIT: Bitte lass die von Anitvir gefunden Dateien auch auswerten und gib die gesamte Adresse an

lg myrtille

AlSharif · 30.08.2007, 16:05

Hm, habs versucht. Dein Programm sucht imemr noch.

Jetzt wollte ich die von Antivir gefundenen Dateien überprüfen lassen. Wie bekomme ich sie aus der Quarantäne hocgeladen??

Danke

myrtille · 30.08.2007, 17:55

Blacklight läuft seit 2 Stunden!?

Das ist nicht normal, ich vermute, dass das Programm da irgendwie behindert wird.

Versuche mal eine Alternative:

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner. Schließe alle anderen Programme und führe den Rootkitrevealer aus.
Poste das Log hier.

lg myrtille

AlSharif · 31.08.2007, 04:57

Eieiei, das sieht böse aus. Habe mal die startdrv.exe analysieren lassen:

Ergebnis: 17/32 (53.13%)

Antivirus Version letzte aktualisierung Ergebnis

AntiVir 7.4.1.66 2007.08.30 TR/Dropper.Gen
Avast 4.7.1029.0 2007.08.30 Win32:Agent-KKK
BitDefender 7.2 2007.08.31 Trojan.Kobcka.C
DrWeb 4.33 2007.08.31 BackDoor.Bulknet.60
eTrust-Vet 31.1.5098 2007.08.30 Win32/Cutwail!generic
Fortinet 3.11.0.0 2007.08.31 W32/Agent.CEO!tr.dldr
F-Prot 4.3.2.48 2007.08.31 W32/Downldr2.AOUA
F-Secure 6.70 2007.08.31 Trojan-Downloader.
Win32.Agent.ceo
Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.
Win32.Agent.ceo
Kaspersky 4.0.2.24 2007.08.31 Trojan-Downloader.
Win32.Agent.ceo
NOD32 v2 2493 2007.08.31 a variant of Win32/Trojan
Downloader.Agent.BRK
Norman 5.80.02 2007.08.30 W32/Agent.CCNB
Panda 9.0.0.4 2007.08.31 Bck/Haxdoor.PE
Sophos 4.21.0 2007.08.31 Mal/Dropper-O
Symantec 10 2007.08.31 Trojan.Pandex
VirusBuster 4.3.26:9 2007.08.30 Trojan.DL.Agent.Gen.8
Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Dropper.Gen

AlSharif · 31.08.2007, 05:16

Und nun: Dateien die sich unter
"Dokumente und Einstellungen/Benutzer/Temp" selbst erstellen.

Datei 1729312.exe

AhnLab-V3 2007.8.31.0 2007.08.31 Win32/Agent.worm.155648.B
AntiVir 7.4.1.66 2007.08.30 TR/Pandex.L.2
Authentium 4.93.8 2007.08.31 -
Avast 4.7.1029.0 2007.08.30 -
AVG 7.5.0.484 2007.08.30 I-Worm/Generic.BYS
BitDefender 7.2 2007.08.31 Dropped:Trojan.Pandex.L
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV 0.91.2 2007.08.31 -
DrWeb 4.33 2007.08.31 Trojan.NtRootKit.360
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5098 2007.08.30 Win32/Cutspeer.A
Ewido 4.0 2007.08.30 -
FileAdvisor 1 2007.08.31 -
Fortinet 3.11.0.0 2007.08.31 W32/Agent.L@mm
F-Prot 4.3.2.48 2007.08.31 -
F-Secure 6.70.13030.0 2007.08.31 Email-Worm.Win32.Agent.l
Ikarus T3.1.1.12 2007.08.31 Email-Worm.Win32.Agent.l
Kaspersky 4.0.2.24 2007.08.31 Email-Worm.Win32.Agent.l
McAfee 5109 2007.08.30 -
Microsoft 1.2803 2007.08.31 -
NOD32v2 2493 2007.08.31 -
Norman 5.80.02 2007.08.30 -
Panda 9.0.0.4 2007.08.31 Bck/Spammer.ADT
Prevx1 V2 2007.08.31 Trojan.Nudos
Rising 19.38.40.00 2007.08.31 -
Sophos 4.21.0 2007.08.31 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.31 -
TheHacker 6.1.9.175 2007.08.31 W32/Agent.l
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.30 -
Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Pandex.L.2

Datei 285406.exe

AhnLab-V3 2007.8.31.0 2007.08.31 Win-Trojan/Agent.40448.BZ
AntiVir 7.4.1.66 2007.08.30 HEUR/Malware
Authentium 4.93.8 2007.08.31 W32/Trojan.AWMI
Avast 4.7.1029.0 2007.08.30 Win32:Small-EPJ
AVG 7.5.0.484 2007.08.30 BackDoor.Generic7.XXD
BitDefender 7.2 2007.08.31 Rootkit.Agent.GV
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV 0.91.2 2007.08.31 Trojan.Agent-6946
DrWeb 4.33 2007.08.31 BackDoor.Bulknet
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5098 2007.08.30 Win32/Cutwail!generic
Ewido 4.0 2007.08.30 Rootkit.Agent.ey
FileAdvisor 1 2007.08.31 -
Fortinet 3.11.0.0 2007.08.31 -
F-Prot 4.3.2.48 2007.08.31 W32/Trojan.AWMI
F-Secure 6.70.13030.0 2007.08.31 Rootkit.Win32.Agent.ey
Ikarus T3.1.1.12 2007.08.31 Rootkit.Win32.Agent.ey
Kaspersky 4.0.2.24 2007.08.31 Rootkit.Win32.Agent.ey
McAfee 5109 2007.08.30 Spy-Agent.bv
Microsoft 1.2803 2007.08.31 Trojan:WinNT/Pandex.A!sys
NOD32v2 2493 2007.08.31 Win32/Wigon.Z
Norman 5.80.02 2007.08.30 W32/Rootkit.ALA
Panda 9.0.0.4 2007.08.31 -
Prevx1 V2 2007.08.31 Generic.Malware
Rising 19.38.40.00 2007.08.31 RootKit.Win32.Agent.sq
Sophos 4.21.0 2007.08.31 Troj/DropRk-A
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.31 Trojan.Pandex
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.08.30 BackDoor.Bulknet
VirusBuster 4.3.26:9 2007.08.30 Rootkit.Posh.A
Webwasher-Gateway 6.0.1 2007.08.31 Heuristic.Malware

SpyBot blockiert derweil ständig und fortlaufend Registryeinträge:

"Resident verweigert die Änderung von cohnlnyqg (Kategorie System Startup global entry)"

Ich habe mal den Rootkit-Revealer laufen lassen, klappte im Gegensatz zum anderen, was nach 4 Infektionen hängen blieb

tadellos ...

HKLM\SECURITY\Policy\Secrets\SAC* 04.08.2007 11:44 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 04.08.2007 11:44 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cohnlnyqg 30.08.2007 16:51 88 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv 30.08.2007 16:51 58 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\runtime2.sys 27.08.2007 15:48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\runtime2.sys 27.08.2007 15:48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\runtime2 31.08.2007 05:39 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 04.08.2007 20:56 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\runtime2.sys 27.08.2007 15:48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\runtime2.sys 27.08.2007 15:48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\runtime2 31.08.2007 05:39 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\000A5428d01 31.08.2007 06:07 37.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\015B8EC9d01 31.08.2007 06:07 29.46 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\1086AFFEd01 31.08.2007 06:07 28.68 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\13AE1E16d01 31.08.2007 06:07 40.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\1486ADA8d01 31.08.2007 06:07 31.69 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\14EF82E8d01 31.08.2007 06:07 124.50 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\1FDF6E78d01 31.08.2007 06:07 33.88 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\24D62477d01 31.08.2007 06:07 53.04 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\2DE556A7d01 31.08.2007 06:07 28.84 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\32B16C71d01 31.08.2007 06:07 34.57 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\45273BBEd01 31.08.2007 06:08 35.50 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\45473BBEd01 31.08.2007 06:07 35.50 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\46B0A7C8d01 31.08.2007 06:07 46.76 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\493933EAd01 31.08.2007 06:07 21.49 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\4FDA03AAd01 31.08.2007 06:07 26.03 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\52C3194Fd01 31.08.2007 06:04 25.92 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\570C41BDd01 31.08.2007 06:07 56.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\650092B1d01 31.08.2007 06:07 103.02 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\6AC9486Fd01 31.08.2007 06:07 100.76 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\98593144d01 31.08.2007 06:08 18.94 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\9D82BA26d01 31.08.2007 06:07 19.81 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\A4BA3A0Fd01 31.08.2007 06:08 18.94 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\AE4F394Ad01 31.08.2007 06:07 16.32 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\B004DF4Fd01 31.08.2007 06:08 22.03 KB Visible in directory index, but not Windows API or MFT.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\C06880C7d01 31.08.2007 06:07 100.62 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\E2E18785d01 31.08.2007 06:07 63.04 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\E8097096d01 31.08.2007 06:08 98.80 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oota7sxz.default\Cache\FCE48C82d01 31.08.2007 06:07 18.27 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp 31.08.2007 06:07 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\180x135_1DODzG8Kqm[1].jpg 31.08.2007 06:07 7.98 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\180x135_5Pk8mbI86E[1].jpg 31.08.2007 06:07 7.23 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\180x135_kQSxAzjAE9[1].jpg 31.08.2007 06:07 7.25 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\180x135_YlivwbJHNU[1].jpg 31.08.2007 06:07 10.28 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\280x210_X5p7vxX9wo[1].jpg 31.08.2007 06:07 18.27 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\712007[1].jpg 31.08.2007 06:07 19.81 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\Allgemein_Special-3_160x600_B1[1].gif 31.08.2007 06:08 22.03 KB Visible in directory index, but not Windows API or MFT.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PD3WGKM\animg_2_image_s

myrtille · 31.08.2007, 13:09

Hi,
bei einem Rootkit und Backdoorbefall bleibt dir leider nur eine Möglichkeit: Neuaufsetzen

lg myrtille

30.08.2007, 17:55	#7
myrtille /// TB-Ausbilder	Bitte einmal überprüfen. Danke! Blacklight läuft seit 2 Stunden!? Das ist nicht normal, ich vermute, dass das Programm da irgendwie behindert wird. Versuche mal eine Alternative: Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner. Schließe alle anderen Programme und führe den Rootkitrevealer aus. Poste das Log hier. lg myrtille

31.08.2007, 13:09	#10
myrtille /// TB-Ausbilder	Bitte einmal überprüfen. Danke! Hi, bei einem Rootkit und Backdoorbefall bleibt dir leider nur eine Möglichkeit: Neuaufsetzen lg myrtille

Bitte einmal überprüfen. Danke!

Log-Analyse und Auswertung: Bitte einmal überprüfen. Danke!