Verzeichnis von C:\WINDOWS\system32

03.09.2007 19:30 0 nmp.log
03.09.2007 14:04 13.678 wpa.dbl
01.09.2007 11:59 112.584 FNTCACHE.DAT
01.09.2007 11:59 47 imon1.dat
29.08.2007 13:15 298.104 imon.dll
29.08.2007 13:05 406 awcktsba.ini
29.08.2007 09:38 346 bqrhwfwu.ini
28.08.2007 14:24 81.984 bdod.bin
28.08.2007 12:30 1.265.753 ucfjtgal.ini
28.08.2007 12:00 0 bdss.log
28.08.2007 11:13 1.265.753 hngybqms.ini
28.08.2007 11:01 1.267.201 ltldtxse.ini
27.08.2007 21:51 1.255.714 dekqvett.ini
26.08.2007 21:19 1.255.474 kynkhqhg.ini
26.08.2007 21:13 585 nheqsmay.ini
19.08.2007 22:37 143 mcrh.tmp
19.08.2007 11:16 465 rbsitnxl.ini
18.08.2007 20:08 392.296 perfh009.dat
18.08.2007 20:08 58.596 perfc009.dat
18.08.2007 20:08 70.580 perfc007.dat
18.08.2007 20:08 405.118 perfh007.dat
18.08.2007 20:08 938.224 PerfStringBackup.INI
18.08.2007 12:58 103.736 PnkBstrB.exe
15.08.2007 15:39 1.207.657 jncsknsr.ini
15.08.2007 13:19 1.233.416 epnqhlod.ini
14.08.2007 10:19 1.214.144 ivpctxyc.ini
12.08.2007 05:24 2.423.246 pwjubfqe.ini
12.08.2007 05:19 3.648.846 kvhxhdwi.ini
11.08.2007 01:02 1.213.841 lvewhotx.tmp
11.08.2007 00:57 1.213.841 lvewhotx.ini
08.08.2007 11:43 231.520 geeba.VIR
05.08.2007 14:40 66.872 PnkBstrA.exe


das ist ja das komische ... die datein werden von filelist noch gefunden aber sie sind net mehr im system32 ordner ... ja und ich kann die versteckten datein sehen ...

Irgendwie traue ich in dem Fall allerdings doch mehr der filelist, als dem Explorer.

Also bitte einmal folgendes Skript durch den Avenger jagen (ich füg die Anleitung einfach mal ein ):
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\Windows\system32\awcktsba.ini
C:\Windows\system32\bqrhwfwu.ini
C:\Windows\system32\bdod.bin
C:\Windows\system32\ucfjtgal.ini
C:\Windows\system32\bdss.log
C:\Windows\system32\hngybqms.ini
C:\Windows\system32\ltldtxse.ini
C:\Windows\system32\dekqvett.ini
C:\Windows\system32\kynkhqhg.ini
C:\Windows\system32\nheqsmay.ini
C:\Windows\system32\mcrh.tmp
C:\Windows\system32\rbsitnxl.ini
C:\Windows\system32\jncsknsr.ini
C:\Windows\system32\epnqhlod.ini
C:\Windows\system32\ivpctxyc.ini
C:\Windows\system32\pwjubfqe.ini
C:\Windows\system32\kvhxhdwi.ini
C:\Windows\system32\lvewhotx.tmp
C:\Windows\system32\lvewhotx.ini
C:\Windows\system32\geeba.VIR

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

lg myrtille

so danke erstmal für die hilfe bist jetzt

und hier das logfile von filelist:

Verzeichnis von C:\WINDOWS\system32

04.09.2007 11:49 0 nmp.log
04.09.2007 11:14 13.678 wpa.dbl
01.09.2007 11:59 112.584 FNTCACHE.DAT
01.09.2007 11:59 47 imon1.dat
29.08.2007 13:15 298.104 imon.dll
18.08.2007 20:08 392.296 perfh009.dat
18.08.2007 20:08 405.118 perfh007.dat
18.08.2007 20:08 70.580 perfc007.dat
18.08.2007 20:08 58.596 perfc009.dat
18.08.2007 20:08 938.224 PerfStringBackup.INI
18.08.2007 12:58 103.736 PnkBstrB.exe
05.08.2007 14:40 66.872 PnkBstrA.exe
05.07.2007 13:33 4.254 jupdate-1.6.0_01-b06.log
04.07.2007 19:55 34.064 lhacm.acm
29.06.2007 06:24 49.152 QuickTime.qts
29.06.2007 06:24 65.536 QuickTimeVR.qtx

und die avenger.txt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\prplsxrr

*******************

Script file located at: \??\C:\WINDOWS\system32\wigpigqf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Windows\system32\awcktsba.ini deleted successfully.
File C:\Windows\system32\bqrhwfwu.ini deleted successfully.
File C:\Windows\system32\bdod.bin deleted successfully.
File C:\Windows\system32\ucfjtgal.ini deleted successfully.
File C:\Windows\system32\bdss.log deleted successfully.
File C:\Windows\system32\hngybqms.ini deleted successfully.
File C:\Windows\system32\ltldtxse.ini deleted successfully.
File C:\Windows\system32\dekqvett.ini deleted successfully.
File C:\Windows\system32\kynkhqhg.ini deleted successfully.
File C:\Windows\system32\nheqsmay.ini deleted successfully.
File C:\Windows\system32\mcrh.tmp deleted successfully.
File C:\Windows\system32\rbsitnxl.ini deleted successfully.
File C:\Windows\system32\jncsknsr.ini deleted successfully.
File C:\Windows\system32\epnqhlod.ini deleted successfully.
File C:\Windows\system32\ivpctxyc.ini deleted successfully.
File C:\Windows\system32\pwjubfqe.ini deleted successfully.
File C:\Windows\system32\kvhxhdwi.ini deleted successfully.
File C:\Windows\system32\lvewhotx.tmp deleted successfully.
File C:\Windows\system32\lvewhotx.ini deleted successfully.
File C:\Windows\system32\geeba.VIR deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

mfg flanders

Hi, ich mach mal die Urlaubsvertretung für myrtille.

Sieht gut aus. Hast du noch Probleme mit dem PC?

nein das wars dann sonst komm ich mit rechner ansich allein zu recht

danke für die "befreiungshilfe" ich komm gern wieder auf euch zurück !

mfg Flanders

hallo hier bin ich doch nochmal ! habe doch noch irgendwas drauf .. antivir zeigt mir ständig den den trojaner ---> Fotomoto.E <----

bräuchte da nochmal ne hilfe

hjt log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:32, on 05.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AntiSpywareBot] C:\Programme\AntiSpywareBot\AntiSpywareBot.exe -boot
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186667620156
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6924 bytes

mfg flanders

Zitat:

Zitat von FlAnDeRs

antivir zeigt mir ständig den den trojaner ---> Fotomoto.E <----

Wo -Pfad/Datei -wurde sie gefunden, wo befindet sich die Datei jetzt?

Lade den Schädling mal bei virustotal.com hoch und poste bitte das komplette Ergebnis inkl. HASH und Dateigröße.

hi

also gefunden hats antivir ... gibt mir andauernd ne meldung...

so gibt antivir den pfad an!

C:\System Volume Information\_restore{C85BC7EF-57E7-49BC-A617-40AD3119F2AF}\RP240\A0048844.exe

sobald ich diesen pfad bei virustotal eingebe springt antivir an und gibt mir wieder ne virusmeldung ... der dateiname ändert sich und virustotal sagt mir das die datei nicht existiert ... und das spiel kann man dann ewig weiterführen ...

lg flanders

* Schädlinge in der Systemwiederherstellung
- Deaktiviere die Systemwiederherstellung und wechsel
in den abgesichteren Modus -> Anleitung
- Überprüfe mit deinem Antivirscanner Systemfestplatte(n)
- Neustart + neues HijackThis posten

mfg Cleriker