| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wurde von einem Trojaner infiziert. Bitte um HilfeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.09.2007, 20:57
| #1 |
| |  Wurde von einem Trojaner infiziert. Bitte um Hilfe Hallo, mein Rechner wurde wahrscheinlich von einem Trojaner infiziert. Ich hab mir Antvir installiert, nachdem ich lange Zeit Avast! benutzt habe. Nach der Installation kommt bei jedem Programmstart eine Alarmmeldung von Antivir, dass die Datei "cbxuvur.dll" im Windows/System32-Ordner wahrscheinlich infiziert ist. Antivir kann die Datei nicht entfernen bzw. reparieren, auch nicht im abgesicherten Modus, bei deaktivierter Systemwiederherstellung. Da ich von der Materie nicht allzuviel Ahnung hab, wende ich mich an euch. Meine aktuelle HJT-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:44:52, on 06.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\PackethSvc.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LXSUPMON.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\winC42.tmp.exe O4 - HKLM\..\Run: [wjebadqt] rundll32.exe "C:\Programme\wjebadqt\glcpsbaj.dll",Init O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [testlessbibfast] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Surf Test Less\VcSpam.exe O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Awei] "C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb O4 - HKCU\..\Run: [Rgipdr] C:\WINDOWS\?racle\?canregw.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.Sony-europe.com O15 - Trusted Zone: *.Sonystyle-europe.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163198250435 O17 - HKLM\System\CCS\Services\Tcpip\..\{CFE3094D-C440-4BB8-9590-839832B2DB4C}: NameServer = 217.237.150.51 217.237.148.22 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe -- End of file - 5271 bytes Desweiteren hab ich die infizierte Datei noch bei Virustotal.com auswerten lassen. Es folg deren Analysebericht: Datei cbxuvur.dll empfangen 2007.09.06 20:43:09 (CET) Ergebnis: 17/32 (53.13%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.5.0 2007.09.06 - AntiVir 7.6.0.5 2007.09.06 TR/Vundo.Gen Authentium 4.93.8 2007.09.06 - Avast 4.7.1029.0 2007.09.06 - AVG 7.5.0.485 2007.09.06 Adware Generic2.OYD BitDefender 7.2 2007.09.06 Trojan.Vundo.DMV CAT-QuickHeal 9.00 2007.09.06 - ClamAV 0.91.2 2007.09.06 - DrWeb 4.33 2007.09.06 Trojan.Virtumod.206 eSafe 7.0.15.0 2007.09.04 Suspicious Trojan/Worm eTrust-Vet 31.1.5114 2007.09.06 Win32/Vundo!generic Ewido 4.0 2007.09.06 - FileAdvisor 1 2007.09.06 - Fortinet 3.11.0.0 2007.09.06 - F-Prot 4.3.2.48 2007.09.06 - F-Secure 6.70.13030.0 2007.09.06 - Ikarus T3.1.1.12 2007.09.06 not-a-virus:AdWare.Win32.Virtumonde.jp Kaspersky 4.0.2.24 2007.09.06 not-a-virus:AdWare.Win32.Virtumonde.jp McAfee 5114 2007.09.06 - Microsoft 1.2803 2007.09.06 - NOD32v2 2510 2007.09.06 - Norman 5.80.02 2007.09.06 W32/Virtumonde.dam Panda 9.0.0.4 2007.09.06 Suspicious file Prevx1 V2 2007.09.06 Generic.Malware Rising 19.39.32.00 2007.09.06 - Sophos 4.21.0 2007.09.06 Virtumundo Sunbelt 2.2.907.0 2007.09.06 VIPRE.Suspicious Symantec 10 2007.09.06 Adware.VirtuMonde TheHacker 6.1.9.179 2007.09.06 Adware/Virtumonde.jp VBA32 3.12.2.4 2007.09.06 - VirusBuster 4.3.26:9 2007.09.06 Adware.Vundo.P.Gen Webwasher-Gateway 6.0.1 2007.09.06 Trojan.Vundo.Gen weitere Informationen File size: 43542 bytes MD5: 4a67e680c457c3b08780f5264d7cd266 SHA1: 0a5185821afa9c67fac1e592b0ee2457ec204cb8 packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=53C6E0011655169EAAE7003489002A00D5A9D028 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics Ich hoffe ihr könnt mir helfen, Mfg MeisterM |
|
06.09.2007, 21:18
| #2 |
| /// Helfer-Team    | Wurde von einem Trojaner infiziert. Bitte um Hilfe Hi,
__________________Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
Virustotal kennst Du ja schon, hier gleich noch ein paar Dateien zum Scannen:
Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab. Gruß, Karl |
|
09.09.2007, 18:57
| #3 |
| | Wurde von einem Trojaner infiziert. Bitte um Hilfe Also, ich habe diese Ordneroptionen gändert. Danach hab ich mich daran gemacht, die aufgelisteten Dateien zu suchen. Leider konnt ich sie nicht an Virustotal senden, da ich bzw. die Windows Suche, sie, oder die enthaltenden Ordner nicht gefunden habe. Die beiden Ausnahme bilden die Datei "winC42.tmp", die aber von Virustotal nicht akzeptiert wurde, da sie 0 Kb groß ist und "mgrs.exe" zu der aber nur die ähnliche Datei "mgrs.dll" existiert, die zu Anitvir gehört. Die Virustotal Analyse dieser Datei konnte keinen Virus feststellen.
__________________Als nächstes habe ich diese Filelist erstellt. Das hat sofort funktioniert, jdeoch ist die Datei trotz Kürzungen so groß, dass der Thread sie nicht annimmt und ich sie auch nicht als Attachment anhängen kann. Deshalb mach ich alles einzeln: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\
09.09.2007 18:24 12.782 check_LSA7.txt
09.09.2007 18:24 268.013.568 hiberfil.sys
09.09.2007 18:24 419.430.400 pagefile.sys
06.09.2007 20:17 242 boot.ini
20.02.2007 14:45 475 rapport.txt
14 Datei(en) 687.924.561 Bytes
0 Verzeichnis(se), 17.148.964.864 Bytes frei
Code:
ATTFilter ----- System32 -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\system32
09.09.2007 19:10 6.138 sstwa.ini2
09.09.2007 18:26 1.158 wpa.dbl
06.09.2007 22:05 249.768 TZLog.log
06.09.2007 18:19 2.953 CONFIG.NT
06.09.2007 18:15 6.448 sstwa.tmp
06.09.2007 18:10 244.832 awtss.dll
06.09.2007 18:06 12 gtv_sd.bin
06.09.2007 18:06 92 sznf.ascii
06.09.2007 18:05 2 wcpsvtr.exe
06.09.2007 18:05 4 fuamfu32.ini
06.09.2007 18:05 13 din.ip
06.09.2007 18:05 15.360 drvhavr.dll
06.09.2007 18:05 43.542 cbxuvur.dll
06.09.2007 15:47 60.928 claq.dll
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 20:58 58.596 perfc009.dat
12.07.2007 20:58 392.296 perfh009.dat
12.07.2007 20:58 405.118 perfh007.dat
12.07.2007 20:58 70.580 perfc007.dat
12.07.2007 20:58 898.756 PerfStringBackup.INI
05.07.2007 16:59 99.048 FNTCACHE.DAT
26.06.2007 16:09 664.576 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 20:09 3.079.680 mshtml.dll
14.06.2007 20:09 617.472 urlmon.dll
14.06.2007 20:09 39.424 pngfilt.dll
14.06.2007 20:09 474.624 shlwapi.dll
14.06.2007 20:09 1.494.528 shdocvw.dll
14.06.2007 20:09 449.024 mshtmled.dll
14.06.2007 20:09 532.480 mstime.dll
14.06.2007 20:09 146.432 msrating.dll
14.06.2007 20:09 152.064 cdfview.dll
14.06.2007 20:09 96.768 inseng.dll
14.06.2007 20:09 251.392 iepeers.dll
14.06.2007 20:09 55.808 extmgr.dll
14.06.2007 20:09 1.023.488 browseui.dll
14.06.2007 20:09 1.056.256 danim.dll
14.06.2007 20:09 205.312 dxtrans.dll
14.06.2007 20:09 16.384 jsproxy.dll
14.06.2007 20:09 357.888 dxtmsft.dll
14.06.2007 16:24 123.904 xpsp3res.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 15:03 1.275.392 msxml4.dll
30.04.2007 02:22 4.734.976 wmp.dll
25.04.2007 16:22 144.896 schannel.dll
18.04.2007 18:13 2.854.400 msi.dll
16.04.2007 17:53 1.058.304 kernel32.dll
13.04.2007 03:21 271.360 mscoree.dll
02.04.2007 07:58 546.304 hhctrl.ocx
2020 Datei(en) 397.346.010 Bytes
0 Verzeichnis(se), 17.148.825.600 Bytes frei
Code:
ATTFilter ----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\Prefetch
09.09.2007 19:10 10.912 FIND.EXE-0EC32F1E.pf
09.09.2007 19:10 12.052 CMD.EXE-087B4001.pf
09.09.2007 19:10 17.746 VERCLSID.EXE-3667BD89.pf
09.09.2007 19:10 17.040 GUARDGUI.EXE-1BD45C30.pf
09.09.2007 18:56 99.056 EXPLORER.EXE-082F38A9.pf
09.09.2007 18:50 111.328 FIREFOX.EXE-1D57670A.pf
09.09.2007 18:47 15.856 TASKMGR.EXE-20256C55.pf
09.09.2007 18:44 44.790 MSHTA.EXE-331DF029.pf
09.09.2007 18:43 14.690 RUNDLL32.EXE-19F507BE.pf
09.09.2007 18:41 15.458 WINHLP32.EXE-2C18E975.pf
09.09.2007 18:33 31.752 WMIPRVSE.EXE-28F301A9.pf
09.09.2007 18:33 17.328 RUNDLL32.EXE-1B7D821A.pf
09.09.2007 18:32 19.404 REGSVR32.EXE-25EEFE2F.pf
09.09.2007 18:28 18.034 WMIAPSRV.EXE-1E2270A5.pf
09.09.2007 18:28 13.382 NOTEPAD.EXE-336351A9.pf
09.09.2007 18:28 14.024 VASERV.EXE-05E057DD.pf
09.09.2007 18:28 13.044 CAPICTRL.EXE-2768600B.pf
09.09.2007 18:28 49.868 ?CANREGW.EXE-2100F0EB.pf
09.09.2007 18:28 18.144 TEATIMER.EXE-38E505A8.pf
09.09.2007 18:27 33.434 RUNDLL32.EXE-2F76EEDF.pf
09.09.2007 18:27 72.698 AVGNT.EXE-36CA4640.pf
09.09.2007 18:27 54.510 QTTASK.EXE-2D7EEF34.pf
09.09.2007 18:27 12.866 BJPSMAIN.EXE-13BB334D.pf
09.09.2007 18:27 13.612 RUNDLL32.EXE-383267D7.pf
09.09.2007 18:27 21.952 RUNDLL32.EXE-1EFB9777.pf
09.09.2007 18:27 13.784 LXSUPMON.EXE-043C97EB.pf
09.09.2007 18:27 56.694 IMAPI.EXE-0BF740A4.pf
09.09.2007 18:27 1.075.580 NTOSBOOT-B00DFAAD.pf
09.09.2007 14:29 7.456 WSCNTFY.EXE-1B24F5EB.pf
09.09.2007 14:29 52.844 LOGONUI.EXE-0AF22957.pf
09.09.2007 14:29 15.544 RUNDLL32.EXE-1C05E32B.pf
09.09.2007 14:24 78.766 IEXPLORE.EXE-2CA9778D.pf
09.09.2007 14:11 46.486 RUNDLL32.EXE-1831A4F3.pf
09.09.2007 14:11 20.274 CONTROL.EXE-013DBFB5.pf
09.09.2007 14:10 52.270 WGATRAY.EXE-0ED38BED.pf
09.09.2007 14:10 47.132 USERINIT.EXE-30B18140.pf
09.09.2007 14:10 10.166 WINLOGON.EXE-32C57D49.pf
09.09.2007 14:10 8.034 CSRSS.EXE-12B63473.pf
09.09.2007 14:05 298.344 Layout.ini
09.09.2007 14:01 6.344 LOGON.SCR-151EFAEA.pf
09.09.2007 13:50 11.858 YQVGGGFM.EXE-2A7C5668.pf
09.09.2007 11:34 16.004 RUNDLL32.EXE-2FF0653C.pf
09.09.2007 11:32 11.632 RUNDLL32.EXE-15DF0867.pf
08.09.2007 22:47 56.566 WUAUCLT.EXE-399A8E72.pf
08.09.2007 22:46 11.924 GUTHSPDB.EXE-0BA0AD52.pf
08.09.2007 22:30 12.324 GVMMKYPQ.EXE-015F320D.pf
08.09.2007 21:51 64.644 DFRGNTFS.EXE-269967DF.pf
08.09.2007 21:51 15.952 DEFRAG.EXE-273F131E.pf
08.09.2007 21:04 57.132 EINRICHTUNG.EXE-114B73D0.pf
08.09.2007 20:22 56.630 AVCENTER.EXE-37584419.pf
08.09.2007 20:16 54.218 UPDATE.EXE-13D57D76.pf
08.09.2007 20:16 17.812 PREUPD.EXE-358AA1C1.pf
08.09.2007 20:15 62.998 MSIEXEC.EXE-2F8A8CAE.pf
06.09.2007 22:51 71.334 DUMPREP.EXE-1B46F901.pf
05.09.2007 22:05 61.152 HELPSVC.EXE-2878DDA2.pf
03.09.2007 20:56 10.998 RUNDLL32.EXE-451FC2C0.pf
56 Datei(en) 3.145.876 Bytes
0 Verzeichnis(se), 17.148.850.176 Bytes frei
Code:
ATTFilter ----- Windows --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS
09.09.2007 18:26 1.780.807 WindowsUpdate.log
09.09.2007 18:25 0 0.log
09.09.2007 18:25 159 wiadebug.log
09.09.2007 18:25 50 wiaservc.log
09.09.2007 18:24 2.048 bootstat.dat
09.09.2007 14:29 32.172 SchedLgU.Txt
09.09.2007 11:34 3.814 ModemLog_Lucent Win Modem.txt
06.09.2007 22:06 126.860 iis6.log
06.09.2007 22:06 1.355 imsins.log
06.09.2007 22:06 335.667 tsoc.log
06.09.2007 22:06 45.459 ocmsn.log
06.09.2007 22:06 179.075 ntdtcsetup.log
06.09.2007 22:06 285.220 comsetup.log
06.09.2007 22:06 25.413 KB933360.log
06.09.2007 22:06 450.672 ocgen.log
06.09.2007 22:06 42.465 msgsocm.log
06.09.2007 22:06 818.599 FaxSetup.log
06.09.2007 22:05 1.601 setupapi.log
06.09.2007 20:17 271 system.ini
06.09.2007 20:17 674 win.ini
06.09.2007 17:55 487 Capictrl.INI
06.09.2007 17:40 1.042.591 setupapi.log.0.old
06.09.2007 17:32 6.637 setupact.log
06.09.2007 17:25 59 WINPHONE.INI
18.08.2007 16:24 1.374 imsins.BAK
18.08.2007 16:24 10.396 KB936021.log
18.08.2007 15:22 15.638 KB938828.log
18.08.2007 15:22 37.235 updspapi.log
18.08.2007 15:22 15.008 KB921503.log
18.08.2007 15:22 14.809 KB938829.log
18.08.2007 15:22 15.354 KB938127.log
18.08.2007 15:22 19.766 KB937143.log
17.08.2007 18:15 31.230 spupdsvc.log
16.08.2007 21:42 6.589 KB936782.log
16.08.2007 21:42 28.838 wmsetup.log
16.08.2007 17:30 284.656 msxml4-KB936181-enu.LOG
22.07.2007 00:35 20.669 KB936357.log
17.07.2007 17:28 25.713 CSTBox.INI
14.07.2007 08:36 24.986 KB933566.log
12.07.2007 20:59 12.537 KB929123.log
12.07.2007 20:54 11.784 KB935840.log
12.07.2007 20:54 11.771 KB935839.log
13.06.2007 15:21 1.036.288 explorer.exe
01.06.2007 22:43 3.190 tm.ini
01.06.2007 22:36 124 tdf.dii
24.05.2007 15:06 10.290 KB927891.log
24.05.2007 15:06 13.197 KB931768.log
21.05.2007 18:25 10.440 KB930916.log
12.05.2007 21:55 46.996 KB923689.log
12.05.2007 20:03 69 NeroDigital.ini
12.05.2007 19:20 316.640 WMSysPr9.prx
12.05.2007 19:17 27.091 Directx.log
11.05.2007 14:04 1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
11.05.2007 13:54 436 nsw.log
15.04.2007 10:49 13.622 KB930178.log
15.04.2007 10:49 13.355 KB932168.log
14.04.2007 17:58 12.319 KB931261.log
14.04.2007 10:05 12.458 KB931784.log
14.04.2007 10:05 6.455 KB935448.log
04.04.2007 09:27 12.338 KB925902.log
292 Datei(en) 577.934.258 Bytes
0 Verzeichnis(se), 17.148.833.792 Bytes frei
Code:
ATTFilter ----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\tasks
09.09.2007 19:00 270 ACFDBA22902A3002.job
09.09.2007 18:24 6 SA.DAT
18.08.2001 12:00 65 desktop.ini
3 Datei(en) 341 Bytes
0 Verzeichnis(se), 17.148.833.792 Bytes frei
Code:
ATTFilter ----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\temp
09.09.2007 18:26 409 WGANotify.settings
09.09.2007 18:26 255 WGAErrLog.txt
06.09.2007 20:36 0 Upd1.tmp
06.09.2007 18:46 0 winC44.tmp
06.09.2007 18:44 0 winC42.tmp
06.09.2007 18:42 0 winC40.tmp
06.09.2007 18:40 0 winC3E.tmp
06.09.2007 18:38 0 winC3D.tmp
06.09.2007 18:19 0 UpdCA4.tmp
06.09.2007 18:17 0 winCA3.tmp
06.09.2007 18:14 0 UpdCA2.tmp
06.09.2007 18:07 99.884 NDrC87.tmp.xml
06.09.2007 18:06 10.240 server32.exe
06.09.2007 18:06 10.240 win16.exe
06.09.2007 18:05 0 winC53.tmp
06.09.2007 18:05 0 winC51.tmp
06.09.2007 18:05 0 winC50.tmp
06.09.2007 18:05 0 winC4F.tmp
06.09.2007 18:05 0 winC4C.tmp
06.09.2007 18:05 94.208 gosC4A.tmp
06.09.2007 18:05 0 winC49.tmp
06.09.2007 18:05 0 winC47.tmp
06.09.2007 18:05 43 removalfile.bat
06.09.2007 18:05 0 winC45.tmp
06.09.2007 18:05 38 a.bat
06.09.2007 18:05 0 winC43.tmp
06.09.2007 18:05 0 winC41.tmp
06.09.2007 18:05 1.021 winC3F.tmp
06.09.2007 18:03 0 winC3B.tmp
06.09.2007 18:03 0 winC3A.tmp
06.09.2007 18:03 0 winC3C.tmp
06.09.2007 18:03 0 winC39.tmp
06.09.2007 18:01 0 winC36.tmp
06.09.2007 18:01 0 winC38.tmp
06.09.2007 18:01 0 winC37.tmp
...
29.07.2007 17:04 0 win2A6C.tmp
29.07.2007 17:02 0 win2A62.tmp
29.07.2007 17:02 0 win2A65.tmp
29.07.2007 17:02 0 win2A63.tmp
29.07.2007 17:02 0 win2A64.tmp
29.07.2007 17:02 0 win2A61.tmp
29.07.2007 17:00 0 win2A5F.tmp
29.07.2007 17:00 0 win2A60.tmp
29.07.2007 17:00 0 win2A5E.tmp
29.07.2007 17:00 0 win2A5D.tmp
19.07.2007 19:46 34.494 outerinfo.ico
3405 Datei(en) 414.672 Bytes
0 Verzeichnis(se), 17.148.628.992 Bytes frei
Code:
ATTFilter ----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp
09.09.2007 19:10 283.641 filelist.txt
09.09.2007 19:04 760 NDr1D.tmp.html
09.09.2007 19:04 667 NDr1C.tmp.html
09.09.2007 19:03 4.433 def_oin_thumb.jpg
09.09.2007 18:28 16.384 Perflib_Perfdata_f44.dat
06.09.2007 20:26 16.384 ~DF61A7.tmp
05.09.2007 21:54 797.676 IMT5A.xml
05.09.2007 21:54 426 IMT59.xml
05.09.2007 21:54 2.036 IMT58.xml
05.09.2007 21:53 797.676 IMT55.xml
05.09.2007 21:53 426 IMT54.xml
05.09.2007 21:53 2.036 IMT53.xml
05.09.2007 21:53 797.676 IMT52.xml
05.09.2007 21:53 426 IMT51.xml
05.09.2007 21:53 2.036 IMT50.xml
05.09.2007 21:52 1.022 IMT47.dtd
05.09.2007 21:52 2.794.308 IMT46.xml
05.09.2007 21:51 797.676 IMT45.xml
05.09.2007 21:51 426 IMT44.xml
05.09.2007 21:51 2.036 IMT43.xml
05.09.2007 21:51 797.676 IMT27.xml
05.09.2007 21:51 426 IMT26.xml
05.09.2007 21:51 2.036 IMT25.xml
05.09.2007 21:50 797.676 IMT20.xml
05.09.2007 21:50 426 IMT1F.xml
05.09.2007 21:50 2.036 IMT1E.xml
05.09.2007 21:50 797.676 IMT1D.xml
05.09.2007 21:50 426 IMT1C.xml
05.09.2007 21:50 2.036 IMT1B.xml
05.09.2007 21:50 797.676 IMT1A.xml
05.09.2007 21:50 426 IMT19.xml
05.09.2007 21:50 2.036 IMT18.xml
05.09.2007 21:49 797.676 IMT10.xml
05.09.2007 21:49 426 IMTF.xml
05.09.2007 21:49 2.036 IMTE.xml
05.09.2001 06:23 56.320 SET2A73.tmp
05.09.2001 05:23 56.320 SET2A74.tmp
37 Datei(en) 10.431.481 Bytes
0 Verzeichnis(se), 17.148.669.952 Bytes frei
Ausserdem sind durch Meldungen von AntiVir folgende Dateien aufgefallen: -fqsuesjt.exe -valera[1] -jjgeksjv.exe -hhadgrky.dll Allesamt langen sie laut Antivir irgendwo in "C:\Dokumente und Einstellungen" (der ganze Pfad wird nie angezeigt) und nach der Meldung nicht mehr auffindbar, so dass ich sie auch nicht scannen lassen konnte. Danke fürs Helfen! |
|
09.09.2007, 19:26
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™  | Wurde von einem Trojaner infiziert. Bitte um Hilfe Ich übernehm mal für KarlKarl. Da du zumindest den Vundo drauf hast, acker das hier mal ab: * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. Mach dann mal ein neues Filelist, so können wir ggf. krumme Dateien finden, die nicht zu Vundo gehören. Du könntest VOR dem erneuten Erstellen die tempfade leeren - dieses CMD-script könnte dir dabei helfen, speicher es auf dem Desktop und klick es doppelt an (es müsste nur kurz ein schwarzes fenster erscheinen).
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
09.09.2007, 19:30
| #5 |
| /// Helfer-Team | Wurde von einem Trojaner infiziert. Bitte um Hilfe Editiert: Danke Cosinus |
|
09.09.2007, 19:31
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurde von einem Trojaner infiziert. Bitte um Hilfe Kaum springt man ein, isser schon da! 
__________________ --> Wurde von einem Trojaner infiziert. Bitte um Hilfe |
|
09.09.2007, 19:50
| #7 |
| | Wurde von einem Trojaner infiziert. Bitte um Hilfe So, hat alles prima funktioniert, Antivir meldet auch nix mehr. Vielen Dank! Jedoch startet der INetExplorer immernoch von alleine... Hier ist die neue Filelist: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\
09.09.2007 20:41 546 check_LSA7.txt
09.09.2007 20:41 268.013.568 hiberfil.sys
09.09.2007 20:41 419.430.400 pagefile.sys
09.09.2007 20:40 364 VundoFix.txt
06.09.2007 20:17 242 boot.ini
15 Datei(en) 687.912.689 Bytes
0 Verzeichnis(se), 17.157.750.784 Bytes frei
----- System32 -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\system32
09.09.2007 20:43 793.732 sstwa.ini2
09.09.2007 20:42 1.158 wpa.dbl
09.09.2007 20:40 793.672 sstwa.ini
09.09.2007 19:33 779.536 sstwa.bak1
06.09.2007 22:05 249.768 TZLog.log
06.09.2007 18:19 2.953 CONFIG.NT
06.09.2007 18:15 6.448 sstwa.tmp
06.09.2007 18:10 244.832 awtss.dll
06.09.2007 18:06 12 gtv_sd.bin
06.09.2007 18:06 92 sznf.ascii
06.09.2007 18:05 2 wcpsvtr.exe
06.09.2007 18:05 4 fuamfu32.ini
06.09.2007 18:05 13 din.ip
06.09.2007 15:47 60.928 claq.dll
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 20:58 392.296 perfh009.dat
12.07.2007 20:58 58.596 perfc009.dat
12.07.2007 20:58 405.118 perfh007.dat
12.07.2007 20:58 70.580 perfc007.dat
12.07.2007 20:58 898.756 PerfStringBackup.INI
05.07.2007 16:59 99.048 FNTCACHE.DAT
26.06.2007 16:09 664.576 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 20:09 3.079.680 mshtml.dll
14.06.2007 20:09 617.472 urlmon.dll
14.06.2007 20:09 1.494.528 shdocvw.dll
14.06.2007 20:09 39.424 pngfilt.dll
14.06.2007 20:09 474.624 shlwapi.dll
14.06.2007 20:09 146.432 msrating.dll
14.06.2007 20:09 532.480 mstime.dll
14.06.2007 20:09 449.024 mshtmled.dll
14.06.2007 20:09 55.808 extmgr.dll
14.06.2007 20:09 96.768 inseng.dll
14.06.2007 20:09 1.023.488 browseui.dll
14.06.2007 20:09 357.888 dxtmsft.dll
14.06.2007 20:09 251.392 iepeers.dll
14.06.2007 20:09 16.384 jsproxy.dll
14.06.2007 20:09 205.312 dxtrans.dll
14.06.2007 20:09 1.056.256 danim.dll
14.06.2007 20:09 152.064 cdfview.dll
14.06.2007 16:24 123.904 xpsp3res.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 15:03 1.275.392 msxml4.dll
30.04.2007 02:22 4.734.976 wmp.dll
25.04.2007 16:22 144.896 schannel.dll
18.04.2007 18:13 2.854.400 msi.dll
16.04.2007 17:53 1.058.304 kernel32.dll
13.04.2007 03:21 271.360 mscoree.dll
02.04.2007 07:58 546.304 hhctrl.ocx
2020 Datei(en) 399.647.910 Bytes
0 Verzeichnis(se), 17.157.623.808 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\Prefetch
09.09.2007 20:40 13.674 REGEDIT.EXE-1B606482.pf
09.09.2007 20:40 8.410 VUNDOFIXSVC.EXE-18ADD79E.pf
09.09.2007 20:39 28.154 NOTEPAD.EXE-336351A9.pf
09.09.2007 20:39 23.072 GUARDGUI.EXE-1BD45C30.pf
09.09.2007 20:38 85.284 FIREFOX.EXE-1D57670A.pf
09.09.2007 20:36 13.530 VUNDOFIX.EXE-05C28E0E.pf
09.09.2007 20:36 73.598 IEXPLORE.EXE-2CA9778D.pf
09.09.2007 20:30 16.232 TASKMGR.EXE-20256C55.pf
09.09.2007 20:29 47.350 AVSCAN.EXE-05AECC0E.pf
09.09.2007 20:23 64.016 AVNOTIFY.EXE-22AE9451.pf
09.09.2007 20:23 56.630 AVCENTER.EXE-37584419.pf
09.09.2007 20:23 34.988 ANTIVIR_WORKSTATION_WIN7U_DE_-06B0BC01.pf
09.09.2007 20:19 20.584 REGSVR32.EXE-25EEFE2F.pf
09.09.2007 20:19 69.668 AVGNT.EXE-36CA4640.pf
09.09.2007 20:16 54.148 UPDATE.EXE-13D57D76.pf
09.09.2007 20:16 18.416 PREUPD.EXE-358AA1C1.pf
09.09.2007 20:11 98.852 EXPLORER.EXE-082F38A9.pf
09.09.2007 19:43 25.480 DWWIN.EXE-30875ADC.pf
09.09.2007 19:43 101.422 DUMPREP.EXE-1B46F901.pf
09.09.2007 19:33 34.624 WMIPRVSE.EXE-28F301A9.pf
09.09.2007 19:10 16.360 CMD.EXE-087B4001.pf
09.09.2007 19:10 10.912 FIND.EXE-0EC32F1E.pf
09.09.2007 19:10 17.746 VERCLSID.EXE-3667BD89.pf
09.09.2007 18:44 44.790 MSHTA.EXE-331DF029.pf
09.09.2007 18:43 14.690 RUNDLL32.EXE-19F507BE.pf
09.09.2007 18:41 15.458 WINHLP32.EXE-2C18E975.pf
09.09.2007 18:33 17.328 RUNDLL32.EXE-1B7D821A.pf
09.09.2007 18:28 18.034 WMIAPSRV.EXE-1E2270A5.pf
09.09.2007 18:28 14.024 VASERV.EXE-05E057DD.pf
09.09.2007 18:28 13.044 CAPICTRL.EXE-2768600B.pf
09.09.2007 18:28 49.868 ?CANREGW.EXE-2100F0EB.pf
09.09.2007 18:28 18.144 TEATIMER.EXE-38E505A8.pf
09.09.2007 18:27 33.434 RUNDLL32.EXE-2F76EEDF.pf
09.09.2007 18:27 54.510 QTTASK.EXE-2D7EEF34.pf
09.09.2007 18:27 12.866 BJPSMAIN.EXE-13BB334D.pf
09.09.2007 18:27 13.612 RUNDLL32.EXE-383267D7.pf
09.09.2007 18:27 21.952 RUNDLL32.EXE-1EFB9777.pf
09.09.2007 18:27 13.784 LXSUPMON.EXE-043C97EB.pf
09.09.2007 18:27 56.694 IMAPI.EXE-0BF740A4.pf
09.09.2007 18:27 1.075.580 NTOSBOOT-B00DFAAD.pf
09.09.2007 14:29 7.456 WSCNTFY.EXE-1B24F5EB.pf
09.09.2007 14:29 52.844 LOGONUI.EXE-0AF22957.pf
09.09.2007 14:29 15.544 RUNDLL32.EXE-1C05E32B.pf
09.09.2007 14:11 46.486 RUNDLL32.EXE-1831A4F3.pf
09.09.2007 14:11 20.274 CONTROL.EXE-013DBFB5.pf
09.09.2007 14:10 52.270 WGATRAY.EXE-0ED38BED.pf
09.09.2007 14:10 47.132 USERINIT.EXE-30B18140.pf
09.09.2007 14:10 10.166 WINLOGON.EXE-32C57D49.pf
09.09.2007 14:10 8.034 CSRSS.EXE-12B63473.pf
09.09.2007 14:05 298.344 Layout.ini
09.09.2007 14:01 6.344 LOGON.SCR-151EFAEA.pf
09.09.2007 13:50 11.858 YQVGGGFM.EXE-2A7C5668.pf
09.09.2007 11:34 16.004 RUNDLL32.EXE-2FF0653C.pf
09.09.2007 11:32 11.632 RUNDLL32.EXE-15DF0867.pf
08.09.2007 22:47 56.566 WUAUCLT.EXE-399A8E72.pf
08.09.2007 22:46 11.924 GUTHSPDB.EXE-0BA0AD52.pf
08.09.2007 22:30 12.324 GVMMKYPQ.EXE-015F320D.pf
08.09.2007 21:51 64.644 DFRGNTFS.EXE-269967DF.pf
08.09.2007 21:51 15.952 DEFRAG.EXE-273F131E.pf
08.09.2007 21:04 57.132 EINRICHTUNG.EXE-114B73D0.pf
08.09.2007 20:15 62.998 MSIEXEC.EXE-2F8A8CAE.pf
05.09.2007 22:05 61.152 HELPSVC.EXE-2878DDA2.pf
03.09.2007 20:56 10.998 RUNDLL32.EXE-451FC2C0.pf
63 Datei(en) 3.379.040 Bytes
0 Verzeichnis(se), 17.157.648.384 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS
09.09.2007 20:42 0 0.log
09.09.2007 20:42 159 wiadebug.log
09.09.2007 20:42 1.783.356 WindowsUpdate.log
09.09.2007 20:42 50 wiaservc.log
09.09.2007 20:41 2.048 bootstat.dat
09.09.2007 14:29 32.172 SchedLgU.Txt
09.09.2007 11:34 3.814 ModemLog_Lucent Win Modem.txt
06.09.2007 22:06 126.860 iis6.log
06.09.2007 22:06 1.355 imsins.log
06.09.2007 22:06 335.667 tsoc.log
06.09.2007 22:06 45.459 ocmsn.log
06.09.2007 22:06 179.075 ntdtcsetup.log
06.09.2007 22:06 285.220 comsetup.log
06.09.2007 22:06 25.413 KB933360.log
06.09.2007 22:06 450.672 ocgen.log
06.09.2007 22:06 42.465 msgsocm.log
06.09.2007 22:06 818.599 FaxSetup.log
06.09.2007 22:05 1.601 setupapi.log
06.09.2007 20:17 271 system.ini
06.09.2007 20:17 674 win.ini
06.09.2007 17:55 487 Capictrl.INI
06.09.2007 17:40 1.042.591 setupapi.log.0.old
06.09.2007 17:32 6.637 setupact.log
06.09.2007 17:25 59 WINPHONE.INI
18.08.2007 16:24 1.374 imsins.BAK
18.08.2007 16:24 10.396 KB936021.log
18.08.2007 15:22 15.638 KB938828.log
18.08.2007 15:22 37.235 updspapi.log
18.08.2007 15:22 15.008 KB921503.log
18.08.2007 15:22 14.809 KB938829.log
18.08.2007 15:22 15.354 KB938127.log
18.08.2007 15:22 19.766 KB937143.log
17.08.2007 18:15 31.230 spupdsvc.log
16.08.2007 21:42 6.589 KB936782.log
16.08.2007 21:42 28.838 wmsetup.log
16.08.2007 17:30 284.656 msxml4-KB936181-enu.LOG
22.07.2007 00:35 20.669 KB936357.log
17.07.2007 17:28 25.713 CSTBox.INI
14.07.2007 08:36 24.986 KB933566.log
12.07.2007 20:59 12.537 KB929123.log
12.07.2007 20:54 11.784 KB935840.log
12.07.2007 20:54 11.771 KB935839.log
13.06.2007 15:21 1.036.288 explorer.exe
01.06.2007 22:43 3.190 tm.ini
01.06.2007 22:36 124 tdf.dii
24.05.2007 15:06 10.290 KB927891.log
24.05.2007 15:06 13.197 KB931768.log
21.05.2007 18:25 10.440 KB930916.log
12.05.2007 21:55 46.996 KB923689.log
12.05.2007 20:03 69 NeroDigital.ini
12.05.2007 19:20 316.640 WMSysPr9.prx
12.05.2007 19:17 27.091 Directx.log
11.05.2007 14:04 1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
11.05.2007 13:54 436 nsw.log
15.04.2007 10:49 13.622 KB930178.log
15.04.2007 10:49 13.355 KB932168.log
14.04.2007 17:58 12.319 KB931261.log
14.04.2007 10:05 12.458 KB931784.log
14.04.2007 10:05 6.455 KB935448.log
04.04.2007 09:27 12.338 KB925902.log
292 Datei(en) 577.936.807 Bytes
0 Verzeichnis(se), 17.157.632.000 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\tasks
09.09.2007 20:41 6 SA.DAT
09.09.2007 20:00 270 ACFDBA22902A3002.job
3 Datei(en) 341 Bytes
0 Verzeichnis(se), 17.157.632.000 Bytes frei
----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\temp
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp
09.09.2007 20:43 120.465 filelist.txt
1 Datei(en) 120.465 Bytes
0 Verzeichnis(se), 17.157.632.000 Bytes frei
|
|
09.09.2007, 20:06
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurde von einem Trojaner infiziert. Bitte um Hilfe Ein paar Dateien seh ich so, die du löschen kannst. Geh dazu mal so vor: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.09.2007, 20:59
| #9 |
| | Wurde von einem Trojaner infiziert. Bitte um Hilfe OK. Alles erledingt, hier sind die Ergebnisse: Code:
ATTFilter Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ckjhnjwr
*******************
Script file located at: \??\C:\Program Files\dflebjqa.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\sstwa.ini2 deleted successfully.
File C:\WINDOWS\system32\sstwa.ini deleted successfully.
File C:\WINDOWS\system32\sstwa.bak1 deleted successfully.
File C:\WINDOWS\system32\sstwa.tmp deleted successfully.
File C:\WINDOWS\system32\awtss.dll deleted successfully.
File C:\WINDOWS\system32\gtv_sd.bin deleted successfully.
File C:\WINDOWS\system32\sznf.ascii deleted successfully.
File C:\WINDOWS\system32\wcpsvtr.exe deleted successfully.
File C:\WINDOWS\system32\fuamfu32.ini deleted successfully.
File C:\WINDOWS\system32\din.ip deleted successfully.
File C:\WINDOWS\system32\claq.dll deleted successfully.
File C:\WINDOWS\tasks\ACFDBA22902A3002.job deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\
09.09.2007 21:48 268.013.568 hiberfil.sys
09.09.2007 21:48 419.430.400 pagefile.sys
09.09.2007 21:48 2.386 avenger.txt
09.09.2007 21:46 1.080 nqfqrowb.bat
09.09.2007 21:46 126.976 zip.exe
09.09.2007 21:08 10.948 check_LSA7.txt
09.09.2007 20:40 364 VundoFix.txt
06.09.2007 20:17 242 boot.ini
18 Datei(en) 688.053.533 Bytes
0 Verzeichnis(se), 17.701.732.352 Bytes frei
----- System32 -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\system32
09.09.2007 21:49 1.158 wpa.dbl
09.09.2007 21:14 392.296 perfh009.dat
09.09.2007 21:14 405.118 perfh007.dat
09.09.2007 21:14 58.596 perfc009.dat
09.09.2007 21:14 70.580 perfc007.dat
09.09.2007 21:14 935.694 PerfStringBackup.INI
06.09.2007 22:05 249.768 TZLog.log
06.09.2007 18:19 2.953 CONFIG.NT
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
18.07.2007 14:42 60.416 tzchange.exe
05.07.2007 16:59 99.048 FNTCACHE.DAT
26.06.2007 16:09 664.576 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 20:09 3.079.680 mshtml.dll
14.06.2007 20:09 39.424 pngfilt.dll
14.06.2007 20:09 617.472 urlmon.dll
14.06.2007 20:09 1.494.528 shdocvw.dll
14.06.2007 20:09 474.624 shlwapi.dll
14.06.2007 20:09 532.480 mstime.dll
14.06.2007 20:09 146.432 msrating.dll
14.06.2007 20:09 449.024 mshtmled.dll
14.06.2007 20:09 357.888 dxtmsft.dll
14.06.2007 20:09 96.768 inseng.dll
14.06.2007 20:09 1.023.488 browseui.dll
14.06.2007 20:09 1.056.256 danim.dll
14.06.2007 20:09 55.808 extmgr.dll
14.06.2007 20:09 251.392 iepeers.dll
14.06.2007 20:09 16.384 jsproxy.dll
14.06.2007 20:09 205.312 dxtrans.dll
14.06.2007 20:09 152.064 cdfview.dll
14.06.2007 16:24 123.904 xpsp3res.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 15:03 1.275.392 msxml4.dll
30.04.2007 02:22 4.734.976 wmp.dll
25.04.2007 16:22 144.896 schannel.dll
18.04.2007 18:13 2.854.400 msi.dll
16.04.2007 17:53 1.058.304 kernel32.dll
13.04.2007 03:21 271.360 mscoree.dll
02.04.2007 07:58 546.304 hhctrl.ocx
2009 Datei(en) 397.005.577 Bytes
0 Verzeichnis(se), 17.701.605.376 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\Prefetch
09.09.2007 21:47 49.942 LOGONUI.EXE-0AF22957.pf
09.09.2007 21:46 74.576 FIREFOX.EXE-1D57670A.pf
09.09.2007 21:46 15.570 VERCLSID.EXE-3667BD89.pf
09.09.2007 21:44 12.576 AVENGER.EXE-35D7FB90.pf
09.09.2007 21:42 77.630 IEXPLORE.EXE-2CA9778D.pf
09.09.2007 21:35 309.340 Layout.ini
09.09.2007 21:18 51.288 DFRGNTFS.EXE-269967DF.pf
09.09.2007 21:17 31.636 MMC.EXE-1EF9AA05.pf
09.09.2007 21:15 31.518 WMIADAP.EXE-2DF425B2.pf
09.09.2007 21:14 12.308 CISVC.EXE-21F69875.pf
09.09.2007 21:14 9.714 ZCLIENTM.EXE-360CFDB5.pf
09.09.2007 21:14 25.978 UNREGMP2.EXE-07CACB61.pf
09.09.2007 21:13 44.948 SYSOCMGR.EXE-31169C54.pf
09.09.2007 21:11 24.308 CLEANMGR.EXE-1F86EA8E.pf
09.09.2007 21:11 19.036 WMIAPSRV.EXE-1E2270A5.pf
09.09.2007 21:11 34.264 RUNDLL32.EXE-2576181F.pf
09.09.2007 21:11 56.540 UPDATE.EXE-13D57D76.pf
09.09.2007 21:11 18.416 PREUPD.EXE-358AA1C1.pf
09.09.2007 21:11 56.630 AVCENTER.EXE-37584419.pf
09.09.2007 21:11 1.015.198 NTOSBOOT-B00DFAAD.pf
09.09.2007 21:06 33.220 NOTEPAD.EXE-336351A9.pf
09.09.2007 21:06 94.390 EXPLORER.EXE-082F38A9.pf
09.09.2007 21:05 17.054 TASKMGR.EXE-20256C55.pf
09.09.2007 21:05 45.976 CMD.EXE-087B4001.pf
09.09.2007 21:05 10.912 FIND.EXE-0EC32F1E.pf
09.09.2007 21:01 23.144 GUARDGUI.EXE-1BD45C30.pf
09.09.2007 21:00 27.000 REGCLEANR.EXE-10DDC304.pf
09.09.2007 20:58 34.706 WMIPRVSE.EXE-28F301A9.pf
09.09.2007 20:57 17.976 RUNDLL32.EXE-1B7D821A.pf
09.09.2007 20:57 19.834 REGSVR32.EXE-25EEFE2F.pf
09.09.2007 20:57 10.604 LXAIUN5C.EXE-23D770C6.pf
09.09.2007 20:57 19.832 _IU14D2N.TMP-074F6EE1.pf
09.09.2007 20:57 16.412 UNINS000.EXE-387CC9C8.pf
09.09.2007 20:54 51.686 WUAUCLT.EXE-399A8E72.pf
09.09.2007 20:54 43.736 RUNDLL32.EXE-3D97474F.pf
09.09.2007 20:54 23.208 CONTROL.EXE-013DBFB5.pf
09.09.2007 20:40 13.674 REGEDIT.EXE-1B606482.pf
09.09.2007 20:40 8.410 VUNDOFIXSVC.EXE-18ADD79E.pf
09.09.2007 20:36 13.530 VUNDOFIX.EXE-05C28E0E.pf
09.09.2007 20:29 47.350 AVSCAN.EXE-05AECC0E.pf
09.09.2007 20:23 64.016 AVNOTIFY.EXE-22AE9451.pf
09.09.2007 20:23 34.988 ANTIVIR_WORKSTATION_WIN7U_DE_-06B0BC01.pf
09.09.2007 20:19 69.668 AVGNT.EXE-36CA4640.pf
09.09.2007 19:43 25.480 DWWIN.EXE-30875ADC.pf
09.09.2007 19:43 101.422 DUMPREP.EXE-1B46F901.pf
09.09.2007 18:44 44.790 MSHTA.EXE-331DF029.pf
09.09.2007 18:43 14.690 RUNDLL32.EXE-19F507BE.pf
09.09.2007 18:41 15.458 WINHLP32.EXE-2C18E975.pf
09.09.2007 18:28 14.024 VASERV.EXE-05E057DD.pf
09.09.2007 18:28 13.044 CAPICTRL.EXE-2768600B.pf
09.09.2007 18:28 49.868 ?CANREGW.EXE-2100F0EB.pf
09.09.2007 18:28 18.144 TEATIMER.EXE-38E505A8.pf
09.09.2007 18:27 33.434 RUNDLL32.EXE-2F76EEDF.pf
09.09.2007 18:27 54.510 QTTASK.EXE-2D7EEF34.pf
09.09.2007 18:27 12.866 BJPSMAIN.EXE-13BB334D.pf
09.09.2007 18:27 13.612 RUNDLL32.EXE-383267D7.pf
09.09.2007 18:27 21.952 RUNDLL32.EXE-1EFB9777.pf
09.09.2007 18:27 13.784 LXSUPMON.EXE-043C97EB.pf
09.09.2007 18:27 56.694 IMAPI.EXE-0BF740A4.pf
09.09.2007 14:29 7.456 WSCNTFY.EXE-1B24F5EB.pf
09.09.2007 14:29 15.544 RUNDLL32.EXE-1C05E32B.pf
09.09.2007 14:11 46.486 RUNDLL32.EXE-1831A4F3.pf
09.09.2007 14:10 52.270 WGATRAY.EXE-0ED38BED.pf
09.09.2007 14:10 47.132 USERINIT.EXE-30B18140.pf
09.09.2007 14:10 10.166 WINLOGON.EXE-32C57D49.pf
09.09.2007 14:10 8.034 CSRSS.EXE-12B63473.pf
09.09.2007 14:01 6.344 LOGON.SCR-151EFAEA.pf
09.09.2007 13:50 11.858 YQVGGGFM.EXE-2A7C5668.pf
09.09.2007 11:34 16.004 RUNDLL32.EXE-2FF0653C.pf
09.09.2007 11:32 11.632 RUNDLL32.EXE-15DF0867.pf
08.09.2007 22:46 11.924 GUTHSPDB.EXE-0BA0AD52.pf
08.09.2007 22:30 12.324 GVMMKYPQ.EXE-015F320D.pf
08.09.2007 21:51 15.952 DEFRAG.EXE-273F131E.pf
08.09.2007 21:04 57.132 EINRICHTUNG.EXE-114B73D0.pf
08.09.2007 20:15 62.998 MSIEXEC.EXE-2F8A8CAE.pf
05.09.2007 22:05 61.152 HELPSVC.EXE-2878DDA2.pf
77 Datei(en) 3.681.920 Bytes
0 Verzeichnis(se), 17.701.629.952 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS
09.09.2007 21:49 0 0.log
09.09.2007 21:48 159 wiadebug.log
09.09.2007 21:48 1.789.122 WindowsUpdate.log
09.09.2007 21:48 50 wiaservc.log
09.09.2007 21:48 2.048 bootstat.dat
09.09.2007 21:47 32.172 SchedLgU.Txt
09.09.2007 21:14 127.843 iis6.log
09.09.2007 21:14 182.403 ntdtcsetup.log
09.09.2007 21:14 341.981 tsoc.log
09.09.2007 21:14 289.177 comsetup.log
09.09.2007 21:14 46.884 ocmsn.log
09.09.2007 21:14 4.507 imsins.log
09.09.2007 21:14 465.023 ocgen.log
09.09.2007 21:14 43.287 msgsocm.log
09.09.2007 21:14 829.617 FaxSetup.log
09.09.2007 21:14 29.131 wmsetup.log
09.09.2007 21:13 2.939 setupapi.log
09.09.2007 21:11 6.697 setupact.log
09.09.2007 11:34 3.814 ModemLog_Lucent Win Modem.txt
06.09.2007 22:06 1.355 imsins.BAK
06.09.2007 22:06 25.413 KB933360.log
06.09.2007 20:17 271 system.ini
06.09.2007 20:17 674 win.ini
06.09.2007 17:55 487 Capictrl.INI
06.09.2007 17:40 1.042.591 setupapi.log.0.old
06.09.2007 17:25 59 WINPHONE.INI
18.08.2007 16:24 10.396 KB936021.log
18.08.2007 15:22 15.638 KB938828.log
18.08.2007 15:22 37.235 updspapi.log
18.08.2007 15:22 15.008 KB921503.log
18.08.2007 15:22 14.809 KB938829.log
18.08.2007 15:22 15.354 KB938127.log
18.08.2007 15:22 19.766 KB937143.log
17.08.2007 18:15 31.230 spupdsvc.log
16.08.2007 21:42 6.589 KB936782.log
16.08.2007 17:30 284.656 msxml4-KB936181-enu.LOG
22.07.2007 00:35 20.669 KB936357.log
17.07.2007 17:28 25.713 CSTBox.INI
14.07.2007 08:36 24.986 KB933566.log
12.07.2007 20:59 12.537 KB929123.log
12.07.2007 20:54 11.784 KB935840.log
12.07.2007 20:54 11.771 KB935839.log
13.06.2007 15:21 1.036.288 explorer.exe
01.06.2007 22:43 3.190 tm.ini
01.06.2007 22:36 124 tdf.dii
24.05.2007 15:06 10.290 KB927891.log
24.05.2007 15:06 13.197 KB931768.log
21.05.2007 18:25 10.440 KB930916.log
12.05.2007 21:55 46.996 KB923689.log
12.05.2007 20:03 69 NeroDigital.ini
12.05.2007 19:20 316.640 WMSysPr9.prx
12.05.2007 19:17 27.091 Directx.log
11.05.2007 14:04 1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
11.05.2007 13:54 436 nsw.log
15.04.2007 10:49 13.622 KB930178.log
15.04.2007 10:49 13.355 KB932168.log
14.04.2007 17:58 12.319 KB931261.log
14.04.2007 10:05 12.458 KB931784.log
14.04.2007 10:05 6.455 KB935448.log
04.04.2007 09:27 12.338 KB925902.log
292 Datei(en) 577.989.595 Bytes
0 Verzeichnis(se), 17.701.613.568 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\tasks
09.09.2007 21:48 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 17.701.613.568 Bytes frei
----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\WINDOWS\temp
09.09.2007 21:49 409 WGANotify.settings
09.09.2007 21:48 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 17.701.613.568 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 300F-7069
Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp
09.09.2007 21:49 121.105 filelist.txt
09.09.2007 20:55 4.433 def_oin_thumb.jpg
03.07.2007 15:56 671.212 _iu14D2N.tmp
3 Datei(en) 796.750 Bytes
0 Verzeichnis(se), 17.701.613.568 Bytes frei
|
|
09.09.2007, 21:00
| #10 |
| | Wurde von einem Trojaner infiziert. Bitte um HilfeCode:
ATTFilter "Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" [file not found]
"Awei" = ""C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb" [file not found]
"Rgipdr" = "C:\WINDOWS\*racle\*canregw.exe" (unwritable string) [null data]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"LXSUPMON" = "C:\WINDOWS\system32\LXSUPMON.EXE RUN" ["Lexmark"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"routcnf" = "C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe" [file not found]
"avp" = "C:\WINDOWS\TEMP\winC42.tmp.exe" [file not found]
HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}\(Default) = "Canon Easy Web Print Helper"
-> {HKLM...CLSID} = "EWPBrowseObject Class"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll" [null data]
{7A6C8DAD-1414-1C95-6320-4C71B77097C9}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\claq.dll" [file not found]
{A6336836-2589-4349-B372-E9198F80CED0}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtss.dll" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> cbxuvur\DLLName = "cbxuvur.dll" [file not found]
<<!>> winbjt32\DLLName = "winbjt32.dll" [file not found]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Group Policies {policy setting}:
--------------------------------
Note: detected settings may not have any effect.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr" = (REG_DWORD) hex:0x00000000
{Remove Task Manager}
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Startup items in "Michael" & "All Users" startup folders:
---------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"CAPIControl" -> shortcut to: "C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe" ["DeTeWe AG & Co."]
"VAIO Action Setup (Server)" -> shortcut to: "C:\Programme\Sony\VAIO Action Setup\VAServ.exe" ["Sony Corporation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
HKLM\Software\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.club-vaio.sony-europe.com
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Virtual NIC Service, PackethSvc, "C:\WINDOWS\System32\PackethSvc.exe" ["America Online, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor iP3300\Driver = "CNMLM84.DLL" ["CANON INC."]
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
---------- (launch time: 2007-09-09 21:53:17)
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 147 seconds.
---------- (total run time: 230 seconds)
|
|
09.09.2007, 21:11
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurde von einem Trojaner infiziert. Bitte um Hilfe Oje, da ist mit Sicherheit noch mehr  Code:
ATTFilter 09.09.2007 21:46 1.080 nqfqrowb.bat
09.09.2007 21:46 126.976 zip.exe
Werte die Datei c:\zip.exe schon mal bei Virustotal aus, ich acker mich mal durch das silentrunners-Log...
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.09.2007, 21:31
| #12 |
| /// Helfer-Team | Wurde von einem Trojaner infiziert. Bitte um Hilfe Die beiden Dateien sind Überbleibsel des Avenger-Einsatzes, somit ok, können aber gelöscht werden. Die benutzt Avenger um nach dem Neustart die Backupdatei zu erzeugen. Die Essenz des Silentrunners: Code:
ATTFilter HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Awei" = ""C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb" [file not found]
"Rgipdr" = "C:\WINDOWS\*racle\*canregw.exe" (unwritable string) [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avp" = "C:\WINDOWS\TEMP\winC42.tmp.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{7A6C8DAD-1414-1C95-6320-4C71B77097C9}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\claq.dll" [file not found]
{A6336836-2589-4349-B372-E9198F80CED0}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtss.dll" [file not found]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> cbxuvur\DLLName = "cbxuvur.dll" [file not found]
<<!>> winbjt32\DLLName = "winbjt32.dll" [file not found]
|
|
09.09.2007, 21:36
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurde von einem Trojaner infiziert. Bitte um Hilfe Willst du immer noch bereinigen? Das hier konnte ich als Schädlingseinträge aus dem Silentrunners-Log "extrahieren": Code:
ATTFilter HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
"Awei" = ""C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb" [file not found]
"Rgipdr" = "C:\WINDOWS\*racle\*canregw.exe" (unwritable string) [null data]
"avp" = "C:\WINDOWS\TEMP\winC42.tmp.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
{7A6C8DAD-1414-1C95-6320-4C71B77097C9}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\claq.dll" [file not found]
{A6336836-2589-4349-B372-E9198F80CED0}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtss.dll" [file not found]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> cbxuvur\DLLName = "cbxuvur.dll" [file not found]
<<!>> winbjt32\DLLName = "winbjt32.dll" [file not found]
C:\WINDOWS\*racle\*canregw.exe Sowie erfahren, ob sich noch andere dubiose Ordner eingeschlichen haben. Das wären zumindest schon mal diese hier: C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\ C:\WINDOWS\*racle\ Mir ist allerdings schleierhaft, welche Technik da angewandt wird, um die konkreten Pfadangaben mit Platzhaltern wie * oder ? zu maskieren...  Ich hoffe ein anderer Bekämpfer weiß das.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.09.2007, 21:44
| #14 |
| /// Helfer-Team | Wurde von einem Trojaner infiziert. Bitte um Hilfe Hallo Cosinus Da habe ich eine Idee. Die Dateinamen enthalten im Original Unicode-Zeichen, z.B. kyrillische Zeichen, oft welche, die lateinischen Zeichen sehr ähnlich aussehen, aber eben andere Zeichen sind. Eine große Menge Tools, u.a. Hijackthis und Silentrunners kommen damit nicht klar. Hijackthis zeigt dann ein '?' an, Silentrunners '*' (und gibt eine Meldung aus, dass er das nicht drucken kann). Auch ein Preis der Abwärtskompatibilität für Systeme, die Unicode nicht kennen. Escan hat da übrigens auch Probleme. Wenn man das aber weiß, ist es kein Problem, bei der Suche nach Verzeichnissen und Dateien Ausschau nach welchen zu halten, die an der entsprechenden Stelle ein anders Zeichen enthalten. Könnte sich übrigens um etwas namens "Purityscan" handeln, die benutzen diesen Trick gerne. Leider habe ich dafür keinen Remover griffbereit. Sehr lästiges Teil. Vielleicht Counterspy. |
|
09.09.2007, 21:49
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurde von einem Trojaner infiziert. Bitte um Hilfe Gute Idee!  Und ich hab mich schon bei anderen Threads gewundert, wie die Schädlinge es schaffen, mit Wildcards umzugehen  Bei einem anderen Fred nur mit lauter ? und hier nur mit * ...grr 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Wurde von einem Trojaner infiziert. Bitte um Hilfe |
| abgesicherten modus, antivir, antvir, auswerten, avast, avast!, avira, avp, bitte um hilfe, c:\windows\temp, canon, computer, ctfmon.exe, einstellungen, entfernen, firefox, gen 2, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, infiziert., infizierte, infizierte datei, installation, internet, internet explorer, mozilla, mozilla firefox, rundll, s-1-5-18, server, software, trend micro, trojaner, usb, virus, virustotal.com, windows xp, windows\temp |
Linear-Darstellung
