c trojaner eingefangen bitte helfen....

goofy_rychestei · 13.09.2007, 06:52

hi Zusammen (Mein erster Beitrag und schon ein Problem XDD)

Ich habe mir irgend wie einen Trojaner eingefangen.... wennich den pc starte kommt immer die Meldung das er hier ist C:/Windows/System32/gzmrotate.dll
wenn ich zugriff verweigern klicke kommt nur ne fehlermeldung irend was mit modul oder soo...
Dann habe ich auf eurem Board auch diese problem gefunden und habe den anweisungen nache so eine log file gemacht

Logfile of HijackThis v1.99.1
Scan saved at 07:40:55, on 13.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\windows\system32\krdsrngp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\owinsldt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\DOKUME~1\Wald\LOKALE~1\Temp\Rar$EX00.860\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intergga.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: adssite - {F31B3634-12AA-41ca-B021-0685C3B3E4CA} - C:\WINDOWS\system32\nsp16.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [{8E-EB-BA-A7-ZN}] C:\windows\system32\krdsrngp.exe P2D002
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\owinsldt.exe P2D002
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\krdsrngp.exe
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\owinsldt.exe
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\phase6_V1_5\WinStart\WinStart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://c:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Trend Micro Security Services - {D5E1CDC8-64B9-4f8c-8155-FC3B6D6749F7} - http://tmss.trendmicro.com/dashboard/dashboard.aspx?GBDCGCHFGDEIJBBGBFIHGEAGBGHIBJAGBCEJJ (file missing)
O9 - Extra 'Tools' menuitem: Trend Micro Security Services - {D5E1CDC8-64B9-4f8c-8155-FC3B6D6749F7} - http://tmss.trendmicro.com/dashboard/dashboard.aspx?GBDCGCHFGDEIJBBGBFIHGEAGBGHIBJAGBCEJJ (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {410A8B3C-7CCB-40E8-8B11-28B099E5C488} (Trend Micro Security Services Control) - http://tmss.trendmicro.com/Dashboard/controls/activex_10/TMSSReportW.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181912157562
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~3\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~3\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

wie bekomme ich diesen trojaner weg

??? bitttte helft mir!

liebe grüsse

goofy_rychestei

nochdigger · 13.09.2007, 12:00

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Deinstalliere alle dir unbekannte Software über Start -> Einstellungen -> Systemsteuerung -> Software

Anschließend lass bitte diese Dateien :
C:\windows\system32\krdsrngp.exe
C:\WINDOWS\system32\owinsldt.exe
C:\WINDOWS\system32\nsp16.dll
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 32 AntiVirus Engine, Last Update(070904)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Dann erstelle bitte ein neues HijackThis Log, lass es aus einem eigenen Ordner laufen (z.B. C:\HJT) nicht aus dem Entpackprogramm heraus, dann benenne bitte vorher die Hijackthis.exe um in z.B. ABC.exe und poste dann die Auswertungsergebnisse sowie das HijackThis Log.

MFG

goofy_rychestei · 13.09.2007, 19:23

ok werde ich machen. sobald ich fertig bin poste ich es aber jetzt ist er schon lange am laufen das die resultate von der datei C:\windows\system32\krdsrngp.exe
Datei krdsrngp.exe empfangen 2007.09.13 19:52:05 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis:
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 Win-AppCare/Zenosearch.57359
AntiVir 7.6.0.10 2007.09.13 ADSPY/ZenoSearch.O.25
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 Win32:Agent-LLT
AVG 7.5.0.485 2007.09.13 Adware Generic2.JNH
BitDefender 7.2 2007.09.13 Trojan.Agent.AZT
CAT-QuickHeal 9.00 2007.09.13 AdWare.ZenoSearch.o (Not a Virus)
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
weitere Informationen
File size: 57359 bytes
MD5: 53f225eba7df7308b584a28b30b305d1
SHA1: c8a8d9363aeda749471a5d65bcdbce140f380854

von der datei C:\WINDOWS\system32\owinsldt.exe
Datei owinsldt.exe empfangen 2007.09.13 19:56:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis:
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 Win-AppCare/Zenosearch.192574
AntiVir 7.6.0.10 2007.09.13 ADSPY/ZenoSearch.T
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 Win32

ownloader-IB
AVG 7.5.0.485 2007.09.13 Adware Generic2.CTC
BitDefender 7.2 2007.09.13 Adware.Zenosearch.Q
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 Adware.ZenoSearch
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 Adware.ZenoSearch
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.13 W32/Adware.KUY
weitere Informationen
File size: 192584 bytes
MD5: d5ac0cec9caacf26d8cae92e326fec81
SHA1: 4ac92cb17376d689a7735294f270e9693374c7a0

von der datei nsp16.dll

Datei nsp16.dll empfangen 2007.09.13 19:56:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis:
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 ADSPY/Adssite.A
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 Adware Generic2.PKI
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 -
weitere Informationen
File size: 64512 bytes
MD5: 7a837bba1dfcefb2c3c9c1f2e9bad52b
SHA1: 6a88af5f37db357daabbd5aa5495ac27c2dcb812
packers: UPX

Und siwe siehts aus???

nochdigger · 14.09.2007, 05:49

Hallo

Zitat:

Und siwe siehts aus???

heute scheint es in Hamburg ganz schön zu werden (jedenfalls was man so um 6.45 Uhr morgens sagen kann)

Warum hast die Scans nicht zu ende laufen lassen bzw. das gesamte Ergebnis gepostet?
Wiederhole das bitte...

Zusätzlich würde ich gern eine Auswertung der Filelist sehen

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Die Auswertung der Filelist kannst in Codetags posten, das ist im Antwortfenster die Raute --> #

MFG

goofy_rychestei · 14.09.2007, 06:17

hi
also hier vom

Verzeichnis von C:\

14.09.2007 06:58 1'560'281'088 pagefile.sys
02.08.2007 20:10 268 sqmdata02.sqm
02.08.2007 20:10 244 sqmnoopt02.sqm
02.08.2007 15:31 3'315 LGSInst.Log
25.07.2007 17:16 570 VeaXDbgDebugLog.txt
19.07.2007 12:33 172 sqmnoopt01.sqm
19.07.2007 12:33 172 sqmdata01.sqm
19.07.2007 12:33 244 sqmnoopt00.sqm
19.07.2007 12:33 232 sqmdata00.sqm
19.07.2007 11:32 232 sqmdata19.sqm
19.07.2007 11:32 244 sqmnoopt19.sqm
15.07.2007 16:39 244 sqmnoopt18.sqm
15.07.2007 16:39 232 sqmdata18.sqm
15.07.2007 16:38 232 sqmdata17.sqm
15.07.2007 16:38 244 sqmnoopt17.sqm
24.06.2007 19:31 428 fpRedmon.log
22.06.2007 13:48 232 sqmdata16.sqm
22.06.2007 13:48 244 sqmnoopt16.sqm
22.06.2007 13:29 232 sqmdata15.sqm
22.06.2007 13:29 244 sqmnoopt15.sqm
22.06.2007 13:07 232 sqmdata14.sqm
22.06.2007 13:07 244 sqmnoopt14.sqm
22.06.2007 13:03 232 sqmdata13.sqm
22.06.2007 13:03 244 sqmnoopt13.sqm
21.06.2007 18:37 232 sqmdata12.sqm
21.06.2007 18:37 244 sqmnoopt12.sqm
21.06.2007 18:29 232 sqmdata11.sqm
21.06.2007 18:29 244 sqmnoopt11.sqm
21.06.2007 18:15 232 sqmdata10.sqm
21.06.2007 18:15 244 sqmnoopt10.sqm
21.06.2007 18:00 232 sqmdata09.sqm
21.06.2007 18:00 244 sqmnoopt09.sqm
20.06.2007 16:46 232 sqmdata08.sqm
20.06.2007 16:46 244 sqmnoopt08.sqm
19.06.2007 18:06 232 sqmdata07.sqm
19.06.2007 18:06 244 sqmnoopt07.sqm
19.06.2007 18:04 232 sqmdata06.sqm
19.06.2007 18:04 244 sqmnoopt06.sqm
19.06.2007 17:19 10'103 CLDMA.LOG
18.06.2007 21:13 232 sqmdata05.sqm
18.06.2007 21:13 244 sqmnoopt05.sqm
18.06.2007 20:03 232 sqmdata04.sqm
18.06.2007 20:03 244 sqmnoopt04.sqm
15.06.2007 16:10 232 sqmdata03.sqm
15.06.2007 16:10 244 sqmnoopt03.sqm
15.06.2007 13:45 223 boot.ini
15.06.2007 13:42 47'564 NTDETECT.COM
15.06.2007 13:42 251'184 ntldr
16.05.2007 08:47 499 RHDSetup.log
16.05.2007 08:19 0 MSDOS.SYS
16.05.2007 08:19 0 CONFIG.SYS
16.05.2007 08:19 0 AUTOEXEC.BAT
16.05.2007 08:19 0 IO.SYS
08.09.2006 11:07 14'302 DPsFnshr.ini
08.09.2006 11:06 0 ATICCC.ins
25.08.2006 00:03 181'791 addUsepmtimer.exe
25.08.2006 00:03 217'495 DPsFnshr.exe
25.08.2006 00:00 55'808 devcon.exe
25.08.2006 00:00 20'992 makePNF.exe
23.08.2001 14:00 4'952 bootfont.bin
60 Datei(en) 1'561'099'738 Bytes
0 Verzeichnis(se), 125'080'735'744 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10C8-EBA7

Verzeichnis von C:\WINDOWS\system32

14.09.2007 06:59 1'192 wpa.dbl
14.09.2007 06:59 88'637 nvapps.xml
13.09.2007 20:00 21 zxdnt3d.cfg
13.09.2007 19:50 55'560 adssite-remove.exe
13.09.2007 15:44 64'000 nsw5.dll
12.09.2007 13:00 57'359 krdsrngp.exe
11.09.2007 14:42 496 WebPlayerInstaller.log
11.09.2007 14:14 4'286 luck-023.ico
11.09.2007 13:52 933 winpfz32.sys
11.09.2007 13:52 192'584 owinsldt.exe
11.09.2007 13:52 118 msnav32.ax
11.09.2007 13:52 57'351 dwdsrngt.exe
06.09.2007 08:18 532'480 Audi R8 Screensaver.scr
06.09.2007 04:50 17'474'680 MRT.exe
01.09.2007 09:13 107'888 CmdLineExt.dll
29.08.2007 17:34 358'090 TZLog.log
29.08.2007 17:23 271'784 FNTCACHE.DAT
20.08.2007 16:13 4'924 jupdate-1.6.0_02-b06.log
30.07.2007 19:20 30'040 wuaucpl.cpl.mui
30.07.2007 19:20 30'040 wuapi.dll.mui
30.07.2007 19:19 1'712'984 wuaueng.dll
30.07.2007 19:19 549'720 wuapi.dll
30.07.2007 19:19 325'976 wucltui.dll
30.07.2007 19:19 203'096 wuweb.dll
30.07.2007 19:19 216'408 wuaucpl.cpl
30.07.2007 19:19 92'504 cdm.dll
30.07.2007 19:19 53'080 wuauclt.exe
30.07.2007 19:19 43'352 wups2.dll
30.07.2007 19:18 34'136 wucltui.dll.mui
30.07.2007 19:18 33'624 wups.dll
30.07.2007 19:18 20'824 wuaueng.dll.mui
26.07.2007 19:04 437'794 perfh009.dat
26.07.2007 19:04 454'958 perfh007.dat
26.07.2007 19:04 83'664 perfc007.dat
26.07.2007 19:04 70'964 perfc009.dat
26.07.2007 19:04 1'022'836 PerfStringBackup.INI
19.07.2007 08:56 3'583'488 mshtml.dll
18.07.2007 14:42 60'416 tzchange.exe
12.07.2007 02:22 139'264 javaws.exe
12.07.2007 02:22 69'632 javacpl.cpl
12.07.2007 01:22 135'168 javaw.exe
12.07.2007 01:22 135'168 java.exe
27.06.2007 16:05 823'808 wininet.dll
27.06.2007 16:05 232'960 webcheck.dll
27.06.2007 16:05 1'152'000 urlmon.dll
27.06.2007 16:05 671'232 mstime.dll
27.06.2007 16:05 102'400 occache.dll
27.06.2007 16:05 105'984 url.dll
27.06.2007 16:05 193'024 msrating.dll
27.06.2007 16:05 477'696 mshtmled.dll
27.06.2007 16:05 52'224 msfeedsbs.dll
27.06.2007 16:05 459'264 msfeeds.dll
27.06.2007 16:05 27'648 jsproxy.dll
27.06.2007 16:05 1'824'256 inetcpl.cpl
27.06.2007 16:04 267'776 iertutil.dll
27.06.2007 16:04 44'544 iernonce.dll
27.06.2007 16:04 6'058'496 ieframe.dll
27.06.2007 16:04 384'512 iedkcs32.dll
27.06.2007 16:04 383'488 ieapfltr.dll
27.06.2007 16:04 230'400 ieaksie.dll
27.06.2007 16:04 132'608 extmgr.dll
27.06.2007 16:04 124'928 advpack.dll
27.06.2007 16:04 153'088 ieakeng.dll
27.06.2007 10:27 13'824 ieudinit.exe
27.06.2007 10:27 63'488 ie4uinit.exe
27.06.2007 09:00 161'792 ieakui.dll
26.06.2007 08:08 1'104'896 msxml3.dll
24.06.2007 13:33 37 omginstlog.txt
22.06.2007 13:02 0 nmp.log
21.06.2007 18:13 20'206 mappings.txt
19.06.2007 16:33 2'537 qtplugin.log
19.06.2007 15:31 282'112 gdi32.dll
18.06.2007 20:56 9'288 app_filter_ui.log
18.06.2007 20:02 1'919 AUTOEXEC.NT
15.06.2007 15:48 16'832 amcompat.tlb
15.06.2007 15:48 23'392 nscompat.tlb
15.06.2007 14:06 269 spupdwxp.log
15.06.2007 13:51 23'604 emptyregdb.dat
15.06.2007 13:14 25'065 wmpscheme.xml
15.06.2007 13:08 288 $winnt$.inf
15.06.2007 13:03 488 logonui.exe.manifest
15.06.2007 13:03 488 WindowsLogon.manifest
15.06.2007 13:03 749 wuaucpl.cpl.manifest
15.06.2007 13:03 749 cdplayer.exe.manifest
15.06.2007 13:03 749 nwc.cpl.manifest
15.06.2007 13:03 749 sapi.cpl.manifest
15.06.2007 13:03 749 ncpa.cpl.manifest
11.06.2007 23:51 10'834'944 wmp.dll
17.05.2007 13:28 549'376 oleaut32.dll
16.05.2007 17:11 683'520 inetcomm.dll
16.05.2007 10:28 333 $ncsp$.inf
16.05.2007 09:14 0 h323log.txt
16.05.2007 09:01 146'650 BuzzingBee.wav
16.05.2007 09:01 940'794 LoopyMusic.wav
16.05.2007 08:19 2'951 CONFIG.NT
15.05.2007 15:43 1'320'800 msxml6.dll
08.05.2007 15:11 1'275'392 msxml4.dll
25.04.2007 16:22 144'896 schannel.dll
25.04.2007 09:42 822'784 wininet(2).dll
25.04.2007 09:42 232'960 webcheck(2).dll
25.04.2007 09:42 1'152'000 urlmon(2).dll
25.04.2007 09:42 105'984 url(2).dll
25.04.2007 09:42 477'696 mshtmled(2).dll
25.04.2007 09:41 124'928 advpack(2).dll
24.04.2007 11:32 1'485'696 LegitCheckControl.dll
19.04.2007 14:14 208'896 nvusmb.exe
19.04.2007 13:26 794'624 nvcplui.exe
19.04.2007 13:26 1'011'712 nvcpluir.dll
19.04.2007 13:26 17'056 nvdisp.nvu
19.04.2007 13:26 5'619'712 nvdisps.dll
19.04.2007 13:26 5'255'168 nvdispsr.dll
19.04.2007 13:26 1'339'392 nvdspsch.exe
19.04.2007 13:26 311'296 nvexpbar.dll
19.04.2007 13:26 3'035'136 nvgames.dll
19.04.2007 13:26 3'203'072 nvgamesr.dll
19.04.2007 13:26 581'632 nvhwvid.dll
19.04.2007 13:26 1'474'560 nview.dll

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10C8-EBA7

Verzeichnis von C:\WINDOWS\Prefetch

14.09.2007 07:14 11'410 FIND.EXE-0EC32F1E.pf
14.09.2007 07:14 15'304 CMD.EXE-087B4001.pf
14.09.2007 07:14 14'190 VERCLSID.EXE-3667BD89.pf
14.09.2007 07:10 37'572 NOTEPAD.EXE-336351A9.pf
14.09.2007 07:00 74'728 WINRAR.EXE-3588DFE8.pf
14.09.2007 07:00 68'354 WUAUCLT.EXE-399A8E72.pf
14.09.2007 07:00 30'536 USNSVC.EXE-1D8C2356.pf
14.09.2007 07:00 1'070'804 NTOSBOOT-B00DFAAD.pf
13.09.2007 21:25 17'320 LOGONUI.EXE-0AF22957.pf
13.09.2007 21:24 44'440 DWWIN.EXE-30875ADC.pf
13.09.2007 21:24 36'366 IEDW.EXE-2D047874.pf
13.09.2007 21:10 35'916 SWHELP~1.EXE-0DBE5375.pf
13.09.2007 20:39 16'954 REGEDIT.EXE-1B606482.pf
13.09.2007 20:35 80'050 IEXPLORE.EXE-2CA9778D.pf
13.09.2007 20:33 17'074 ~E5D141.TMP-08C7D183.pf
13.09.2007 20:33 33'394 PHASE-6.EXE-106202BA.pf
13.09.2007 20:11 56'148 AUDIR8~1.SCR-0B076C2E.pf
13.09.2007 20:01 45'464 IMAPI.EXE-0BF740A4.pf
13.09.2007 20:01 13'808 RUNDLL32.EXE-451FC2C0.pf
13.09.2007 20:00 21'554 OWINSLDT.EXE-29CC1051.pf
13.09.2007 20:00 15'512 AU_.EXE-2AC4F545.pf
13.09.2007 20:00 15'450 GZMROT-UNINST.EXE-2A6CC626.pf
13.09.2007 20:00 22'674 SET9.TMP-07B02794.pf
13.09.2007 20:00 19'328 RUNDLL32.EXE-14A6BF68.pf
13.09.2007 20:00 66'526 RUNDLL32.EXE-13404D23.pf
13.09.2007 19:59 14'090 RUNDLL32.EXE-3AF10E20.pf
13.09.2007 19:52 15'004 KRDSRNGP.EXE-08EB3A1F.pf
13.09.2007 19:51 20'710 AUPD.EXE-3551A3A6.pf
13.09.2007 19:51 68'266 MSNMSGR.EXE-091111D0.pf
13.09.2007 13:16 63'284 ACRORD32.EXE-153330F0.pf
13.09.2007 13:08 64'682 WMPLAYER.EXE-09969338.pf
13.09.2007 13:02 44'020 UPDATE.EXE-13D57D76.pf
13.09.2007 13:02 13'446 PREUPD.EXE-358AA1C1.pf
13.09.2007 12:51 27'886 SCHED.EXE-236A886F.pf
13.09.2007 12:51 62'984 AVGNT.EXE-36CA4640.pf
13.09.2007 12:51 49'914 AVGUARD.EXE-3490B18B.pf
13.09.2007 12:51 40'426 UPDATE.EXE-3AEB474B.pf
13.09.2007 12:51 16'066 REGSVR32.EXE-25EEFE2F.pf
13.09.2007 12:50 87'194 AVNOTIFY.EXE-22AE9451.pf
13.09.2007 08:20 53'680 AVCENTER.EXE-37584419.pf
13.09.2007 08:09 63'992 WMIPRVSE.EXE-28F301A9.pf
13.09.2007 08:09 59'704 GOOGLEEARTH.EXE-0978F2AD.pf
13.09.2007 08:06 32'114 WLLOGINPROXY.EXE-33926225.pf
13.09.2007 07:40 15'318 HIJACKTHIS.EXE-267D5300.pf
13.09.2007 07:37 47'246 AVSCAN.EXE-05AECC0E.pf
13.09.2007 07:32 37'630 MMC.EXE-3CF67C06.pf
13.09.2007 07:31 15'912 RUNDLL32.EXE-3C83155D.pf
12.09.2007 21:02 11'880 BILD 2.EXE-36788C7A.pf
12.09.2007 20:30 11'906 BILD 2.EXE-303E57F8.pf
12.09.2007 20:30 11'786 BILD 2.EXE-1752274A.pf
12.09.2007 19:58 11'390 ATTRIB.EXE-39EAFB02.pf
12.09.2007 19:58 16'692 DISKSPEED32.EXE-26320296.pf
12.09.2007 19:56 19'110 RUNDLL32.EXE-3158C077.pf
12.09.2007 19:50 25'912 RUNDLL32.EXE-459695D1.pf
12.09.2007 19:15 55'766 DFRGNTFS.EXE-269967DF.pf
12.09.2007 19:15 16'064 DEFRAG.EXE-273F131E.pf
12.09.2007 19:14 427'954 Layout.ini
12.09.2007 18:57 120'010 MSIEXEC.EXE-2F8A8CAE.pf
12.09.2007 18:57 9'844 MSOHTMED.EXE-14B8D6FE.pf
12.09.2007 18:56 98'448 WINWORD.EXE-3395695A.pf
12.09.2007 14:19 63'840 MSVS.EXE-2E271C12.pf
12.09.2007 14:17 17'520 WISPTIS.EXE-0C21B942.pf
12.09.2007 14:01 35'426 RUNDLL32.EXE-4A503A0B.pf
12.09.2007 13:27 19'576 RUNDLL32.EXE-12E27DD0.pf
12.09.2007 13:27 52'540 ADOBEUPDATER.EXE-370FC314.pf
23.08.2007 13:06 41'824 NMIndexStoreSvr.exe-1DBCF9FD.pf
66 Datei(en) 3'861'932 Bytes
0 Verzeichnis(se), 125'080'399'872 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10C8-EBA7

Verzeichnis von C:\WINDOWS

14.09.2007 07:00 1'792'177 WindowsUpdate.log
14.09.2007 06:59 0 0.log
14.09.2007 06:59 159 wiadebug.log
14.09.2007 06:59 50 wiaservc.log
14.09.2007 06:58 2'048 bootstat.dat
13.09.2007 21:25 32'566 SchedLgU.Txt
12.09.2007 14:19 99'290 setupapi.log
06.09.2007 13:09 52'067 wmsetup.log
05.09.2007 13:38 655 win.ini
03.09.2007 13:08 782'024 iis6.log
03.09.2007 13:08 30'519 tabletoc.log
03.09.2007 13:08 1'355 imsins.log
03.09.2007 13:08 129'896 ntdtcsetup.log
03.09.2007 13:08 293'332 tsoc.log
03.09.2007 13:08 33'512 ocmsn.log
03.09.2007 13:08 219'349 comsetup.log
03.09.2007 13:08 8'991 KB939683.log
03.09.2007 13:08 104'008 netfxocm.log
03.09.2007 13:08 318'609 ocgen.log
03.09.2007 13:08 44'530 MedCtrOC.log
03.09.2007 13:08 31'173 msgsocm.log
03.09.2007 13:08 596'043 FaxSetup.log
03.09.2007 13:08 206'752 msmqinst.log
29.08.2007 17:34 1'374 imsins.BAK
29.08.2007 17:34 21'605 KB933360.log
23.08.2007 13:15 9'015 dasetup.log
19.08.2007 12:28 3'932'214 AW_XenoMorph1280.bmp
19.08.2007 12:27 52 wb.ini
18.08.2007 18:17 151 PhotoSnapViewer.INI
18.08.2007 17:44 42'328 spupdsvc.log
18.08.2007 13:23 33'486 DPINST.LOG
18.08.2007 13:19 38'429 KB936021.log
18.08.2007 13:19 68'593 updspapi.log
18.08.2007 13:19 37'635 KB938828.log
18.08.2007 13:19 36'385 KB921503.log
18.08.2007 13:19 36'082 KB938829.log
18.08.2007 13:19 45'563 KB937143-IE7.log
18.08.2007 13:18 24'133 KB938127-IE7.log
18.08.2007 13:13 519'982 msxml6-KB933579-deu-x86.LOG
18.08.2007 13:12 291'840 msxml4-KB936181-deu.LOG
18.08.2007 13:12 18'750 KB936782.log
06.08.2007 11:16 206 FirewallPlus2Uninstall.log
06.08.2007 11:15 58 FirewallPlus2Setup.log
03.08.2007 08:56 69 NeroDigital.ini
30.07.2007 15:50 279'476 setupact.log
29.07.2007 14:29 816 eReg.dat
29.07.2007 14:28 2'415'895 TheSimpsons[1].scr
24.07.2007 11:28 253'952 Setup1.exe
24.07.2007 11:28 74'752 ST6UNST.EXE
20.07.2007 16:37 199'754 DirectX.log
25.06.2007 14:38 1'038'696'448 MEMORY.DMP
24.06.2007 19:05 516 MAXLINK.INI
22.06.2007 13:09 2'305 OEWABLog.txt
22.06.2007 13:02 109 nmp.log
22.06.2007 13:02 20'892 Ascd_tmp.ini
18.06.2007 21:02 513 nsw.log
18.06.2007 20:02 250 system.ini
15.06.2007 16:08 7'468 XPSEPSCLP.log
15.06.2007 16:08 11'646 XpsEPSC.log
15.06.2007 16:08 9'013 KB929399.log
15.06.2007 16:08 10'858 KB925720.log
15.06.2007 15:48 6'565 WIC.log
15.06.2007 15:48 13'411 wmsetup10.log
15.06.2007 15:48 5'344 KB926239.log
15.06.2007 15:48 3'523 MSCompPackV1.log
15.06.2007 15:48 17'657 wmp11.log
15.06.2007 15:47 29'484 WMFDist11.log
15.06.2007 15:46 11'330 Wudf01000Inst.log
15.06.2007 15:46 15'129 KB925876.log
15.06.2007 15:45 14'108 KB902344.log
15.06.2007 15:40 51'041 KB899587.log
15.06.2007 15:40 177'119 KB927802.log
15.06.2007 15:40 164'330 KB924191.log
15.06.2007 15:40 164'146 KB922819.log
15.06.2007 15:40 49'526 KB885835.log
15.06.2007 15:40 46'274 KB885836.log
15.06.2007 15:40 163'765 KB923414.log
15.06.2007 15:39 179'521 KB928255.log
15.06.2007 15:39 190'025 KB931784.log
15.06.2007 15:39 170'096 KB935448.log
15.06.2007 15:39 48'277 KB911927.log
15.06.2007 15:39 166'439 KB925398.log
15.06.2007 15:39 48'021 KB901017.log
15.06.2007 15:39 154'248 KB920685.log
15.06.2007 15:39 48'189 KB893756.log
15.06.2007 15:39 163'672 KB923980.log
15.06.2007 15:39 46'937 KB911280.log
15.06.2007 15:38 166'967 KB924667.log
15.06.2007 15:38 44'422 KB896423.log
15.06.2007 15:38 46'962 KB900485.log
15.06.2007 15:38 162'565 KB924270.log
15.06.2007 15:38 180'636 KB931261.log
15.06.2007 15:38 30'196 KB927891.log
15.06.2007 15:38 200'872 KB931836.log
15.06.2007 15:38 29'527 WgaNotify.log
15.06.2007 15:37 43'296 KB896358.log
15.06.2007 15:37 34'581 KB910437.log
15.06.2007 15:37 164'139 KB923689.log
15.06.2007 15:36 179'196 KB925902.log
15.06.2007 15:36 44'228 KB929123.log
15.06.2007 15:36 40'605 KB920670.log
15.06.2007 15:36 41'067 KB918439.log
15.06.2007 15:36 46'766 KB902400.log
15.06.2007 15:36 165'121 KB926436.log
15.06.2007 15:36 153'111 KB920872.log
15.06.2007 15:36 178'491 KB930178.log
15.06.2007 15:36 146'994 KB919007.log
15.06.2007 15:36 40'995 KB914388.log
15.06.2007 15:35 39'950 KB905414.log
15.06.2007 15:35 36'931 KB917953.log
15.06.2007 15:35 38'695 KB901214.log
15.06.2007 15:35 149'095 KB923191.log
15.06.2007 15:35 163'073 KB918118.log
15.06.2007 15:35 162'240 KB926255.log
15.06.2007 15:35 36'371 KB888302.log
15.06.2007 15:35 38'991 KB900725.log
15.06.2007 15:35 159'823 KB920213.log
15.06.2007 15:35 37'932 KB935840.log
15.06.2007 15:34 149'189 KB929969.log

ok das wars ich hab den scan nicht zu ende laufen lassen da ich ihn ca. 45 laufen gelassen habe und er war immer noch nicht fertig!

MfG

( danke für alles was du mir machst) bin dir sehr dankbar

nochdigger · 14.09.2007, 07:26

Moin

Zitat:

ich hab den scan nicht zu ende laufen lassen da ich ihn ca. 45 laufen gelassen habe und er war immer noch nicht fertig!

hast du die Seite zwischenzeitlich aktualisiert (z.B. F5 gedrückt)

?

Hast du eine Erklärung für die doppelt vorhandenen Dateien im System32 Ordner

?

Dann lass uns mal ein bisschen was löschen
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

Files to delete: 
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\krdsrngp.exe
C:\WINDOWS\system32\winpfz32.sys
C:\WINDOWS\system32\owinsldt.exe
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\dwdsrngt.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Erstelle und poste ein neues Logfile von HijackThis und Poste außerdem den Inhalt der C:\avenger.txt Datei.

MFG

goofy_rychestei · 14.09.2007, 11:33

Zitat:

Zitat von nochdigger

Moin

hast du die Seite zwischenzeitlich aktualisiert (z.B. F5 gedrückt)

?

Hast du eine Erklärung für die doppelt vorhandenen Dateien im System32 Ordner

?

Dann lass uns mal ein bisschen was löschen
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

Files to delete: 
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\krdsrngp.exe
C:\WINDOWS\system32\winpfz32.sys
C:\WINDOWS\system32\owinsldt.exe
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\dwdsrngt.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Erstelle und poste ein neues Logfile von HijackThis und Poste außerdem den Inhalt der C:\avenger.txt Datei.

MFG

ok danke habs gemacht danach kam irgend ne meldung von diesem avenger und der pc startet neu und dann kam im editor diese meldung::

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\emoowoaj

*******************

Script file located at: \??\C:\WINDOWS\bxgpwltk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\adssite-remove.exe deleted successfully.
File C:\WINDOWS\system32\krdsrngp.exe deleted successfully.
File C:\WINDOWS\system32\winpfz32.sys deleted successfully.
File C:\WINDOWS\system32\owinsldt.exe deleted successfully.
File C:\WINDOWS\system32\msnav32.ax deleted successfully.
File C:\WINDOWS\system32\dwdsrngt.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yivffcce

*******************

Script file located at: \??\C:\WINDOWS\qssouvwh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\adssite-remove.exe not found!
Deletion of file C:\WINDOWS\system32\adssite-remove.exe failed!

Could not process line:
C:\WINDOWS\system32\adssite-remove.exe
Status: 0xc0000034

File C:\WINDOWS\system32\krdsrngp.exe not found!
Deletion of file C:\WINDOWS\system32\krdsrngp.exe failed!

Could not process line:
C:\WINDOWS\system32\krdsrngp.exe
Status: 0xc0000034

File C:\WINDOWS\system32\winpfz32.sys not found!
Deletion of file C:\WINDOWS\system32\winpfz32.sys failed!

Could not process line:
C:\WINDOWS\system32\winpfz32.sys
Status: 0xc0000034

File C:\WINDOWS\system32\owinsldt.exe not found!
Deletion of file C:\WINDOWS\system32\owinsldt.exe failed!

Could not process line:
C:\WINDOWS\system32\owinsldt.exe
Status: 0xc0000034

gut oder schlecht?

und das mit den doppelten dateien kann ich mr nicht erklären.... ist das schlimm?

MfG

nochdigger · 14.09.2007, 13:21

Hallo

Zitat:

und das mit den doppelten dateien kann ich mr nicht erklären.... ist das schlimm?

Das weiß ich noch nicht...

Zeige uns bitte eine neue Filelist hier aber dieses mal nur den Ordner C:\WINDOWS\system32\

MFG

goofy_rychestei · 14.09.2007, 15:19

Zitat:

Zitat von nochdigger

Hallo

Das weiß ich noch nicht...

Zeige uns bitte eine neue Filelist hier aber dieses mal nur den Ordner C:\WINDOWS\system32\

MFG

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10C8-EBA7

Verzeichnis von C:\WINDOWS\system32

14.09.2007 16:18 1'192 wpa.dbl
14.09.2007 16:17 88'637 nvapps.xml
13.09.2007 20:00 21 zxdnt3d.cfg
13.09.2007 15:44 64'000 nsw5.dll
11.09.2007 14:42 496 WebPlayerInstaller.log
11.09.2007 14:14 4'286 luck-023.ico
06.09.2007 08:18 532'480 Audi R8 Screensaver.scr
06.09.2007 04:50 17'474'680 MRT.exe
01.09.2007 09:13 107'888 CmdLineExt.dll
29.08.2007 17:34 358'090 TZLog.log
29.08.2007 17:23 271'784 FNTCACHE.DAT
20.08.2007 16:13 4'924 jupdate-1.6.0_02-b06.log
30.07.2007 19:20 30'040 wuaucpl.cpl.mui
30.07.2007 19:20 30'040 wuapi.dll.mui
30.07.2007 19:19 1'712'984 wuaueng.dll
30.07.2007 19:19 549'720 wuapi.dll
30.07.2007 19:19 325'976 wucltui.dll
30.07.2007 19:19 203'096 wuweb.dll
30.07.2007 19:19 216'408 wuaucpl.cpl
30.07.2007 19:19 92'504 cdm.dll
30.07.2007 19:19 53'080 wuauclt.exe
30.07.2007 19:19 43'352 wups2.dll
30.07.2007 19:18 34'136 wucltui.dll.mui
30.07.2007 19:18 33'624 wups.dll
30.07.2007 19:18 20'824 wuaueng.dll.mui
26.07.2007 19:04 437'794 perfh009.dat
26.07.2007 19:04 454'958 perfh007.dat
26.07.2007 19:04 83'664 perfc007.dat
26.07.2007 19:04 70'964 perfc009.dat
26.07.2007 19:04 1'022'836 PerfStringBackup.INI
19.07.2007 08:56 3'583'488 mshtml.dll
18.07.2007 14:42 60'416 tzchange.exe
12.07.2007 02:22 139'264 javaws.exe
12.07.2007 02:22 69'632 javacpl.cpl
12.07.2007 01:22 135'168 javaw.exe
12.07.2007 01:22 135'168 java.exe
27.06.2007 16:05 823'808 wininet.dll
27.06.2007 16:05 232'960 webcheck.dll
27.06.2007 16:05 1'152'000 urlmon.dll
27.06.2007 16:05 105'984 url.dll
27.06.2007 16:05 671'232 mstime.dll
27.06.2007 16:05 102'400 occache.dll
27.06.2007 16:05 193'024 msrating.dll
27.06.2007 16:05 477'696 mshtmled.dll
27.06.2007 16:05 52'224 msfeedsbs.dll
27.06.2007 16:05 459'264 msfeeds.dll
27.06.2007 16:05 27'648 jsproxy.dll
27.06.2007 16:05 1'824'256 inetcpl.cpl
27.06.2007 16:04 267'776 iertutil.dll
27.06.2007 16:04 44'544 iernonce.dll
27.06.2007 16:04 6'058'496 ieframe.dll
27.06.2007 16:04 384'512 iedkcs32.dll
27.06.2007 16:04 383'488 ieapfltr.dll
27.06.2007 16:04 230'400 ieaksie.dll
27.06.2007 16:04 124'928 advpack.dll
27.06.2007 16:04 132'608 extmgr.dll
27.06.2007 16:04 153'088 ieakeng.dll
27.06.2007 10:27 13'824 ieudinit.exe
27.06.2007 10:27 63'488 ie4uinit.exe
27.06.2007 09:00 161'792 ieakui.dll
26.06.2007 08:08 1'104'896 msxml3.dll
24.06.2007 13:33 37 omginstlog.txt
22.06.2007 13:02 0 nmp.log
21.06.2007 18:13 20'206 mappings.txt
19.06.2007 16:33 2'537 qtplugin.log
19.06.2007 15:31 282'112 gdi32.dll
18.06.2007 20:56 9'288 app_filter_ui.log
18.06.2007 20:02 1'919 AUTOEXEC.NT
15.06.2007 15:48 16'832 amcompat.tlb
15.06.2007 15:48 23'392 nscompat.tlb
15.06.2007 14:06 269 spupdwxp.log
15.06.2007 13:51 23'604 emptyregdb.dat
15.06.2007 13:14 25'065 wmpscheme.xml
15.06.2007 13:08 288 $winnt$.inf
15.06.2007 13:03 488 logonui.exe.manifest
15.06.2007 13:03 488 WindowsLogon.manifest
15.06.2007 13:03 749 wuaucpl.cpl.manifest
15.06.2007 13:03 749 sapi.cpl.manifest
15.06.2007 13:03 749 ncpa.cpl.manifest
15.06.2007 13:03 749 cdplayer.exe.manifest
15.06.2007 13:03 749 nwc.cpl.manifest
11.06.2007 23:51 10'834'944 wmp.dll
17.05.2007 13:28 549'376 oleaut32.dll
16.05.2007 17:11 683'520 inetcomm.dll
16.05.2007 10:28 333 $ncsp$.inf
16.05.2007 09:14 0 h323log.txt
16.05.2007 09:01 146'650 BuzzingBee.wav
16.05.2007 09:01 940'794 LoopyMusic.wav
16.05.2007 08:19 2'951 CONFIG.NT
15.05.2007 15:43 1'320'800 msxml6.dll
08.05.2007 15:11 1'275'392 msxml4.dll
25.04.2007 16:22 144'896 schannel.dll
25.04.2007 09:42 822'784 wininet(2).dll
25.04.2007 09:42 232'960 webcheck(2).dll
25.04.2007 09:42 1'152'000 urlmon(2).dll
25.04.2007 09:42 105'984 url(2).dll
25.04.2007 09:42 477'696 mshtmled(2).dll
25.04.2007 09:41 124'928 advpack(2).dll
24.04.2007 11:32 1'485'696 LegitCheckControl.dll
19.04.2007 14:14 208'896 nvusmb.exe
19.04.2007 13:26 163'840 nvwrszhc.dll
19.04.2007 13:26 303'104 nvwrstr.dll
19.04.2007 13:26 4'543'616 nv4_disp.dll
19.04.2007 13:26 212'992 nvapi.dll
19.04.2007 13:26 442'368 nvappbar.exe
19.04.2007 13:26 35'840 nvcod.dll
19.04.2007 13:26 35'840 nvcodins.dll
19.04.2007 13:26 147'456 nvcolor.exe
19.04.2007 13:26 69'632 nvcpl.cpl
19.04.2007 13:26 7'700'480 nvcpl.dll
19.04.2007 13:26 794'624 nvcplui.exe
19.04.2007 13:26 1'011'712 nvcpluir.dll
19.04.2007 13:26 17'056 nvdisp.nvu
19.04.2007 13:26 5'619'712 nvdisps.dll
19.04.2007 13:26 5'255'168 nvdispsr.dll
19.04.2007 13:26 1'339'392 nvdspsch.exe
19.04.2007 13:26 311'296 nvexpbar.dll
19.04.2007 13:26 3'035'136 nvgames.dll
19.04.2007 13:26 3'203'072 nvgamesr.dll
19.04.2007 13:26 581'632 nvhwvid.dll
19.04.2007 13:26 1'474'560 nview.dll
19.04.2007 13:26 229'376 nvmccs.dll
19.04.2007 13:26 45'056 nvmccsrs.dll
19.04.2007 13:26 188'416 nvmccss.dll
19.04.2007 13:26 458'752 nvmccssr.dll
19.04.2007 13:26 86'016 nvmctray.dll
19.04.2007 13:26 888'832 nvmobls.dll
19.04.2007 13:26 2'859'008 nvmoblsr.dll
19.04.2007 13:26 286'720 nvnt4cpl.dll
19.04.2007 13:26 5'644'288 nvoglnt.dll
19.04.2007 13:26 323'584 nvrsar.dll
19.04.2007 13:26 241'664 nvrscs.dll
19.04.2007 13:26 245'760 nvrsda.dll
19.04.2007 13:26 270'336 nvrsde.dll
19.04.2007 13:26 274'432 nvrsel.dll
19.04.2007 13:26 241'664 nvrseng.dll
19.04.2007 13:26 425'984 keystone.exe
19.04.2007 13:26 266'240 nvrsesm.dll
19.04.2007 13:26 1'236'992 nvwss.dll
19.04.2007 13:26 278'528 nvrsfr.dll
19.04.2007 13:26 323'584 nvrshe.dll
19.04.2007 13:26 253'952 nvrshu.dll
19.04.2007 13:26 274'432 nvrsit.dll
19.04.2007 13:26 262'144 nvrsja.dll
19.04.2007 13:26 258'048 nvrsko.dll

ps bin in 10 min weg dann geh ich iin ein weekend und bin erst wieder am montag anwesend und dann poste ich wieder!
oder am sonntag

MfG

nochdigger · 14.09.2007, 16:13

Hallo

gut, die anderen Dateien scheinen wir alle erwischt zu haben

.

Zu den doppelten Dateien, die möchte ich dich bitten auswerten zu lassen ebenso die Originale.
Diese Dateien aus dem System32 Ordner :

Zitat:

wininet(2).dll
webcheck(2).dll
urlmon(2).dll
url(2).dll
mshtmled(2).dll
advpack(2).dll

wininet.dll
webcheck.dll
urlmon.dll
url.dll
mshtmled.dll
advpack.dll

Auch möchte ich einen scan mit Blacklight und Silentrunners sehen.

Lade dir bitte Blacklight runter
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das sollte etwa so aussehen --> fsbl-xxxzahlenxxx.log.

Lade dir auch Silentrunners runter und lasse es dein System scannen, anschließend poste ebenfalls das Log.

MFG

goofy_rychestei · 17.09.2007, 15:13

ok bin wider hier!
wo soll ich die dateine durchlaufen lassen??
den log zum ersten programm habe ich:

09/17/07 13:11:08 [Info]: BlackLight Engine 1.0.64 initialized
09/17/07 13:11:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/17/07 13:11:08 [Note]: 7019 4
09/17/07 13:11:08 [Note]: 7005 0
09/17/07 13:11:11 [Note]: 7006 0
09/17/07 13:11:11 [Note]: 7011 1496
09/17/07 13:11:12 [Note]: 7026 0
09/17/07 13:11:12 [Note]: 7026 0
09/17/07 13:11:14 [Note]: FSRAW library version 1.7.1022
09/17/07 13:15:55 [Note]: 2000 1012
09/17/07 13:15:55 [Note]: 2000 1012
09/17/07 13:17:50 [Note]: 7007 0

Zitat:

Zitat von nochdigger

Hallo

gut, die anderen Dateien scheinen wir alle erwischt zu haben

.

Zu den doppelten Dateien, die möchte ich dich bitten auswerten zu lassen ebenso die Originale.
Diese Dateien aus dem System32 Ordner :

Auch möchte ich einen scan mit Blacklight und Silentrunners sehen.

Lade dir bitte Blacklight runter
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das sollte etwa so aussehen --> fsbl-xxxzahlenxxx.log.

Lade dir auch Silentrunners runter und lasse es dein System scannen, anschließend poste ebenfalls das Log.

MFG

nochdigger · 17.09.2007, 17:07

Hallo

Zitat:

wo soll ich die dateine durchlaufen lassen??

ja bitte

Zitat:

den log zum ersten programm habe ich

welches gut aussieht, fehlt das zweite Programm noch...

MFG

goofy_rychestei · 17.09.2007, 17:40

Zitat:

Zitat von nochdigger

Hallo

ja bitte

welches gut aussieht, fehlt das zweite Programm noch...

MFG

juhuuuuu mein vater hat sich panda internet security 2007 platinum gekauft als ich diese instaliert habe hat er ziemlichviele viren gefunden!!
und jetzt ist glaub alles dsesinfisziert!
wie kann ich das nachschauen?
soll ich nochmal einen log posten??
und noch ne frage:
ist diese virensystem gut??(also vom preis her müsste es gut sein XDD)
MFG

mmk · 17.09.2007, 17:45

Zitat:

Zitat von goofy_rychestei

juhuuuuu mein vater hat sich panda internet security 2007 platinum gekauft als ich diese instaliert habe hat er ziemlichviele viren gefunden!!
und jetzt ist glaub alles dsesinfisziert!
wie kann ich das nachschauen?

Poste bitte den Scanreport des Virenscanners (Panda), welcher dann Rückschlüsse auf die von Dir geschilderten Funde zulassen wird.

goofy_rychestei · 17.09.2007, 18:03

Zitat:

Zitat von mmk

Poste bitte den Scanreport des Virenscanners (Panda), welcher dann Rückschlüsse auf die von Dir geschilderten Funde zulassen wird.

ok habe jetz gerade zur sicherheit eine scan des ganzen computers gestartet
wenn dieser beendet ist werde ich den bericht dazu posten

ok hier der bericht:

Panda Internet Security 2007 Fehlerbericht
Gewählter Filter:Virus erkannt, Verdächtige Datei, Gefährliche Datei, Script Ausführung, Telefonverbindung, Verbindungsversuch, Port Scan-Attacke, Verweigerung der Service-Attacke, Spoofing, Attackierende IP- Adresse geblockt, Aktiviert, Inaktiv, Update, Scan gestartet, Scan beendet, Datum: Alle
VORFALL BENACHRICHTIGT DURCH DATUM-ZEIT ERGEBNIS ZUSÄTZLICHE INFORMATON
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Scan beendet Sofortiger Antivirus- Scan 09/17/07 19:39:17 Scan: Scan des gesamten System
Spyware erkannt: Cookie/Atlas DMT Antivirus-Schutz 09/17/07 19:02:27 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\cookies\wald@atdmt[1].txt
Spyware erkannt: Cookie/Atlas DMT Antivirus-Schutz 09/17/07 19:02:25 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\cookies\wald@atdmt[1].txt
Spyware erkannt: Cookie/Adserver Sofortiger Antivirus- Scan 09/17/07 18:59:51 Desinfiziert Pfad: C:\Dokumente und Einstellungen\Wald\Cookies\wald@adserver.easyad[2].txt
Adware erkannt: Adware/Zenosearch Sofortiger Antivirus- Scan 09/17/07 18:59:24 Desinfiziert Pfad: C:\avenger\backup.zip[avenger/owinsldt.exe]
Adware erkannt: Adware/Zenosearch Sofortiger Antivirus- Scan 09/17/07 18:59:24 Desinfiziert Pfad: C:\avenger\backup.zip[avenger/krdsrngp.exe]
Adware erkannt: Adware/Zenosearch Sofortiger Antivirus- Scan 09/17/07 18:59:24 Desinfiziert Pfad: C:\avenger\backup.zip[avenger/dwdsrngt.exe]
Pot. unerwünschtes Programm entdeckt... Sofortiger Antivirus- Scan 09/17/07 18:59:21 Gelöscht Pfad: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Scan gestartet Sofortiger Antivirus- Scan 09/17/07 18:58:57 Scan: Scan des gesamten System
Spyware erkannt: Cookie/Atlas DMT Antivirus-Schutz 09/17/07 18:50:10 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\cookies\wald@atdmt[1].txt
Scan beendet Sofortiger Antivirus- Scan 09/17/07 18:46:28 Scan:
Joke erkannt: Joke/Geschenk Antivirus-Schutz 09/17/07 18:46:04 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\desktop\memory stick\coladosenhalter.exe
Virus erkannt: Trj/Agent.DIL Antivirus-Schutz 09/17/07 18:46:04 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\desktop\memory stick\lichtschalter.exe
Joke erkannt: Joke/Buttons Antivirus-Schutz 09/17/07 18:45:56 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\desktop\memory stick\bild 2.exe
Joke erkannt: Joke/Drunk Antivirus-Schutz 09/17/07 18:45:20 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\desktop\memory stick\alkoholtest.exe
Update Update System 09/17/07 18:45:15 Korrekt Neue Version:
Scan gestartet Sofortiger Antivirus- Scan 09/17/07 18:45:14 Scan:
Update Update System 09/17/07 18:45:09 Korrekt Gesamtzahl Virensignaturen: 563509
Spyware erkannt: Cookie/Atlas DMT Antivirus-Schutz 09/17/07 18:43:55 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\cookies\wald@atdmt[1].txt
Spyware erkannt: Cookie/Atlas DMT Antivirus-Schutz 09/17/07 18:43:52 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\cookies\wald@atdmt[1].txt
Spyware erkannt: Cookie/Atlas DMT Antivirus-Schutz 09/17/07 18:43:52 Desinfiziert Pfad: c:\dokumente und einstellungen\wald\cookies\wald@atdmt[1].txt
und wie siehts aus
?