so nun erstmal

die silentrunner files

zu1)

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS]
"Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found]


zu2)

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS]
"Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoControlPanel" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoWindowsUpdate" = (REG_DWORD) hex:0x00000001
{User Configuration|Administrative Templates|Start Menu and Taskbar|
Remove links and access to Windows Update}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableTaskMgr" = (REG_DWORD) hex:0x00000001
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Nicole" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Speedport W 100 Stick WLAN Manager" -> shortcut to: "C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe" ["TECOM"]


Enabled Scheduled Tasks:
------------------------

"Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Q" (unwritable string)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 102 domain names to IP addresses,
102 of the IP addresses are *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Spyware Doctor Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"]
Spyware Doctor Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX5000 Series 32MonitorBE\Driver = "E_FLBBVE.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2007-10-15 15:50:05)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 2896 seconds, including 7 seconds for message boxes)

ich kann machen was ich will ich komme nicht in den abgesicherten modus

F8, F5, oder im taskmanger systemprozesse beenden,

kein abgesicherter modus

hilfe!!!

Abgesicherter Modus, wenn F8 nicht funktioniert:

Start - Ausführen - msconfig - BOOT.INI - Hacken vor "/SAFEBOOT"

Nach dieser Eintragung startet der PC im abgesicherten Modus, bis der Hacken wieder entfernt wird.

der escan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/15/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.mg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\System32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\avenger\backup.zip/avenger/printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Nicole\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Nicole\Eigene Dateien\jawaline\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062835.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062836.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062837.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062843.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063854.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063868.dll markiert als "not-virus:Hoax.Win32.Renos.lq". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065856.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065857.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065862.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065863.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065988.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065990.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065991.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0066000.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\System32\process.exe
Offending file found: C:\WINDOWS\System32\swreg.exe
Offending file found: C:\WINDOWS\System32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\AUTORUN\AUTORUN.EXE
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 93024
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 10
Dauer des Scans bisher: 01:49:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:58:28,76
Batchende: 22:58:35,75

Hi,

wir operieren jetzt am offenen Herz, daher auf
eigenes Risiko!


SafeMode:
Entweder wie vorgeschlagen oder wie folgt reparieren:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899
entpacke es auf Deinen Desktop,
mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen
Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf.


Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\xlavra3.exe
C:\WINDOWS\System32\process.exe
C:\WINDOWS\System32\swreg.exe
C:\WINDOWS\System32\swsc.exe
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\System32\WinAvXX.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten!
(Wenn das nicht geht, müssen wir die Killbox nehmen!)

HostFile gerade biegen:
(Er leitet alle Anfragen an Antivirus-Internetseiten einschließlich
virustotal etc. um)! Wenn das Internet nicht mehr funktioniert,
musst Du Deinen Provider per Hand eventuelle einrichten, sichere daher
das HostFile komplett (zu finden unter:C:\WINDOWS\system32\drivers\etc\hosts)
vielleicht kann ich daraus die richtigen Einstellungen extrahieren)
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Neu booten und neuer Escan sowie HJ-Log posten;
Zusaetzlich bitte noch CureIT nutzen Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de


Wenn nichts mehr gefunden wurde ausser in den _restore-Verzeichnissen:
Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen
lassen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden,
d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest,
dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK ->
Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt
erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

danke für die anwort.
leider hab ich heute über tag keine zeit für meinen pc.
bist du morgen da, oder hilft mir jemand anders weiter?
danke

Keiner merkt es

Seht ihr das hier nicht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:08, on 14.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Sp1 nicht geupdatetes System
Erstmal das System auf den neuesten Stand bringen

@Trojanerade

Jo,

nutz nur im Augenblick nichts...
Falls alles wieder läuft oder der Rechner neu aufgesetzt werden muß,
dann kann man Sp2, IE7, Firefox, Java etc. aufspielen...

Chris

eine frage, ich weiß das "es" noch auf dem pc ist,
aber kann man irgendwie festellen, ob der keylogger noch aktiv istß

Hmm,

schwierig, wenn Rootkits verwendet werden dann ist es fast unmöglich festzustellen ob sie laufen. TCPView von Sysinternals listet alle Verbindungen eines Rechners auf (http://www.pcfreunde.de/download/detail-5201/tcpview.html)
...
Oder Security-Taksmanager verwenden...

Gruß,
Chris

steh ein wenig auf dem schlauch, sorry
die beiden eingefügten absätze brauch nich nochmal für nicht eingeweihte....
sorry für die mehrarbeit

*****************
HostFile gerade biegen:
(Er leitet alle Anfragen an Antivirus-Internetseiten einschließlich
virustotal etc. um)! Wenn das Internet nicht mehr funktioniert,
musst Du Deinen Provider per Hand eventuelle einrichten, sichere daher
das HostFile komplett (zu finden unter:C:\WINDOWS\system32\drivers\etc\hosts)
vielleicht kann ich daraus die richtigen Einstellungen extrahieren)
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
**********
Wenn nichts mehr gefunden wurde ausser in den _restore-Verzeichnissen:
Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen
lassen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden,
d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest,
dann ist er wieder da) wie folgt:
***********

Hi,

der Trojaner hat Deine Hosts-Datei manipuliert:
...
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com
...
Die Datei gibt die Zuordnung von IP-Adressen zu Hostnamen an.
Wenn Du nun versuchst z. B. (wie schon probiert) auf VirusTotal - Free Online Virus and Malware Scan zu gehen, dann hat er als IP Deine eigene angegeben, d.h. diese Abfrage kommt so zusagen nie im Internet an, verlässt nie Deinen Rechner. Und das hat er für eine ganze Reihe von Webadressen gemacht...

Das Programm was Du runterladen & ausführen sollst, versucht den Originalzustand wieder herzustellen (in dem es eine Sicherung einspielt).
Das sollte eigentlich funktionieren. Damit hast Du wieder den kompletten Zugriff auf das Internet...

Windows legt Sicherheitskopien über die Systemwiederherstellung von allen (wichtigen) Treibern etc. an (automatisch). Wenn sich nun ein Trojaner/Virus als Treiber registriert, dann wird er mitgesichert. Falls Du gezwungen bist eine Systemwiederherstellung vorzunehmen ("Letzte bekannte funktionierende Version"), dann ist er automatisch wieder da.
Laut escann ist genau das passiert, er ist bereits in der Systemwiederherstellung verankert (erkennbar an dem Pfad: "C:\System Volume Information\_restore"). Daher muß die Systemwiederherstellung ausgeschaltet werden (dabei werden alle Backups gelöscht), und nach erfolgreicher Bereinigung wieder eingeschaltet werden. Das birgt ein gewisses Risiko (falls der Rechner in der Zwischenzeit nicht mehr will, lässt sich kein Stand mehr herstellen (wenn der auch wieder den Trojaner hat).

Was mir aufgefallen ist, der Trojaner war nach Löschung durch Avenger gleich wieder da... d.h. er kommt entweder gleich wieder über das Internet auf Dein ungepachtes System (SP1 hat soviele Sicherheitslücken, da merkst Du nichts wenn sich einer Zugriff auf Deinen Rechner verschafft), oder es hängt noch was nicht sichtbares im Hintergurnd.

Du solltest möglichst Offline Deinen Rechner auf SP2 updaten und eine Firewall (z. B. ZoneAlarm) etc. installieren..., sonst treiben wir das Spiel bis zum Sankt-Nimmerleinstag...

chris

danke, für die erklärung

aber ich habe bei den beiden kopieren absetzten die vorgehensweise nicht ganz verstanden

Hast du die Files ganz am Anfang bei VT hochgeladen?

Chris, warum sagst du gleich löschen??? Wir wissen ja nicht was es ist, wenn es (worst-case) Backdoor mit Keylogger usw. ist muss man sich damit nicht weiter rumquälen

Außerdem ist nur SP1 drauf, da wäre sowieso das ratsamste neu aufzusetzen, weils schon lang nicht mehr aktuell ist.

so, bitte jetzt nochmal ganz langsam, für verwirrte, gestresste und ohne pc
arbeitslose

bis zum 2. mal avenger hab ich alles getan

über msconfig bin ich im safeboot

ich habe norton, cureit, spydoc, dr web, nochmal durchlaufen lassen
außer 2-3 tracern wurde nix gefunden.
der CureIT meldete 2 hacktools, diese befinden sich allerdings in der datei
in der ich die hier "verordneten" downloads habe

es stimmt, auf die internet seiten, auf denen es virentools gib komme ich nicht.

Bemerkung am Rande: kaffeepads24 geht auch nicht, wohl wegen wegen
mcaffee

nun zu sp1 ie6 etc. ich weiß genau auf welcher internetseite ich mir den trojaner eingefangen habe.

und noch eine information: morgen oder übermorgen bekomme ich eine norton vollversion auf cd
kann mir die noch irgendwie helfen?

und noch eine frage wie verändrt es die chancen, wenn man einen 2 pc anschließt und von da
scannt?