Kann bitte jemand meinen LogFile prüfen?

Mandy1982 · 29.10.2007, 19:58

Mein Betriebssystem ist Windows XP. Ich lasse regelmäßig mein Anti-Viren-Programm (AVG) durchlaufen. Dieses Mal hat er mir angezeigt, dass ich den JS/Downloader.Agent drauf habe. Das Programm kann den Virus nicht selbstständig löschen. Er soll unter C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content usw. sein.
Kann mir da jemand sagen, wie ich den Virus wieder los werden kann?
Vielen Dank

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:14, on 29.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office 2000\Office\1031\OLFSNT40.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T62DI8XS\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {61A5C7CC-47F0-4286-ACF9-39B6C24ABB48} - C:\WINDOWS\system32\objsel32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office 2000\Office\1031\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86B459F2-9D48-483B-B81A-DEEF3CF201B5}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe

--
End of file - 7193 bytes

cosinus · 29.10.2007, 20:53

Tach!

Werte zuerst einmal bei Virustotal diese Datei aus:

C:\WINDOWS\system32\objsel32.dll

und poste sämtliche Ergebnisse. Dann sehen wir weiter.

Mandy1982 · 30.10.2007, 18:52

Hallo Arne,

vielen Dank für Deine Hilfe.
Das kam bei Virustotal raus...Was sagt mir das nun?

Datei objsel32.dll empfangen 2007.10.30 18:37:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 18/32 (56.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 23.
Geschätzte Startzeit is zwischen 100 und 143 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.30.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 ADSPY/Stud.A.43
Authentium 4.93.8 2007.10.30 -
Avast 4.7.1074.0 2007.10.30 Win32:Trojano-3384
AVG 7.5.0.503 2007.10.30 Adware Generic2.AMI
BitDefender 7.2 2007.10.30 Adware.Stud.Y
CAT-QuickHeal 9.00 2007.10.29 AdWare.Stud.a (Not a Virus)
ClamAV 0.91.2 2007.10.30 Trojan.BHO-83
DrWeb 4.44.0.09170 2007.10.30 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5253 2007.10.30 -
Ewido 4.0 2007.10.30 Adware.Stud
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.30 W32/Adware.KBB
F-Secure 6.70.13030.0 2007.10.30 -
Ikarus T3.1.1.12 2007.10.30 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2007.10.30 -
McAfee 5151 2007.10.29 -
Microsoft 1.2908 2007.10.30 Trojan:Win32/Webprefix
NOD32v2 2627 2007.10.30 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.10.29 W32/Stud.AE
Panda 9.0.0.4 2007.10.30 -
Prevx1 V2 2007.10.30 Malware.Gen
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 MapKon
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 Adware.Webprefix
TheHacker 6.2.9.110 2007.10.27 Adware/Stud.a
VBA32 3.12.2.4 2007.10.28 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.10.30 -
Webwasher-Gateway 6.0.1 2007.10.30 Ad-Spyware.Stud.A.43
weitere Informationen
File size: 14708 bytes
MD5: 06c23a14ffd03000e9a5e9547fc9f66c
SHA1: cd1ab4566999d77218d16ca676f682da6e66d27d
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=61E27C0A74C5611A39F900799AEB7E00BDF08BC9

cosinus · 30.10.2007, 19:07

Aha, ist also eine Adware-Komponente. Der Hijackthiseintrag

Code:

ATTFilter

O2 - BHO: (no name) - {61A5C7CC-47F0-4286-ACF9-39B6C24ABB48} - C:\WINDOWS\system32\objsel32.dll

ist zu fixen!

Führ mal folgende Tools bzw. Anleitungen für weitere Analysezwecke aus und poste die Logfiles:

- eScan
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Mandy1982 · 01.11.2007, 19:04

Hallo Arne,

vielen Dank für Deine Geduld.

Hier die Files:
eScan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.5.1
Sprache: German
Virus-Datenbank Datum: 10/30/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\foxpro)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\intrbase\db open)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\msaccess\db open)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\system)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (C:\WINDOWS\system32\bdeadmin.cpl)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\paradox)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\system\formats\time)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\foxpro\table create)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\paradox\table create)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\dbase\table create)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\system\formats\date)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\dbase)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\intrbase)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\foxpro\init)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\system\init)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\paradox\init)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\dbase\init)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\intrbase\init)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\msaccess\init)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\system\formats)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers\msaccess)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\drivers)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.ming Spyware (hkey_local_machine\software\borland\database engine\settings\system\formats\number)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IZWZPZ3U\count[1].htm infiziert von "Trojan-Downloader.JS.Inor.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P0Z6L8X4\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WBVZUPH7\counter[2].htm//Crypt.DCScript infiziert von "Exploit.HTML.IESlice.p" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\objsel32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\USER\Desktop\Programme\winamp535_full_emusic-7plus.exe markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\objsel32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\USER\Desktop\Programme\winamp535_full_emusic-7plus.exe markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\system32\objsel32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\USER\Anwendungsdaten\microsoft\office\zuletzt verwendet\internet.lnk
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\0tmdrz8\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\4vh9m6\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\6zbzaz\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\7wk50l\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\a9mz4y\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\gywkp7\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\htvwel\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\lre0c4\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\pzx9zx\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\q0hrwq\utility.dll
Offending file found: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\temp\vae770\utility.dll
Offending file found: C:\WINDOWS\system32\bdeadmin.cpl
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9WEPCKLT\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 88267
Gefundene Viren: 47
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 22
Dauer des Scans bisher: 01:49:40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:07:28,42
Batchende: 21:07:49,07

Mandy1982 · 01.11.2007, 19:05

und hier die filelist:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 9C74-B136

Verzeichnis von C:\

01.11.2007 18:17 502.714.368 hiberfil.sys
01.11.2007 18:17 754.974.720 pagefile.sys
31.10.2007 21:05 0 23990098.$$$
29.06.2007 08:48 1.753.920 snpvw.exe

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 9C74-B136

Verzeichnis von C:\WINDOWS\system32

29.10.2007 17:58 311.938 perfh009.dat
29.10.2007 17:58 317.168 perfh007.dat
29.10.2007 17:58 48.552 perfc007.dat
29.10.2007 17:58 40.326 perfc009.dat
29.10.2007 17:58 723.568 PerfStringBackup.INI
26.10.2007 17:43 1.170 wpa.dbl

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 9C74-B136

Verzeichnis von C:\WINDOWS\Prefetch

01.11.2007 18:35 73.886 WINRAR.EXE-3588DFE8.pf
01.11.2007 18:21 115.284 IEXPLORE.EXE-2CA9778D.pf
01.11.2007 18:20 35.856 FBOXUPD.EXE-201EA6D5.pf
01.11.2007 18:20 78.796 AVGINET.EXE-3038B75E.pf
01.11.2007 18:20 16.780 SVCHOST.EXE-3530F672.pf
01.11.2007 18:20 160.594 AVGW.EXE-00A2F684.pf
01.11.2007 18:20 27.224 STCENTER.EXE-2DCE9FDD.pf
01.11.2007 18:20 22.744 FWEBPROT.EXE-039316ED.pf
01.11.2007 18:20 16.392 READER_SL.EXE-36135169.pf
01.11.2007 18:20 8.876 INSTLSP.EXE-20F3E0E7.pf
01.11.2007 18:20 17.268 CTFMON.EXE-0E17969B.pf
01.11.2007 18:20 38.708 SDTRAYAPP.EXE-1A2007EF.pf
01.11.2007 18:20 15.146 DUMPREP.EXE-1B46F901.pf
01.11.2007 18:20 750.664 NTOSBOOT-B00DFAAD.pf
31.10.2007 19:10 48.100 LOGONUI.EXE-0AF22957.pf
31.10.2007 19:08 18.978 IMAPI.EXE-0BF740A4.pf
31.10.2007 19:08 24.398 AVGCC.EXE-36A38F59.pf
31.10.2007 19:08 12.680 WINAMPA.EXE-2BDF6A16.pf
31.10.2007 19:08 12.406 QTTASK.EXE-2D7EEF34.pf
31.10.2007 19:08 13.998 REALPLAY.EXE-39F79CBD.pf
31.10.2007 19:08 10.842 JUSCHED.EXE-2E5491BE.pf
31.10.2007 19:08 14.552 PDVDSERV.EXE-15757141.pf
31.10.2007 19:08 12.552 NEROCHECK.EXE-092C6DFA.pf
31.10.2007 19:08 20.098 ALG.EXE-0F138680.pf
31.10.2007 18:57 118.976 ACRORD32.EXE-0EC716D9.pf
31.10.2007 18:57 98.466 ACRORD32INFO.EXE-30CEC19C.pf
31.10.2007 18:57 18.302 VERCLSID.EXE-3667BD89.pf
31.10.2007 18:52 61.232 DRWTSN32.EXE-2B4B52AC.pf
31.10.2007 18:52 47.886 DWWIN.EXE-30875ADC.pf
31.10.2007 18:38 17.228 NOTEPAD.EXE-336351A9.pf
31.10.2007 18:37 94.136 UPDATE.EXE-0C3CBDEF.pf
31.10.2007 16:08 155.306 WMPLAYER.EXE-0996933C.pf
31.10.2007 15:58 87.584 SETUP_WM.EXE-19AC5A9B.pf
30.10.2007 18:56 41.622 CCLEANER.EXE-065E2F3F.pf
30.10.2007 18:47 17.380 RUNDLL32.EXE-268BFF96.pf
30.10.2007 16:48 20.398 IGDCTRL.EXE-027ED68D.pf
29.10.2007 18:56 89.866 AVGWB.DAT-25B8DD3B.pf
29.10.2007 18:16 25.052 HIJACKTHIS[1].EXE-390719CB.pf
29.10.2007 18:15 74.278 WMIPRVSE.EXE-28F301A9.pf
29.10.2007 18:09 27.360 GLB1B.TMP-010D1027.pf
29.10.2007 18:09 9.734 YCOMP_~1.EXE-3995250C.pf
29.10.2007 18:09 22.374 GLJ1D.TMP-3A5EED18.pf
29.10.2007 18:09 34.064 GLB14.TMP-1C2487E9.pf
29.10.2007 18:09 9.864 YTB3.EXE-194951CA.pf
29.10.2007 18:09 16.762 REGSVR32.EXE-25EEFE2F.pf
29.10.2007 18:08 23.766 CCSETUP201[1].EXE-23D27F1C.pf
29.10.2007 17:58 46.160 SWDOCTOR.EXE-13B584DD.pf
29.10.2007 17:57 52.188 WMIADAP.EXE-2DF425B2.pf
29.10.2007 17:56 18.702 SVCNTAUX.EXE-2857762E.pf
29.10.2007 17:56 48.432 SWDSVC.EXE-178874E9.pf
29.10.2007 17:56 24.698 RUNDLL32.EXE-1687FC74.pf
29.10.2007 17:56 39.744 IS-IKEHL.TMP-0FFA56D8.pf
29.10.2007 17:56 14.436 SDSETUP[1].EXE-1BEE6CF3.pf
29.10.2007 17:52 39.914 AVGVV.EXE-0A3F8C17.pf
28.10.2007 16:06 89.562 DFRGNTFS.EXE-269967DF.pf
28.10.2007 16:06 16.166 DEFRAG.EXE-273F131E.pf
28.10.2007 16:06 986.408 Layout.ini
27.10.2007 14:33 3.758 SLSERV.EXE-1E8DF9A3.pf
27.10.2007 14:33 9.650 AVGUPSVC.EXE-28C59C55.pf
27.10.2007 14:33 31.848 AVGAMSVR.EXE-13835775.pf
27.10.2007 14:33 33.692 AVGEMC.EXE-361B4758.pf
24.10.2007 15:30 18.160 TASKMGR.EXE-20256C55.pf
24.10.2007 15:30 38.288 IEDW.EXE-2D047874.pf
24.10.2007 15:25 26.740 AVGAMSVR.EXE-245B1EB7.pf
24.10.2007 15:24 16.968 AVGUPDLN.EXE-0C1FBF7C.pf
21.10.2007 14:31 51.706 WKDSTORE.EXE-31475208.pf
21.10.2007 14:31 87.398 WINWORD.EXE-259486DA.pf
20.10.2007 18:40 43.496 ADOBEUPDATEMANAGER.EXE-2BB88D51.pf
16.10.2007 16:11 80.640 HELPSVC.EXE-2878DDA2.pf
09.10.2007 15:39 88.552 SNDVOL32.EXE-383480B7.pf
08.10.2007 14:42 48.572 AGENTSVR.EXE-002E45AB.pf
08.10.2007 07:28 124.540 JUCHECK.EXE-03FBF417.pf
08.10.2007 07:28 9.156 JAVA.EXE-1586CEFA.pf
25.09.2007 17:44 27.354 RUNDLL32.EXE-431790A3.pf
25.09.2007 16:54 49.138 RUNDLL32.EXE-2FA99355.pf
25.09.2007 16:54 43.646 RUNDLL32.EXE-327018EB.pf
25.09.2007 15:56 19.298 RUNDLL32.EXE-22908781.pf
24.09.2007 17:52 86.868 CALC.EXE-02CD573A.pf
23.09.2007 17:22 18.292 RUNDLL32.EXE-451FC2C0.pf
22.09.2007 15:28 43.054 MSTORDB.EXE-31FDF221.pf
22.09.2007 15:25 68.166 DW.EXE-05756616.pf
20.09.2007 17:23 11.944 FBOXDIAG.EXE-207F8FF0.pf
15.09.2007 14:03 15.232 RUNDLL32.EXE-2A4D9CA3.pf
13.09.2007 17:23 84.658 GOOGLEEARTH.EXE-0978F2AD.pf
01.09.2007 19:18 130.290 MSIMN.EXE-0B61806C.pf
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 9C74-B136

Verzeichnis von C:\WINDOWS

01.11.2007 18:18 0 0.log
01.11.2007 18:17 2.048 bootstat.dat
31.10.2007 21:11 1.380.840 WindowsUpdate.log
31.10.2007 19:25 150.764 ntbtlog.txt
31.10.2007 19:15 827 win.ini
31.10.2007 19:14 26 Lic.xxx
31.10.2007 19:10 32.548 SchedLgU.Txt
31.10.2007 15:58 23.421 wmsetup.log
08.10.2007 16:20 116 NeroDigital.ini
15.09.2007 14:03 741.582 setupapi.log
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 9C74-B136

Verzeichnis von C:\WINDOWS\tasks

01.11.2007 18:17 6 SA.DAT
04.08.2004 13:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 23.030.140.928 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 9C74-B136

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 9C74-B136

Verzeichnis von C:\DOKUME~1\USER\LOKALE~1\Temp

01.11.2007 18:36 117.385 filelist.txt
01.11.2007 18:29 86.734 jusched.log
01.11.2007 18:19 49.152 ~DFE049.tmp
31.10.2007 21:11 51.864 9947_appcompat.txt
31.10.2007 21:07 7.745.133 MWAV.LOG
31.10.2007 21:07 262.224 sfdb.dat
31.10.2007 21:05 872.008 MWAVC.LOG
31.10.2007 21:03 39.726 mwXface.log
31.10.2007 19:15 619 Download.log
31.10.2007 19:15 0 filelist.lst
31.10.2007 19:15 0 download.lck
31.10.2007 19:15 348 EUpdate.ini
31.10.2007 19:09 49.152 ~DFCAB4.tmp
31.10.2007 18:55 49.152 ~DFA326.tmp
31.10.2007 18:52 51.864 ead2_appcompat.txt
31.10.2007 18:43 49.152 ~DF53B8.tmp
31.10.2007 18:39 51.864 9597_appcompat.txt
31.10.2007 18:30 626.688 msvcr80.dll
31.10.2007 18:30 548.864 msvcp80.dll
31.10.2007 18:30 241.664 MYDB.DLL
31.10.2007 18:13 49.152 ~DF6A5E.tmp
31.10.2007 14:46 49.152 ~DF5F56.tmp
30.10.2007 18:33 49.152 ~DF990.tmp
30.10.2007 16:52 49.152 ~DFA955.tmp
30.10.2007 16:47 448.576 mexe.com
30.10.2007 16:47 448.576 MWAVSCAN.COM
30.10.2007 16:42 39.996 daily.avc
30.10.2007 16:42 28.525 avp.klb
30.10.2007 16:42 4.609 dailyc.avc
30.10.2007 16:30 11.638 English.con
30.10.2007 16:15 917 daily-ec.avc
30.10.2007 16:03 49.152 ~DF6410.tmp
30.10.2007 14:18 35.406 fa.avc
30.10.2007 14:18 743 daily-ex.avx
30.10.2007 14:18 31.470 ext009.avc
30.10.2007 14:18 743 daily-ex.avc
30.10.2007 14:18 27.436 unp039.avc
30.10.2007 14:18 58.378 base156.avc
30.10.2007 14:18 43.159 ext005c.avc
30.10.2007 14:18 64.169 base060c.avc
30.10.2007 14:18 18.107 fa001.avc
30.10.2007 14:18 156.749 krnmacro.avc
30.10.2007 14:18 120.392 krnunp.avc
30.10.2007 12:28 246.586 phupdn.txt
30.10.2007 12:13 18.427 global.daz
30.10.2007 12:13 71.513 phupdn.txz
29.10.2007 18:53 49.152 ~DF9CBF.tmp
29.10.2007 17:58 56.123 Setup Log 2007-10-29 #001.txt
29.10.2007 16:48 49.152 ~DFCE06.tmp
29.10.2007 16:13 49.152 ~DFCEC1.tmp
29.10.2007 16:00 162.152 Spyware.sdb
29.10.2007 16:00 2.098.275 File1.sdb
29.10.2007 16:00 1.275.608 Cid.sdb
29.10.2007 16:00 729.061 Dir.sdb
29.10.2007 16:00 257.500 spydb.avs
29.10.2007 16:00 1.450.008 File2.sdb
29.10.2007 16:00 257.500 spydb.old
29.10.2007 15:02 91.771 Chinese.Age
29.10.2007 15:02 110.675 Icelandic.Age
29.10.2007 15:02 115.585 Polish.Age
29.10.2007 15:02 112.443 Finnish.Age
29.10.2007 15:02 116.740 French.Age
29.10.2007 15:02 115.630 Spanish.Age
29.10.2007 15:02 116.354 Spanishl.Age
29.10.2007 15:02 111.385 Romanian.Age
29.10.2007 15:02 123.926 Portuguese.Age
29.10.2007 15:02 122.996 Italian.Age
29.10.2007 15:02 125.772 language.ini
29.10.2007 15:02 125.772 German.Age
29.10.2007 10:33 64.818 unp016.avc
29.10.2007 10:33 75.678 unp007.avc
28.10.2007 17:26 49.152 ~DFE247.tmp
28.10.2007 16:05 171.008 esupdate.exe
28.10.2007 16:05 60.416 reload.exe
28.10.2007 14:50 39.936 unregx.exe
28.10.2007 14:45 1.974.272 msvl64.dll
28.10.2007 14:37 43.520 setpriv.exe
28.10.2007 14:32 155.648 msvlclnt.dll
28.10.2007 14:24 48.704 Getvlist.exe
28.10.2007 14:18 49.152 ~DFEB09.tmp
27.10.2007 20:58 27.023 gen005.avc
27.10.2007 20:58 36.190 gen004.avc
27.10.2007 20:58 51.288 unp005.avc
27.10.2007 20:58 46.143 unp036.avc
27.10.2007 20:58 55.124 base144.avc
27.10.2007 20:58 49.867 base072.avc
27.10.2007 20:58 50.908 base029.avc
27.10.2007 17:01 49.152 ~DFEB19.tmp
27.10.2007 14:31 49.152 ~DF8805.tmp
26.10.2007 21:54 51.864 b372_appcompat.txt
26.10.2007 21:15 49.152 ~DF33F.tmp
26.10.2007 17:44 49.152 ~DFED06.tmp
26.10.2007 11:17 3.974 avp_ext.set
26.10.2007 11:17 3.974 avp.set
26.10.2007 11:17 3.974 avp_x.set
26.10.2007 11:17 50.396 base155.avc
26.10.2007 11:17 50.563 base154.avc
26.10.2007 11:17 47.980 base002.avc
26.10.2007 11:17 50.073 base059c.avc
26.10.2007 11:17 50.368 base058c.avc
26.10.2007 11:17 50.489 base057c.avc
26.10.2007 11:17 49.385 base056c.avc
26.10.2007 11:17 50.158 base055c.avc
26.10.2007 11:17 49.874 base054c.avc
25.10.2007 16:46 1.332 esupd.ini
25.10.2007 12:20 30.277 unp024.avc
25.10.2007 12:20 52.452 unp011.avc
25.10.2007 12:20 49.097 base021.avc
25.10.2007 12:20 48.461 base016.avc
25.10.2007 12:20 48.703 base006.avc
24.10.2007 18:35 49.795 base042.avc
24.10.2007 18:32 52.106 English.Age
24.10.2007 15:16 49.152 ~DFDB05.tmp
24.10.2007 10:56 14.755 ext999.avc
24.10.2007 10:56 79.893 ca.avc
24.10.2007 10:56 34.163 unp012.avc
24.10.2007 10:56 49.492 base032.avc
24.10.2007 10:56 40.216 krn004.avc
23.10.2007 15:23 49.152 ~DFE546.tmp
23.10.2007 15:04 48.732 unp009.avc
23.10.2007 15:04 49.124 base004.avc
23.10.2007 15:04 48.850 base009.avc
23.10.2007 15:04 49.501 base026.avc
22.10.2007 16:41 49.152 ~DF8E3E.tmp
22.10.2007 14:47 49.152 ~DFE10C.tmp
22.10.2007 12:06 49.463 base031.avc
22.10.2007 09:57 47.750 base038.avc
22.10.2007 09:57 48.791 base013.avc
21.10.2007 14:34 63.800 unp023.avc
21.10.2007 14:34 53.920 unp003.avc
21.10.2007 14:34 54.423 unp008.avc
21.10.2007 14:34 50.102 base022.avc
21.10.2007 14:34 46.579 unp001.avc
21.10.2007 14:34 48.880 base011.avc
21.10.2007 14:34 48.522 base017.avc
21.10.2007 14:06 49.152 ~DFFB83.tmp
20.10.2007 17:17 9.152 java_install_reg.log
20.10.2007 16:37 49.152 ~DF8C63.tmp
20.10.2007 12:50 49.035 base033.avc
20.10.2007 12:50 49.258 base037.avc
20.10.2007 12:50 48.939 base030.avc
20.10.2007 12:50 48.606 base010.avc
20.10.2007 12:50 32.195 krnexe.avc
20.10.2007 12:26 906 MicroWorld Toolkit Utility.txt
19.10.2007 16:43 42.229 unp032.avc
19.10.2007 16:43 61.949 unp019.avc
19.10.2007 16:43 49.620 base001.avc
19.10.2007 16:43 47.853 base087.avc
19.10.2007 14:52 49.152 ~DFE4B2.tmp
18.10.2007 17:40 35.946 unp025.avc
18.10.2007 17:40 38.251 unp020.avc
18.10.2007 17:40 54.238 unp015.avc
17.10.2007 10:40 49.993 base145.avc
17.10.2007 10:40 43.404 krnengn.avc
16.10.2007 20:06 25.915 unp004.avc
16.10.2007 17:31 49.152 ~DFE62E.tmp
16.10.2007 14:52 49.152 ~DF8981.tmp
15.10.2007 16:41 50.188 base039.avc
15.10.2007 15:40 49.152 ~DFE504.tmp
14.10.2007 18:54 42.247 unp022.avc
13.10.2007 17:07 49.152 ~DFE194.tmp
11.10.2007 20:47 49.152 ~DFD319.tmp
11.10.2007 19:00 49.152 ~DFD103.tmp
11.10.2007 15:54 49.152 ~DFF7F3.tmp
11.10.2007 10:28 48.825 unp034.avc
11.10.2007 10:28 13.584 kernel.avc
10.10.2007 18:28 49.152 ~DFCE7D.tmp
10.10.2007 15:20 49.152 ~DFD283.tmp
09.10.2007 17:20 49.152 ~DFE676.tmp
09.10.2007 15:18 49.152 ~DFE5F5.tmp
09.10.2007 11:42 48.257 unp037.avc
09.10.2007 11:42 40.706 unp031.avc
09.10.2007 11:42 55.741 unp006.avc
09.10.2007 11:42 50.368 base150.avc
09.10.2007 11:42 23.526 unp000.avc
09.10.2007 11:42 50.363 base142.avc
09.10.2007 11:42 47.952 base139.avc
09.10.2007 11:42 49.821 base082.avc
09.10.2007 11:42 52.973 base095.avc
09.10.2007 11:42 49.237 base088.avc
09.10.2007 11:42 49.254 base073.avc
09.10.2007 11:42 50.527 base081.avc
09.10.2007 11:42 49.605 base058.avc
09.10.2007 11:42 49.114 base055.avc
09.10.2007 11:42 50.134 base056.avc
09.10.2007 11:42 50.729 base051.avc
09.10.2007 11:42 49.350 base046.avc
09.10.2007 11:42 47.119 base028.avc
09.10.2007 11:42 50.160 base023.avc
09.10.2007 11:42 46.280 base027.avc
09.10.2007 11:42 49.095 base018.avc
09.10.2007 11:42 50.044 base045c.avc
08.10.2007 15:49 49.152 ~DFCF1D.tmp
08.10.2007 14:15 49.152 ~DFD717.tmp
08.10.2007 07:18 49.152 ~DFCD4F.tmp
05.10.2007 15:37 49.152 ~DFD49E.tmp
05.10.2007 10:03 48.943 unp030.avc
05.10.2007 10:03 49.509 unp027.avc
05.10.2007 10:03 40.004 unp026.avc
05.10.2007 10:03 49.964 base153.avc
05.10.2007 10:03 68.103 unp002.avc
05.10.2007 10:03 50.103 base141.avc
05.10.2007 10:03 48.302 base014.avc
05.10.2007 10:03 50.444 base053c.avc
05.10.2007 10:03 50.000 base020c.avc
05.10.2007 10:03 50.098 base052c.avc
04.10.2007 19:27 49.152 ~DFCE9F.tmp
04.10.2007 18:30 49.152 ~DFE8AE.tmp
03.10.2007 18:52 49.152 ~DFD249.tmp
03.10.2007 17:14 1.048.577 PNX7.tmp
03.10.2007 17:13 1.015.809 PNX6.tmp
03.10.2007 15:23 49.152 ~DFD150.tmp
03.10.2007 13:39 49.152 ~DFCD25.tmp
03.10.2007 12:47 49.152 ~DFD52C.tmp
03.10.2007 10:17 48.583 unp038.avc
03.10.2007 10:17 48.701 unp033.avc
03.10.2007 10:17 49.630 base068.avc
03.10.2007 10:17 50.002 base127.avc
03.10.2007 10:17 49.994 base039c.avc
03.10.2007 10:17 103.182 krn005.avc
01.10.2007 17:55 50.529 base037c.avc
01.10.2007 17:55 50.365 base038c.avc
30.09.2007 18:52 49.152 ~DFCFE0.tmp
30.09.2007 16:41 49.152 ~DFD479.tmp
30.09.2007 13:17 49.152 ~DFE7F1.tmp
28.09.2007 10:04 55.805 unp014.avc
28.09.2007 10:04 50.576 base146.avc
28.09.2007 10:04 48.258 base015.avc
27.09.2007 18:39 49.152 ~DF89D9.tmp
27.09.2007 05:06 49.152 ~DFE9BD.tmp
26.09.2007 18:25 49.152 ~DFEC06.tmp
26.09.2007 15:16 49.152 ~DFD5FE.tmp
25.09.2007 16:32 49.152 ~DFE0AA.tmp
25.09.2007 13:57 49.152 ~DFD3BF.tmp
25.09.2007 11:50 50.222 base152.avc
25.09.2007 11:50 49.814 ext004c.avc
25.09.2007 11:50 50.271 base051c.avc
25.09.2007 11:50 49.981 base050c.avc
25.09.2007 11:50 50.049 base049c.avc
25.09.2007 07:13 49.152 ~DFD360.tmp
24.09.2007 17:32 49.152 ~DFCF92.tmp
23.09.2007 17:12 49.152 ~DFEBE8.tmp
23.09.2007 08:24 49.152 ~DFD753.tmp
22.09.2007 15:25 544.766 ~WRS0005.tmp
22.09.2007 15:12 9.717 ~WRD2782.doc
22.09.2007 15:11 22.988 mso947BE.emf
22.09.2007 14:37 24.192 mso1D521.emf
22.09.2007 14:18 172.332 mso79D4A.emf
22.09.2007 14:14 172.320 mso9BE95.emf
22.09.2007 12:36 16.384 ~WRF0002.tmp
22.09.2007 12:35 49.152 ~DFF3DF.tmp
22.09.2007 08:16 49.152 ~DFE289.tmp

ich habe die letzten 30 Kalendertage genommen, richtig?

Der SilentRunners dauert noch ein wenig. Hab Probleme mit dem Host. Aber ich habe mich schon an den Betreiber des Silent Runners gewandt. Die Auswertung bekommst Du dann so schnell wie möglich.

Vielen Dank!!!

cosinus · 01.11.2007, 19:19

MWAV/eScan hat schon mal rel. viele Fehlalarme erzeugt...wie immer

Löschen kannst du schonmal diese Datei => C:\WINDOWS\system32\objsel32.dll
Sollte das nicht klappen, müssen wir zu härteren Maßnahmen greifen.

Besorg dir auch mal den CCleaner, installiere ihn und lasse mal alle unnötigen Dateien löschen. Auch unter "Advanced" die alten Prefetch Dateien.

Mandy1982 · 02.11.2007, 19:50

Hallo Arne,

ich habe den CC Cleaner installiert und ziemlich viel bereinigt. Ich habe dann den AVG Scan nochmal durchlaufen lassen und er hat keinen Trojaner mehr ausgespukt. Ist der jetzt entfernt?

Sollte ich nicht auch mal meinen Cache bereinigen? Wie mache ich das?

Wie kann ich diese Datei löschen? C:\WINDOWS\system32\objsel32.dll

Vielen Dank für Dein Feedback.

cosinus · 02.11.2007, 19:59

Okay, um sicher zu gehen, dass diese Datei gelöscht wird, so vorgehen:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\objsel32.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Mandy1982 · 04.11.2007, 10:54

Hallo Arne,

scheint gelöscht zu sein, oder?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wwnqyodk

*******************

Script file located at: \??\C:\wjcxmdsq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\objsel32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus · 05.11.2007, 19:01

Ja, die Datei wurde anscheinend sauber entfernt...und ich hoffe sie kommt auch erstmal nicht so schnell wieder. Zur Überprüfung und zum Auffinden weiterer krummer Dateien geh bitte wie folgt vor:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing6.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

29.10.2007, 20:53	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Kann bitte jemand meinen LogFile prüfen? Tach! Werte zuerst einmal bei Virustotal diese Datei aus: C:\WINDOWS\system32\objsel32.dll und poste sämtliche Ergebnisse. Dann sehen wir weiter. __________________ __________________

Kann bitte jemand meinen LogFile prüfen?

Log-Analyse und Auswertung: Kann bitte jemand meinen LogFile prüfen?