| |
| |||||||
Log-Analyse und Auswertung: Hijack This, Weiterleitung auf andere HomepagesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.11.2007, 10:16
| #16 | |
 |  Hijack This, Weiterleitung auf andere Homepages Ich tippe inzwischen nicht nur auf Smidfraud, sondern auf nach-geladene Keylogger und Adware. Wenn die Vermutung hinhaut, führt bei dir kein Weg am Neuaufsetzen vorbei. * Dateien Online Überprüfen (versteckte Ordner und Dateien anzeigen lassen) 1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: 2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg 3. Geschützte Systemdateien ausblenden -> Haken weg 4. Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) 5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen (Dateien online überprüfen) 6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger, falls du keine Internetverbindung hast. 7. lade die Seite von Virustotal (alternativ Jotti) 8. lade in der dafür vorgesehen Box folgende Datei(en) hoch Zitat:
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein mfg Cleriker |
|
16.11.2007, 10:57
| #17 |
 | Hijack This, Weiterleitung auf andere Homepages Habe die Ordner Einstellungen nochmal überprüft, meiner Meinung nach, habe die die Anleitung zum Onlinescan ausgeführt. Allerdings sind die angegebenen Dateien nur als Ordner existent und Leer. anbei ein Screenshot meiner Ordnereinstellungen. |
|
16.11.2007, 12:06
| #18 |
| | Hijack This, Weiterleitung auf andere Homepages Ach stimmt ja Combofix entfernt die ja gleich...
__________________Da ich jetzt überhaupt nicht mehr wissen kann, was auf deinem Rechner los war / ist, hast du 2 Möglichkeiten. a) Entweder wir scannen mit verschiedenen Tools nochmal alles durch und suchen nach Überbleibsel -> Das Restrisiko aufrgrund meiner Keyloggervermutungen vorhin bleibt aber vorhanden. b) Du setzt deinen Rechner nach der Anleitung neu auf, welches natürlich die sichere Variante ist und auch nicht mehr Zeit in Anspruch nimmt. * System neu aufsetzen mit anschließender Absicherung Die Entscheidung liegt bei dir. |
|
16.11.2007, 12:18
| #19 |
| | Hijack This, Weiterleitung auf andere Homepages da ich viele der Software nicht mehr habe und nicht den Rechner wieder neu installieren könnte, würde ich erstmal die "unsichere" Variante mit verschiedenen scan Software versuchen. Welche soll ich den nehmen? einiges habe ich ja schon auf dem Rechner. Und soll ich die Leeren Ordner löschen? Zitat: C:\WINDOWS\zts2.exe C:\WINDOWS\system32\vcmgcd32.dll C:\WINDOWS\system32\iifgfgf.dll C:\WINDOWS\rundll16.exe C:\WINDOWS\rundl132.dll @cleriker: danke für die Geduld und die Zeit die du dir genommen hast!!!! DANKE!!!! |
|
16.11.2007, 12:29
| #20 | |
| | Hijack This, Weiterleitung auf andere HomepagesZitat:
ja, lösche die Ordner. Also dann.... Nachdem du du die Ordner gelöscht hast, veränderst du bitte keine Dateien mehr sondern führst die folgenden Scans durch: (Poste diese bitte direkt rein ohne Anhang und Zitat. Ich bekomm' sonst Augenprobleme. Wenn ein Script zuu groß ist, teile es auf) 1. Hijackthis 2. Escan 3. Silentrunner 4. * Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp 5. * tcpview 1. Lade dir das Tool -> tcpview 2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner 3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern. 4. Den Inhalt der Logdatei posten. Ich hoffe, wir kommen anschließend weiter. |
|
16.11.2007, 17:51
| #21 |
| | Hijack This, Weiterleitung auf andere Homepages also habe die Anleitung Schritt für Schritt abgearbeitet. 1. die 4 Ordner gelöscht, Papierkorb geleert 2. Hijackthis ausgeführt, Log anbei 3. Escan ausgeführt, Log anbei 4. Silentrunner ausgeführt, Log anbei 5. * Filelist ausgeführt, Log anbei 6. tcpview ausgeführt, Log anbei Ich hoffe das jetzt nichts gefährliches mehr drauf ist. Danke nochmal Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:48:07, on 16.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Drivers\trcboot.exe C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe C:\Program Files\C4ebreg\c4ebreg.exe c:\sdwork\issimsvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\notes\ntmulti.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE C:\WINDOWS\system32\RegSrvc.exe C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\Drivers\ldlcserv.exe C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe C:\Program Files\IBM\Personal Communications\tpam.exe C:\Program Files\C4ebreg\isamtray.exe C:\Program Files\CheckPoint\Integrity Client\iclient.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe C:\Program Files\IBM\My Help\MyHelp.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\IBM\My Help\jre\bin\javaw.exe C:\Program Files\Softwin\BitDefender8\bdmcon.exe C:\Program Files\Softwin\BitDefender8\bdnagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\IBM\Bluetooth Software\BTTray.exe C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\WINDOWS\system32\msiexec.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\Program Files\hijackthis\2_99_1.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w3.ibm.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3D65677E-AC70-47E1-BF2D-5BAA77C6F852} - C:\WINDOWS\system32\jgmd400d.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe" O4 - HKLM\..\Run: [Tpam.exe] "C:\Program Files\IBM\Personal Communications\tpam.exe" O4 - HKLM\..\Run: [ISAMTray] "C:\Program Files\C4ebreg\isamtray.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\CheckPoint\Integrity Client\iclient.exe" O4 - HKLM\..\Run: [stgclean] c:\sdwork\w32main2.exe /cleanup O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [MyHelpService] C:\Program Files\IBM\My Help\plugins\com.ibm.myhelp.installer\service\MyHelpStart.exe O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Thinkvantage Fingerprint Software\launcher.exe" /startup O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe" O4 - HKLM\..\Run: [ipmcmu] c:\Program Files\IBM\IPM Client Migration Utility\ipmcmu.exe "c:\Program Files\IBM\IPM Client Migration Utility" O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\C4ebreg\c4ebreg.exe" /q O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SBCSTray] C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Lotus QuickStart.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm O14 - IERESET.INF: START_PAGE_URL=http://w3.ibm.com O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ibm.com O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ibm.com O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AppnNode - IBM Corporation - C:\WINDOWS\system32\Drivers\appnnode.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: ISAM SMT Service (ISAMsmt) - Unknown owner - C:\Program Files\C4ebreg\isamsmt.exe (file missing) O23 - Service: IBM Standard Asset Manager Service (ISAMSvc) - IBM Global Services - C:\Program Files\C4ebreg\c4ebreg.exe O23 - Service: ISSI EZUpdate (ISSIMon) - IBM Global Services - c:\sdwork\issimsvc.exe O23 - Service: IBM Enterprise Extender (ldlcserv) - IBM Corporation - C:\WINDOWS\system32\Drivers\ldlcserv.exe O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\notes\ntmulti.exe O23 - Service: My Help (MyHelp) - Unknown owner - C:\Program Files\IBM\My Help\plugins\com.ibm.myhelp.installer\service\MyHelpService.exe O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: IBM Trace Facility (TrcBoot) - IBM Corporation - C:\WINDOWS\system32\Drivers\trcboot.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 11548 bytes Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL
eScan Version: 9.5.4
Sprache: German
Virus-Datenbank Datum: 11/8/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Documents and Settings\Administrator\My Documents\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\avenger\backup.zip/avenger/jgmd400d.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{01E266C2-86F5-40B2-9145-B4252FFF29C3}\RP145\A0031057.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5c6595d1-5096-11db-b971-000d60af6385} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7b943cd6-2b64-11db-b964-000d60af6385} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9373a2f0-2886-11db-b95a-000cf124a33d} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 94640
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 82
Dauer des Scans bisher: 02:01:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Batchstart: 17:39:25,37
Batchende: 17:39:32,32
|
|
16.11.2007, 17:57
| #22 |
| | Hijack This, Weiterleitung auf andere Homepages weiter gehts mir dem Log für silentrunner Code:
ATTFilter "Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"ISAM SMT Service" = ""C:\Program Files\C4ebreg\isamsmt.exe"" [file not found]
"Tpam.exe" = ""C:\Program Files\IBM\Personal Communications\tpam.exe"" ["IBM Corporation"]
"ISAMTray" = ""C:\Program Files\C4ebreg\isamtray.exe"" ["IBM Global Services"]
"Zone Labs Client" = ""C:\Program Files\CheckPoint\Integrity Client\iclient.exe"" ["Check Point Inc."]
"stgclean" = "c:\sdwork\w32main2.exe /cleanup" ["IBM Global Services"]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"TPHOTKEY" = "C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]
"BMMLREF" = "C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE" [null data]
"BMMMONWND" = "rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor" [MS]
"BLOG" = "rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog" [MS]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"TPKMAPHELPER" = "C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper" ["Lenovo"]
"ACTray" = "C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe" ["Lenovo"]
"ACWLIcon" = "C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe" ["Lenovo"]
"MyHelpService" = "C:\Program Files\IBM\My Help\plugins\com.ibm.myhelp.installer\service\MyHelpStart.exe" [null data]
"PSQLLauncher" = ""C:\Program Files\Thinkvantage Fingerprint Software\launcher.exe" /startup" [file not found]
"ISSI EZUpdate Service" = ""c:\sdwork\issimsvc.exe"" ["IBM Global Services"]
"ipmcmu" = "c:\Program Files\IBM\IPM Client Migration Utility\ipmcmu.exe "c:\Program Files\IBM\IPM Client Migration Utility"" ["IBM"]
"C4EBReg" = ""C:\Program Files\C4ebreg\c4ebreg.exe" /q" ["IBM Global Services"]
"TkBellExe" = ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"avgnt" = ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SBCSTray" = "C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe" ["Sunbelt Software"]
"SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"BDMCon" = ""C:\Program Files\Softwin\BitDefender8\bdmcon.exe"" ["SOFTWIN S.R.L."]
"BDNewsAgent" = ""C:\Program Files\Softwin\BitDefender8\bdnagent.exe"" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{3D65677E-AC70-47E1-BF2D-5BAA77C6F852}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\jgmd400d.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {HKLM...CLSID} = "Display Panning CPL Extension"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "My Bluetooth Places"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["WIDCOMM, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Program Files\IBM RecordNow!\shlext.dll" [null data]
"{E91B2703-013E-4A99-AD33-2B6FB00AA356}" = "RecordNow! ContextMenuExt"
-> {HKLM...CLSID} = "RecordNow! ContextMenuExt"
\InProcServer32\(Default) = "C:\Program Files\IBM RecordNow!\shlext.dll" [null data]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
-> {HKLM...CLSID} = "ImageExtractorShellExt Class"
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Visio10\VisShe.dll" [null data]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
-> {HKLM...CLSID} = "CInfoTipShellExt Class"
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Visio10\VisShe.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.0.0812.00.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{248A7248-2D62-4B49-ACFB-0C1B70C04F0D}" = "PKZIP Shell Extension"
-> {HKLM...CLSID} = "PKZIP Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Common Files\PKWARE\PKZIP7\PKCOM700.dll" ["PKWARE, Inc."]
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v8"
-> {HKLM...CLSID} = "BitDefender Antivirus v8"
\InProcServer32\(Default) = "C:\Program Files\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> ACNotify\DLLName = "ACNotify.dll" [file not found]
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> atmgrtok\DLLName = "atmgrtok.dll" [file not found]
<<!>> pcsinst\DLLName = "pcsinst.dll" ["IBM"]
<<!>> tpfnf2\DLLName = "notifyf2.dll" [null data]
<<!>> tphotkey\DLLName = "tphklock.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {HKLM...CLSID} = "BitDefender Antivirus v8"
\InProcServer32\(Default) = "C:\Program Files\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
PKZIP Shell Extension\(Default) = "{248A7248-2D62-4B49-ACFB-0C1B70C04F0D}"
-> {HKLM...CLSID} = "PKZIP Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Common Files\PKWARE\PKZIP7\PKCOM700.dll" ["PKWARE, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {HKLM...CLSID} = "BitDefender Antivirus v8"
\InProcServer32\(Default) = "C:\Program Files\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
PKZIP Shell Extension\(Default) = "{248A7248-2D62-4B49-ACFB-0C1B70C04F0D}"
-> {HKLM...CLSID} = "PKZIP Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Common Files\PKWARE\PKZIP7\PKCOM700.dll" ["PKWARE, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"NoDevMgrUpdate" = (REG_DWORD) hex:0x00000000
{unrecognized setting}
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\sdwork\c4eb.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\PROGRA~1\ThinkPad\UTILIT~1\ThinkPadBitmap.bmp"
Startup items in "***" & "All Users" startup folders:
-----------------------------------------------------------
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
"BTTray" -> shortcut to: "C:\Program Files\IBM\Bluetooth Software\BTTray.exe" ["WIDCOMM, Inc."]
"Lotus QuickStart" -> shortcut to: "C:\lotus\wordpro\ltsstart.exe" ["Lotus Development Corporation"]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Germany GmbH"]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Germany GmbH"]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]
{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm" [null data]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://w3.ibm.com
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ac Profile Manager Service, AcPrfMgrSvc, "C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe" [null data]
Access Connections Main Service, AcSvc, "C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe" ["Lenovo"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
BitDefender Communicator, XCOMM, ""C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["Softwin"]
BitDefender Scan Server, bdss, ""C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data]
Bluetooth Service, btwdins, "C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe" ["WIDCOMM, Inc."]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
IBM Enterprise Extender, ldlcserv, "C:\WINDOWS\system32\Drivers\ldlcserv.exe" ["IBM Corporation"]
IBM KCU Service, TpKmpSVC, "C:\WINDOWS\system32\TpKmpSVC.exe" [null data]
IBM Standard Asset Manager Service, ISAMSvc, "C:\Program Files\C4ebreg\c4ebreg.exe" ["IBM Global Services"]
IBM Trace Facility, TrcBoot, "C:\WINDOWS\system32\Drivers\trcboot.exe" ["IBM Corporation"]
ISSI EZUpdate, ISSIMon, "c:\sdwork\issimsvc.exe" ["IBM Global Services"]
Machine Debug Manager, MDM, ""C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Multi-user Cleanup Service, Multi-user Cleanup Service, "C:\notes\ntmulti.exe" ["IBM Corp"]
Network Configuration Service, NetCfgSvr, "C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE" ["AT&T"]
RegSrvc, RegSrvc, "C:\WINDOWS\system32\RegSrvc.exe" ["Intel Corporation"]
Spectrum24 Event Monitor, S24EventMonitor, "C:\WINDOWS\system32\S24EvMon.exe" ["Intel Corporation "]
STI Simulator, STI Simulator, "C:\WINDOWS\System32\PAStiSvc.exe" [null data]
Sunbelt CounterSpy Antispyware, SBCSSvc, ""C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe"" ["Sunbelt Software"]
ThinkPad PM Service, IBMPMSVC, "C:\WINDOWS\system32\ibmpmsvc.exe" ["Lenovo."]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Check Point Inc."]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Bluetooth Printer Port\Driver = "bthcrp.dll" ["WIDCOMM, Inc."]
Canon BJ Language Monitor MP510\Driver = "CNMLM85.DLL" ["CANON INC."]
doPDF Desktop 5 Monitor\Driver = "dopdfmn5.dll" ["Softland"]
Infoprint Select\Driver = "selnt.dll" [null data]
---------- (launch time: 2007-11-16 17:32:26)
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 6 seconds.
---------- (total run time: 66 seconds)
|
|
16.11.2007, 17:58
| #23 |
| | Hijack This, Weiterleitung auf andere Homepages anbei Filelist Code:
ATTFilter ----- Root -----------------------------
Volume in drive C has no label.
Volume Serial Number is 8017-F8A8
Directory of C:\
30.11.2007 17:18 232 sqmdata09.sqm
30.11.2007 17:18 244 sqmnoopt09.sqm
16.11.2007 17:24 0 23990098.$$$
16.11.2007 10:09 1.072.680.960 hiberfil.sys
16.11.2007 10:09 1.610.612.736 pagefile.sys
16.11.2007 00:22 232 sqmdata05.sqm
16.11.2007 00:22 244 sqmnoopt05.sqm
16.11.2007 00:21 232 sqmdata04.sqm
16.11.2007 00:21 244 sqmnoopt04.sqm
15.11.2007 19:19 15.957 ComboFix.txt
15.11.2007 17:30 1.288 avenger.txt
15.11.2007 13:09 12.840 ComboFix2.txt
15.11.2007 13:01 232 sqmdata03.sqm
15.11.2007 13:01 244 sqmnoopt03.sqm
15.11.2007 02:06 244 sqmnoopt02.sqm
15.11.2007 02:06 232 sqmdata02.sqm
15.11.2007 02:06 232 sqmdata01.sqm
15.11.2007 02:06 244 sqmnoopt01.sqm
15.11.2007 02:05 244 sqmnoopt00.sqm
15.11.2007 02:05 232 sqmdata00.sqm
15.11.2007 02:05 232 sqmdata19.sqm
15.11.2007 02:05 244 sqmnoopt19.sqm
15.11.2007 02:03 232 sqmdata18.sqm
15.11.2007 02:03 244 sqmnoopt18.sqm
15.11.2007 02:02 232 sqmdata17.sqm
15.11.2007 02:02 244 sqmnoopt17.sqm
15.11.2007 01:58 232 sqmdata16.sqm
15.11.2007 01:58 244 sqmnoopt16.sqm
15.11.2007 01:06 244 sqmnoopt15.sqm
15.11.2007 01:06 232 sqmdata15.sqm
15.11.2007 01:05 232 sqmdata14.sqm
15.11.2007 01:05 244 sqmnoopt14.sqm
15.11.2007 01:05 232 sqmdata13.sqm
15.11.2007 01:05 244 sqmnoopt13.sqm
15.11.2007 01:05 232 sqmdata12.sqm
15.11.2007 01:05 244 sqmnoopt12.sqm
14.11.2007 10:41 232 sqmdata11.sqm
14.11.2007 10:41 244 sqmnoopt11.sqm
14.11.2007 10:23 232 sqmdata10.sqm
14.11.2007 10:23 244 sqmnoopt10.sqm
14.11.2007 10:12 232 sqmdata08.sqm
14.11.2007 10:12 244 sqmnoopt08.sqm
14.11.2007 01:28 10.673 ComboFix3.txt
13.11.2007 22:56 232 sqmdata07.sqm
13.11.2007 22:56 244 sqmnoopt07.sqm
13.11.2007 11:23 232 sqmdata06.sqm
13.11.2007 11:23 244 sqmnoopt06.sqm
----- System32 -------------------------
Volume in drive C has no label.
Volume Serial Number is 8017-F8A8
Directory of C:\WINDOWS\system32
11.03.2035 20:04 122.880 e1000msg.dll
04.03.2033 13:21 237.568 ati2cqag.dll
04.03.2033 13:21 30.720 ati2edxx.dll
04.03.2033 13:21 86.016 ati2evxx.dll
04.03.2033 13:21 389.120 ati2evxx.exe
04.03.2033 13:21 65.536 Ati2mdxx.exe
04.03.2033 13:21 2.239.328 ati3duag.dll
04.03.2033 13:21 151.552 ATIDEMGR.dll
04.03.2033 13:21 294.912 atiiiexx.dll
04.03.2033 13:21 6.508.544 atioglxx.dll
04.03.2033 13:21 17.408 atitvo32.dll
04.03.2033 13:21 476.928 ativvaxx.dll
04.03.2033 13:21 102.400 Oemdspif.dll
04.03.2033 13:21 209.408 ati2dvag.dll
16.11.2007 10:20 901 vsconfig.xml
15.11.2007 19:16 1.227 x_dtrace_log
15.11.2007 19:03 0 00AD3298_kds.xml
14.11.2007 21:03 5.329 jupdate-1.6.0_03-b05.log
14.11.2007 11:09 0 SBRC.dat
14.11.2007 11:09 0 SBFC.dat
12.11.2007 00:30 231.672 FNTCACHE.DAT
07.11.2007 10:03 2.206 wpa.dbl
29.10.2007 18:44 395.112 perfh009.dat
29.10.2007 18:44 60.446 perfc009.dat
29.10.2007 18:44 462.298 PerfStringBackup.INI
24.10.2007 10:07 5.632 Thumbs.db
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
27.08.2007 11:26 27.120 SBBD.exe
20.08.2007 17:12 21.656 dopdfmn5.dll
20.08.2007 17:12 17.048 dopdfmi5.dll
22.07.2007 18:39 279.552 swreg.exe
20.07.2007 17:22 5.269 dopdf5.ctm
23.02.2007 16:43 225 logo.jpg
28.12.2006 17:13 516.832 capicom.dll
01.12.2006 05:20 212.480 swxcacls.exe
29.11.2006 17:21 370.688 swsc.exe
27.11.2006 02:34 49.152 VFind.exe
05.10.2006 14:47 212.240 RICHTX32.OCX
----- Prefetch -------------------------
Volume in drive C has no label.
Volume Serial Number is 8017-F8A8
Directory of C:\WINDOWS\Prefetch
30.11.2007 17:56 19.136 RUNDLL32.EXE-12E27DD0.pf
30.11.2007 17:48 40.436 WSECT.EXE-22324D77.pf
30.11.2007 17:43 20.712 REALSCHED.EXE-3282FD31.pf
30.11.2007 17:27 78.796 WINWORD.EXE-29F5CB89.pf
30.11.2007 17:27 20.760 VERCLSID.EXE-3667BD89.pf
30.11.2007 17:27 81.598 EXPLORER.EXE-082F38A9.pf
30.11.2007 17:19 108.578 IEXPLORE.EXE-27122324.pf
30.11.2007 17:18 78.134 MSNMSGR.EXE-366A1A81.pf
30.11.2007 17:18 40.032 WMIPRVSE.EXE-28F301A9.pf
30.11.2007 17:17 25.624 WUAUCLT.EXE-399A8E72.pf
30.11.2007 17:17 41.516 LUALL.EXE-2BCC229F.pf
30.11.2007 17:17 73.760 LUCOMS~1.EXE-02DB5950.pf
30.11.2007 17:17 37.636 JAVAW.EXE-148EF059.pf
30.11.2007 17:17 38.702 SVCGUIHLPR.EXE-3745EF3F.pf
30.11.2007 17:17 55.236 ALG.EXE-0F138680.pf
30.11.2007 17:16 11.924 CMD.EXE-087B4001.pf
30.11.2007 17:16 10.838 AGRSMMSG.EXE-0034A7F7.pf
30.11.2007 17:16 11.504 UNAVTRAY.EXE-0D362F7F.pf
30.11.2007 17:16 8.112 TPAM.EXE-1F4358ED.pf
16.11.2007 17:34 11.236 FIND.EXE-0EC32F1E.pf
16.11.2007 17:33 42.590 NOTEPAD.EXE-336351A9.pf
16.11.2007 17:32 31.134 WSCRIPT.EXE-32960AB9.pf
16.11.2007 17:28 14.372 TPFNF2.EXE-15033101.pf
16.11.2007 17:07 72.644 BDNEWS.EXE-282F7C41.pf
16.11.2007 16:19 19.304 GUARDGUI.EXE-2C20A958.pf
16.11.2007 16:17 15.120 SBCSTRAY.EXE-0D646526.pf
16.11.2007 16:17 71.278 COUNTERSPY.EXE-33357AC7.pf
16.11.2007 16:17 22.454 SBWSC.EXE-336DA1C5.pf
16.11.2007 13:04 340.572 Layout.ini
16.11.2007 12:47 42.766 PKZIPW.EXE-0275C85A.pf
16.11.2007 12:45 105.730 MSIEXEC.EXE-2F8A8CAE.pf
16.11.2007 12:33 142.780 FIREFOX.EXE-28641590.pf
16.11.2007 12:19 49.530 UPDATE.EXE-264167D5.pf
16.11.2007 12:19 46.192 PREUPD.EXE-0C5BC219.pf
16.11.2007 10:12 47.888 BTTRAY.EXE-3AAB8E34.pf
16.11.2007 10:12 24.532 OSA.EXE-2CD63980.pf
16.11.2007 10:12 63.970 SYNTPLPR.EXE-28BB9F3B.pf
16.11.2007 10:12 941.972 NTOSBOOT-B00DFAAD.pf
15.11.2007 23:52 60.682 ICLIENT.EXE-09CE0FA4.pf
15.11.2007 13:12 126.216 REALPLAY.EXE-1BF219BD.pf
14.11.2007 12:07 16.362 DEFRAG.EXE-273F131E.pf
41 File(s) 3.112.358 bytes
0 Dir(s) 15.660.650.496 bytes free
----- Windows --------------------------
Volume in drive C has no label.
Volume Serial Number is 8017-F8A8
Directory of C:\WINDOWS
16.11.2007 12:48 50 Lic.xxx
16.11.2007 10:12 1.304.247 WindowsUpdate.log
16.11.2007 10:11 159 wiadebug.log
16.11.2007 10:11 50 wiaservc.log
16.11.2007 10:09 2.048 bootstat.dat
16.11.2007 00:32 32.552 SchedLgU.Txt
15.11.2007 22:21 250 gmer.ini
15.11.2007 22:21 80 gmer_uninstall.cmd
15.11.2007 22:21 585.791 gmer.dll
15.11.2007 18:53 1.007 win.ini
15.11.2007 17:41 278 system.ini
15.11.2007 03:47 4.164 mozver.dat
13.11.2007 02:12 81 Fotobook.INI
29.10.2007 18:56 136.192 catchme.exe
25.10.2007 10:26 53.248 bdoscandel.exe
25.10.2007 10:26 453 bdoscandellang.ini
26.06.2007 12:31 581.632 gmer.exe
----- Tasks ----------------------------
Volume in drive C has no label.
Volume Serial Number is 8017-F8A8
Directory of C:\WINDOWS\tasks
16.11.2007 10:09 6 SA.DAT
28.09.2007 16:41 362 BMMTask.job
04.08.2004 06:00 65 desktop.ini
3 File(s) 433 bytes
0 Dir(s) 15.660.646.400 bytes free
----- Wintemp --------------------------
Volume in drive C has no label.
Volume Serial Number is 8017-F8A8
Directory of C:\WINDOWS\temp
16.11.2007 10:11 256 ZLT013a8.TMP
16.11.2007 10:11 0 pcswinlg.log
2 File(s) 256 bytes
0 Dir(s) 15.660.646.400 bytes free
----- Temp -----------------------------
Volume in drive C has no label.
Volume Serial Number is 8017-F8A8
Directory of C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
16.11.2007 17:34 125.595 filelist.txt
16.11.2007 17:32 15.634.382 MWAV.LOG
16.11.2007 17:32 430.988 sfdb.dat
16.11.2007 17:28 0 httpgf59.tmp
16.11.2007 17:28 0 httpgf58.tmp
16.11.2007 17:24 3.037.736 MWAVC.LOG
16.11.2007 17:18 0 httpgf57.tmp
16.11.2007 17:18 0 httpgf56.tmp
16.11.2007 17:08 0 httpgf55.tmp
16.11.2007 17:08 0 httpgf54.tmp
16.11.2007 16:58 0 httpgf53.tmp
16.11.2007 16:58 0 httpgf52.tmp
16.11.2007 16:48 0 httpgf51.tmp
16.11.2007 16:48 0 httpgf50.tmp
16.11.2007 16:38 0 httpgf49.tmp
16.11.2007 16:38 0 httpgf48.tmp
16.11.2007 16:28 0 httpgf47.tmp
16.11.2007 16:28 0 httpgf46.tmp
16.11.2007 16:18 0 httpgf45.tmp
16.11.2007 16:18 0 httpgf44.tmp
16.11.2007 16:08 0 httpgf43.tmp
16.11.2007 16:08 0 httpgf42.tmp
16.11.2007 14:04 0 httpgf41.tmp
16.11.2007 14:04 0 httpgf40.tmp
16.11.2007 13:32 0 httpgf39.tmp
16.11.2007 13:32 0 httpgf38.tmp
16.11.2007 13:22 0 httpgf37.tmp
16.11.2007 13:22 0 httpgf36.tmp
16.11.2007 13:12 0 httpgf35.tmp
16.11.2007 13:12 0 httpgf34.tmp
16.11.2007 13:02 0 httpgf32.tmp
16.11.2007 13:02 0 httpgf33.tmp
16.11.2007 12:52 0 httpgf31.tmp
16.11.2007 12:52 0 httpgf30.tmp
16.11.2007 12:42 0 httpgf29.tmp
16.11.2007 12:42 0 httpgf28.tmp
16.11.2007 12:31 0 httpgf27.tmp
16.11.2007 12:31 0 httpgf26.tmp
16.11.2007 12:21 0 httpgf25.tmp
16.11.2007 12:20 0 httpgf24.tmp
16.11.2007 12:10 0 httpgf23.tmp
16.11.2007 12:10 0 httpgf22.tmp
16.11.2007 11:59 0 httpgf21.tmp
16.11.2007 11:59 0 httpgf20.tmp
16.11.2007 11:48 0 httpgf19.tmp
16.11.2007 11:48 0 httpgf18.tmp
16.11.2007 11:38 0 httpgf17.tmp
16.11.2007 11:37 0 httpgf16.tmp
16.11.2007 11:27 0 httpgf15.tmp
16.11.2007 11:27 0 httpgf14.tmp
16.11.2007 11:16 0 httpgf13.tmp
16.11.2007 11:16 0 httpgf12.tmp
16.11.2007 11:05 0 httpgf11.tmp
16.11.2007 11:05 0 httpgf10.tmp
16.11.2007 10:55 0 httpgf9.tmp
16.11.2007 10:54 0 httpgf8.tmp
16.11.2007 10:44 0 httpgf7.tmp
16.11.2007 10:44 0 httpgf6.tmp
16.11.2007 10:33 0 httpgf5.tmp
16.11.2007 10:33 0 httpgf4.tmp
16.11.2007 10:22 0 httpgf3.tmp
16.11.2007 10:22 0 httpgf2.tmp
16.11.2007 10:22 0 httpgf1.tmp
16.11.2007 10:16 173 jusched.log
15.11.2007 23:15 1.433.684 clipboardcache-2
15.11.2007 23:14 1.458.962 clipboardcache-1
15.11.2007 23:10 1.225.256 clipboardcache
15.11.2007 19:20 626.688 msvcr80.dll
15.11.2007 19:20 548.864 msvcp80.dll
15.11.2007 19:20 7.168 erootdrv.sys
15.11.2007 19:20 241.664 MYDB.DLL
08.11.2007 16:57 42.298 daily.avc
08.11.2007 16:57 606 daily-ex.avc
08.11.2007 16:57 28.994 avp.klb
08.11.2007 16:57 26.141 dailyc.avc
08.11.2007 16:53 51.960 Czech.Age
08.11.2007 16:53 51.545 Tamil.age
08.11.2007 16:53 91.771 Chinese.Age
08.11.2007 16:53 110.675 Icelandic.Age
08.11.2007 16:53 115.585 Polish.Age
08.11.2007 16:53 112.443 Finnish.Age
08.11.2007 16:53 116.740 French.Age
08.11.2007 16:53 115.630 Spanish.Age
08.11.2007 16:53 116.354 Spanishl.Age
08.11.2007 16:53 111.385 Romanian.Age
08.11.2007 16:52 123.926 Portuguese.Age
08.11.2007 16:52 122.996 Italian.Age
08.11.2007 16:52 125.772 language.ini
08.11.2007 16:52 125.772 German.Age
08.11.2007 16:43 407.552 viewtcp.exe
08.11.2007 16:39 284.137 phupdn.txt
08.11.2007 16:24 18.427 global.daz
08.11.2007 16:24 81.334 phupdn.txz
08.11.2007 16:18 3.089 daily-ec.avc
08.11.2007 16:15 464.448 mexe.com
08.11.2007 16:15 464.448 MWAVSCAN.COM
08.11.2007 15:30 429.568 MWAVReg.EXE
08.11.2007 13:05 4.041 avp_x.set
08.11.2007 13:05 4.041 avp_ext.set
08.11.2007 13:05 4.041 avp.set
08.11.2007 13:05 35.692 fa.avc
08.11.2007 13:05 33.159 ext009.avc
08.11.2007 13:05 28.844 unp039.avc
08.11.2007 13:05 48.852 unp034.avc
08.11.2007 13:05 65.980 unp035.avc
08.11.2007 13:05 21.559 base158.avc
08.11.2007 13:05 49.024 base157.avc
08.11.2007 13:05 50.423 base150.avc
08.11.2007 13:05 51.031 base146.avc
08.11.2007 13:05 49.270 base050.avc
08.11.2007 13:05 49.161 base030.avc
08.11.2007 13:05 48.907 base004.avc
08.11.2007 13:05 37.599 ext005c.avc
08.11.2007 13:05 13.981 ext006c.avc
08.11.2007 13:05 52.127 base061c.avc
08.11.2007 13:05 24.305 base062c.avc
08.11.2007 13:05 19.068 fa001.avc
08.11.2007 13:05 51.062 base005c.avc
08.11.2007 12:55 5.270 Czech.dow
08.11.2007 12:55 11.723 Czech.con
08.11.2007 12:55 5.222 Tamil.dow
08.11.2007 12:55 11.466 Tamil.con
08.11.2007 12:55 9.290 Chinese.con
08.11.2007 12:55 12.413 Icelandic.con
08.11.2007 12:55 12.292 Finnish.con
08.11.2007 12:55 13.462 Polish.con
08.11.2007 12:55 13.500 French.con
08.11.2007 12:55 12.600 Spanish.con
08.11.2007 12:55 13.084 Spanishl.con
08.11.2007 12:55 12.261 Romanian.con
08.11.2007 12:55 13.272 Portuguese.con
08.11.2007 12:54 12.279 Italian.con
08.11.2007 12:54 15.679 config.lan
08.11.2007 12:54 15.679 German.con
07.11.2007 17:43 187.392 download.exe
07.11.2007 17:25 98.304 MWAVL.exe
07.11.2007 13:44 11.749 English.con
06.11.2007 22:25 60.416 reload.exe
06.11.2007 22:19 171.520 esupdate.exe
06.11.2007 21:24 39.936 unregx.exe
06.11.2007 21:21 1.974.272 msvl64.dll
06.11.2007 21:15 43.520 setpriv.exe
06.11.2007 21:10 155.648 msvlclnt.dll
06.11.2007 21:04 48.704 Getvlist.exe
03.11.2007 17:01 257.023 spydb.avs
03.11.2007 17:01 1.407.911 File2.sdb
03.11.2007 17:01 1.275.608 Cid.sdb
03.11.2007 17:01 730.041 Dir.sdb
03.11.2007 17:01 162.236 Spyware.sdb
03.11.2007 17:01 2.098.510 File1.sdb
03.11.2007 17:01 257.023 spydb.old
03.11.2007 16:55 50.131 base056.avc
02.11.2007 15:22 50.316 base155.avc
02.11.2007 12:30 49.936 unp027.avc
02.11.2007 12:30 50.099 base156.avc
02.11.2007 12:30 49.593 base060c.avc
02.11.2007 12:30 43.455 krnengn.avc
02.11.2007 12:30 153.274 krnmacro.avc
01.11.2007 12:35 55.610 base144.avc
31.10.2007 21:12 50.018 base088.avc
30.10.2007 14:18 120.392 krnunp.avc
29.10.2007 10:33 64.818 unp016.avc
29.10.2007 10:33 75.678 unp007.avc
27.10.2007 20:58 27.023 gen005.avc
27.10.2007 20:58 36.190 gen004.avc
27.10.2007 20:58 51.288 unp005.avc
27.10.2007 20:58 46.143 unp036.avc
27.10.2007 20:58 49.867 base072.avc
27.10.2007 20:58 50.908 base029.avc
26.10.2007 11:17 50.563 base154.avc
26.10.2007 11:17 47.980 base002.avc
26.10.2007 11:17 50.073 base059c.avc
26.10.2007 11:17 50.368 base058c.avc
26.10.2007 11:17 50.489 base057c.avc
26.10.2007 11:17 49.385 base056c.avc
26.10.2007 11:17 50.158 base055c.avc
26.10.2007 11:17 49.874 base054c.avc
25.10.2007 16:46 1.332 esupd.ini
25.10.2007 12:20 30.277 unp024.avc
25.10.2007 12:20 49.097 base021.avc
25.10.2007 12:20 52.452 unp011.avc
25.10.2007 12:20 48.461 base016.avc
25.10.2007 12:20 48.703 base006.avc
24.10.2007 18:35 49.795 base042.avc
24.10.2007 18:32 52.106 English.Age
24.10.2007 10:56 14.755 ext999.avc
24.10.2007 10:56 79.893 ca.avc
24.10.2007 10:56 34.163 unp012.avc
24.10.2007 10:56 49.492 base032.avc
24.10.2007 10:56 40.216 krn004.avc
23.10.2007 15:04 48.732 unp009.avc
23.10.2007 15:04 49.501 base026.avc
23.10.2007 15:04 48.850 base009.avc
22.10.2007 12:06 49.463 base031.avc
22.10.2007 09:57 47.750 base038.avc
22.10.2007 09:57 48.791 base013.avc
21.10.2007 14:34 63.800 unp023.avc
21.10.2007 14:34 54.423 unp008.avc
21.10.2007 14:34 53.920 unp003.avc
21.10.2007 14:34 46.579 unp001.avc
21.10.2007 14:34 50.102 base022.avc
21.10.2007 14:34 48.522 base017.avc
21.10.2007 14:34 48.880 base011.avc
20.10.2007 12:50 49.035 base033.avc
20.10.2007 12:50 49.258 base037.avc
20.10.2007 12:50 48.606 base010.avc
20.10.2007 12:50 32.195 krnexe.avc
20.10.2007 12:26 906 MicroWorld Toolkit Utility.txt
19.10.2007 16:43 42.229 unp032.avc
19.10.2007 16:43 61.949 unp019.avc
19.10.2007 16:43 47.853 base087.avc
19.10.2007 16:43 49.620 base001.avc
18.10.2007 17:40 35.946 unp025.avc
18.10.2007 17:40 38.251 unp020.avc
18.10.2007 17:40 54.238 unp015.avc
17.10.2007 10:40 49.993 base145.avc
16.10.2007 20:06 25.915 unp004.avc
15.10.2007 16:41 50.188 base039.avc
14.10.2007 18:54 42.247 unp022.avc
11.10.2007 10:28 13.584 kernel.avc
|
|
16.11.2007, 17:59
| #24 |
| | Hijack This, Weiterleitung auf andere Homepages und der tcpview log. Code:
ATTFilter bdmcon.exe:3252 UDP C999BKPH:phone *:*
bdmcon.exe:3252 UDP C999BKPH:1260 *:*
bdmcon.exe:3252 UDP C999BKPH:2214 *:*
bdmcon.exe:3252 UDP C999BKPH:1780 *:*
bdmcon.exe:3252 UDP C999BKPH:1195 *:*
bdmcon.exe:3252 UDP C999BKPH:1610 *:*
bdmcon.exe:3252 UDP C999BKPH:2719 *:*
bdmcon.exe:3252 UDP C999BKPH:1824 *:*
bdmcon.exe:3252 UDP C999BKPH:1134 *:*
bdmcon.exe:3252 UDP C999BKPH:1708 *:*
bdmcon.exe:3252 UDP C999BKPH:1650 *:*
bdmcon.exe:3252 UDP C999BKPH:1491 *:*
bdmcon.exe:3252 UDP C999BKPH:1968 *:*
bdmcon.exe:3252 UDP C999BKPH:1046 *:*
firefox.exe:5308 TCP c999bkph:2770 85.183.248.216:http ESTABLISHED
firefox.exe:5308 TCP c999bkph:2768 209.85.129.99:http ESTABLISHED
firefox.exe:5308 TCP C999BKPH:2762 localhost:2763 ESTABLISHED
firefox.exe:5308 TCP C999BKPH:2764 localhost:2765 ESTABLISHED
firefox.exe:5308 TCP C999BKPH:2763 localhost:2762 ESTABLISHED
firefox.exe:5308 TCP C999BKPH:2765 localhost:2764 ESTABLISHED
javaw.exe:3008 TCP C999BKPH:2753 localhost:1574 CLOSE_WAIT
javaw.exe:3008 TCP C999BKPH:2758 localhost:1574 CLOSE_WAIT
javaw.exe:3008 TCP C999BKPH:1036 localhost:1574 CLOSE_WAIT
lsass.exe:928 UDP C999BKPH:isakmp *:*
lsass.exe:928 UDP C999BKPH:4500 *:*
svchost.exe:1384 UDP C999BKPH:1025 *:*
svchost.exe:1384 UDP c999bkph:ntp *:*
svchost.exe:1384 UDP C999BKPH:1030 *:*
svchost.exe:1384 UDP C999BKPH:ntp *:*
svchost.exe:1384 UDP 192.168.0.1:bootps *:*
svchost.exe:1384 UDP C999BKPH:1029 *:*
svchost.exe:1384 UDP 169.254.198.66:ntp *:*
svchost.exe:1384 UDP 192.168.0.1:bootpc *:*
svchost.exe:1384 UDP 192.168.0.1:domain *:*
svchost.exe:1384 UDP 192.168.0.1:ntp *:*
svchost.exe:1504 UDP C999BKPH:1283 *:*
svchost.exe:1504 UDP C999BKPH:1874 *:*
svchost.exe:1504 UDP C999BKPH:1037 *:*
System:4 TCP 169.254.198.66:netbios-ssn C999BKPH:0 LISTENING
System:4 TCP C999BKPH:microsoft-ds C999BKPH:0 LISTENING
System:4 TCP 192.168.0.1:netbios-ssn C999BKPH:0 LISTENING
System:4 UDP 169.254.198.66:netbios-ns *:*
System:4 UDP 192.168.0.1:netbios-ns *:*
System:4 UDP 169.254.198.66:netbios-dgm *:*
System:4 UDP 192.168.0.1:netbios-dgm *:*
System:4 UDP C999BKPH:microsoft-ds *:*
vsmon.exe:624 TCP C999BKPH:1026 C999BKPH:0 LISTENING
|
|
16.11.2007, 21:35
| #25 | |||||
| | Hijack This, Weiterleitung auf andere Homepages Abend, ich bin jetzt an einem fremden Rechner und habe leider nicht konkrete Anleitungen per Hand. Versuchen wir es so . . . Den Eintrag mit HijackThis fixen: Zitat:
Zitat:
- Systemwiderherstellung deaktivieren - in den abgesicherten Modus wechseln - mit deinem Antivir-Tool lokale Festplatte überprüfen wenn nichts gefunden wird, lösche manuell: Zitat:
Zum Schluss den Ordner löschen und Papierkorb leeren Zitat:
Zitat:
mfg Cleriker |
|
16.11.2007, 22:30
| #26 |
| | Hijack This, Weiterleitung auf andere Homepages die angaben sagen mir garnicht!!! alles andere mache ich mal gleich. danke! Code:
ATTFilter Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US
|
|
17.11.2007, 21:44
| #27 |
| | Hijack This, Weiterleitung auf andere Homepages Hi, also folgendes habe ich jetzt gemacht. 1. einen Online scan von ewido durchgeführt --> dabei wurde Datei "A0031057.dll" erkannt und diesen gelöscht. 2. den Eintrag mit HijackThis gefixt: O2 - BHO: (no name) - {3D65677E-AC70-47E1-BF2D-5BAA77C6F852} - C:\WINDOWS\system32\jgmd400d.dll (file missing) 3. Diese Dateien mit dem Avenger gelöscht: Zitat: C:\WINDOWS\system32\swreg.exe C:\WINDOWS\system32\swsc.exe C:\WINDOWS\system32\swxcacls.exe C:\WINDOWS\system32\swsc.exe das hatte ich manuell bereits gelöscht C:\Documents and Settings\Administrator\My Documents\desktop.ini 4. Log von Avenger Code:
ATTFilter Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tbbcwbpf
*******************
Script file located at: \??\C:\WINDOWS\wqqjsxak.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\swreg.exe deleted successfully.
File C:\WINDOWS\system32\swsc.exe deleted successfully.
File C:\WINDOWS\system32\swxcacls.exe deleted successfully.
File C:\WINDOWS\system32\swsc.exe not found!
Deletion of file C:\WINDOWS\system32\swsc.exe failed!
Could not process line:
C:\WINDOWS\system32\swsc.exe
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
6. papierkorb geleert. 7. Wie erkennst du dass tcpview eine Verbindung zu . . .anzeigt??? wie werde ich die den jetzt wieder los? Zitat: Address: 1600 Amphitheatre Parkway 8. Online scan von Symantec sagt, dass Port 135 offen ist. wie könnte ich die den Schließen hast du einen Tipp (nutze Zone Alarm als Firewall) |
|
19.11.2007, 10:51
| #28 |
| | Hijack This, Weiterleitung auf andere Homepages zu 7: Ich wollte ebend nochmal deine Verbindungen durch gehen, habe aber die Verbindung nicht mehr gefunden. Ich muss mich irgendwie verkopiert haben, beim letzten Suchlauf. zu 8: Zone-Alarm hatte ich noch nie, kann ich dir demzufolge keine Tipps geben. Solltest du also mal Google bemühen. Aber eigentlich müssten die Ports alle geschlossen sein. Auf der Serviceseite deines Routers kannst du diese direkt unter den Interneteinstellungen aktivieren / deaktivieren. mfg Cleriker |
|
19.11.2007, 11:06
| #29 | |
| > MalwareDB  | Hijack This, Weiterleitung auf andere Homepages Halbe Informationen sind falsche Informationen Du warst wohl grad bei google zu besuch Zitat:
Zum Thema google und Port 135 schicke ich den regen mal in protecus Board zum lesen. |
|
19.11.2007, 12:58
| #30 |
| | Hijack This, Weiterleitung auf andere Homepages Hallo Cleriker, estmal vielen vielen Dank für deine Unterstützung, Nachdem ich jetzt einige Seiten im Forum durchgearbeitet habe und viel Zeit hier verbracht habe und zig Programme jetzt auf meinem Rechner habe, denke ich dass mein Rechner jetzt besser geschützt ist. Vielen Dank für deine Unterstützung. @Bata, danke für den Tipp, habe den Port mal geschlossen und bei google bin ich auch oft;-) wenn wunderst. danke nochmal dass es so ein Forum gibt und dass Ihr diesen am Leben haltet. Gruss |
|
| Themen zu Hijack This, Weiterleitung auf andere Homepages |
| administrator, adobe, antivir, antivirus, avg, avgnt, avgnt.exe, avira, bho, browseui preloader, checkpoint, ctfmon.exe, drivers, excel, explorer, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, lenovo, programm, rundll, s-1-5-18, seiten, software, symantec, system, trend micro, virus, virus gefunden, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
