mehrere Trojaner, HJT-Log +escan dabei

vice.versa · 16.11.2007, 20:15

Habe vor einer Woche Meldungen bei Nod solcher Art bekommen:

12.11.2007 21:13:19 ht tp ://client133.faster-hosting.com/ex/udl.exe a variant of Win32/TrojanProxy.Jaber trojan

14.11.2007 17:48:14 C:\DOKUME~1\A\LOKALE~1\Temp\rhg9fgn3.wmf a variant of Win32/Exploit.WMF trojan quarantined - deleted occurred on a file modified by the application: C:\Programme\Mozilla Firefox\firefox.exe. The file was moved to quarantine.

Ich dachte, der hätte die Einnistung verhindert, da ich noch ein Programm habe, welches die Änderungen bei Registry (glaub ich) überwacht, sodass jedes neue Programm gemeldet wird und um Erlaubnis zur Internetconnection bittet.

Anscheinend wurden die Einstellungen von NOd irgendwie manipuliert, weil danach Nod zwar in der Leiste zu sehen war, aber wenn man mit der Maus anfuhr, verschwand. Also bestand kein Schutz mehr, so konnten spätere gleiche Trojaner sich einnisten.

Firewall hab ich nicht. Spay doctor ist nutzlos.

Gern würd ich wissen, ob Systemneuaufsetzung die einzige Alternative ist, oder wir doch das alles bereinigen können.

Das mit gelben Kästchen: Code, bei Einfügen, hab ich nicht hingekriegt

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "win32.agent.bls Trojan" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dateien von Firefox\mirc621.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\TEMP\wzse0.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse1.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse2.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse3.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse4.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse5.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse6.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse7.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse8.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse9.tmp\disk_1\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\A\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\inetget2
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\toolbar888 !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Zone Alarm\zaSuiteSetup_60_667_000.exe nicht gescannt. Wahrscheinlich durch Passwort geschьtzt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 98918
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelцschten Dateien: 0
Anzahl Fehler: 272
Dauer des Scans bisher: 01:29:07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherьberprьfung: Aktiviert
Registry Ьberprьfung: Aktiviert
System-Ordner Ьberprьfung: Aktiviert
Ьberprьfung der Systembereiche: Deaktiviert
Ьberprьfung der Dienste: Aktiviert
Ьberprьfung der Festplatten: Deaktiviert
Ьberprьfung aller Festplatten :Aktiviert

Batchstart: 19:54:58,35
Batchende: 19:55:22,28

----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:38:09, on 16.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\DOKUME~1\A\LOKALE~1\Temp\mexe.com
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Paradiesbar\paradiesbar.exe
C:\Dateien von Firefox\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h ttp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 134.58.33.227:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voice Editing Launcher - C:\Neuer Ordner (3)\VEd1_IEMenu.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programme\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154803258812
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

vice.versa · 18.11.2007, 16:43

Bitte, zumindest eine Antwort, ob ich HIlfe bekomm oder nicht, sonst werd ich versuchen auf eigenen Faust irgendwie zu bereinigen.

vice.versa · 20.11.2007, 09:47

bitte durchsehen

Chris4You · 20.11.2007, 10:28

Hi,

sehr indifferent...

Du hast sehr wohl eine Firewall (Sygate), oder stammt das HJ-Log von einem anderen Rechner?

Das HJ-Log gibt nicht viel her, ist das hier Dein Internetprovider bzw. bist Du in einem Lan per Proxy angebunden (134.58.33.227:80)?

Die Escan-Meldung beziehen sich auf temp. Dateien, die alle mal löschen (CCleaner).

Danach ein Scan mit Dr. Web (poste das Log), sowie Datfind:
Dr. Web:
Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Datfind:
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
"
http://virus-protect.org/datfindbat.html

Chris

vice.versa · 20.11.2007, 13:02

Hallo Chris, DANKE, dass endlich jemand reagiert hat.

Temp gelöscht. Für eingende Daten hab ich keine Firewall, ist aber auch eher unnötig.

Dr. Web's scanner sieht jetzt aktuell anders aus, sodass ich da nach
Aktualität anders vorgehen musste.

Durch Ausführen habe ich lange Liste mit OK's bekommen und so eine Zusammenfassung

Prьfstatistiken
-----------------------------------------------------------------------------
Geprьfte Objekte: 135290
Infizierte Objekte gefunden: 4
Objekte mit Modifikation gefunden: 1
Verdдchtige Objekte gefunden: 1
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 1
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelцschte Objekte: 3
Umbenannte Objekte: 0
Verschobene Objekte: 2
Ignorierte Objekte: 0
Leistung:: 379 Kb/s
Dauer:: 01:27:29

Im Scanner selbst habe ich keine Möglichkeit gefunden, die Funde zu kopieren und hier zu posten.

Datfind:

20.11.2007 12:46 1.611.826 iklog.log
20.11.2007 09:06 12.820 wpa.dbl
15.11.2007 00:36 231 imon1.dat
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 16:21 396.212 perfh009.dat
28.10.2007 16:21 410.482 perfh007.dat
28.10.2007 16:21 60.952 perfc009.dat
28.10.2007 16:21 73.396 perfc007.dat
28.10.2007 16:21 953.084 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
06.09.2007 17:49 249.768 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 11:19 13.824 ieudinit.exe
17.08.2007 08:34 161.792 ieakui.dll

Hijackthis stammt von meinem Comp, habe aber nicht im safemode gemacht, weil ich die Umschaltung nicht schaffe. escan ist ebenso nicht im safemode, aber wie ich mich erinnere, habe ich nicht nur Tempdateien durchscannen lassen, sondern alles. Soll ich nochmal?

134.58.33.227:80 kenn ich nicht. Ich habe Kabelinternet und habe Router angeschlossen, obwohl nur ein PC. Zur besseren Sicherheit, dachte ich mir, vielleicht davon?

Chris4You · 20.11.2007, 13:25

Hi,

bei Datfind alle 6 Verzeichnisse mit Namen, aber nur jeweils die ersten drei Monate...

Welche Viren/Trojaner wurden gefunden, wo?

Kommst Du nicht mehr in den Safemode (F8 beim Booten)....
Das verhindern einige Beagle-Varianten (zu sehen sind die aber im Log nicht)...

Safemode wiederherstellen:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899
entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen
Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf.

Bitte neues HJ-Log...

Chris

vice.versa · 20.11.2007, 14:01

safemodewiederherstelung gemacht, wie gesagt, dann versucht safemode zu erreichen, ungeglückt, vielleicht mach etwas falsch, wobei man da ja nicht viel falsch machen kann?

hjt:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

vice.versa · 20.11.2007, 18:55

da hab ich danach doch alle links editiert... die konnte man nimmer anklicken

vice.versa · 20.11.2007, 19:05

safemodewiederherstelung gemacht, wie gesagt, dann versucht safemode zu erreichen, ungeglückt, vielleicht mach etwas falsch, wobei man da ja nicht viel falsch machen kann?

Logfile of HijackThis v1.99.1
Scan saved at 13:52:32, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dateien von Firefox\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht+p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 134.58.33.227:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voice Editing Launcher - C:\Neuer Ordner (3)\VEd1_IEMenu.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programme\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h+tp://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - h+tps://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - ht+p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht+p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154803258812
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - ht+p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h+tp://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Verzeichnis von C:\DOKUME~1\A\LOKALE~1\Temp

20.11.2007 13:51 16.384 ~DF96C5.tmp
20.11.2007 13:42 10.879.070 MWAV.LOG
20.11.2007 13:42 323.152 sfdb.dat
20.11.2007 13:42 1.263.996 MWAVC.LOG
20.11.2007 10:42 1.184 SPW_KTMP.HTML
20.11.2007 10:42 1.214 SPTW_KTMP.HTML
20.11.2007 09:22 705 copyright.html
19.11.2007 21:13 10.433 IH4249.tmp
19.11.2007 13:52 55.243.692 IH13A3.tmp
19.11.2007 12:22 16.384 Perflib_Perfdata_efc.dat
19.11.2007 12:01 16.632 medium.s03e06.dvdrip.rus.eng.novafilm.tv.avi.torrent
19.11.2007 11:16 512 ~DF6EE7.tmp
19.11.2007 11:16 512 ~DF6CFB.tmp
19.11.2007 10:54 512 ~DF5DE8.tmp
19.11.2007 10:54 16.384 ~DF5D97.tmp
19.11.2007 10:54 512 ~DF5643.tmp
19.11.2007 10:52 16.384 ~DF498.tmp
18.11.2007 22:09 0 tara.log
18.11.2007 21:28 1.374 IHACB7.tmp
17.11.2007 21:10 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}8828.html
17.11.2007 21:10 16.384 ~DFD8E8.tmp
17.11.2007 21:10 16.384 ~DFC977.tmp
17.11.2007 20:18 16.384 ~DF3106.tmp
16.11.2007 20:50 16.384 ~DF337A.tmp
16.11.2007 20:50 16.384 ~DF2533.tmp
16.11.2007 14:28 1.176 Download.log
16.11.2007 14:28 396 EUpdate.ini
16.11.2007 14:27 626.688 msvcr80.dll
16.11.2007 14:27 548.864 msvcp80.dll
16.11.2007 14:27 7.168 erootdrv.sys
16.11.2007 14:27 241.664 MYDB.DLL
16.11.2007 11:46 3.998 IH26CC.tmp
15.11.2007 23:16 498 IH4604.tmp
15.11.2007 21:24 16.384 ~DF2395.tmp
15.11.2007 21:23 16.384 ~DFEB3D.tmp
15.11.2007 19:31 427.590.484 NODD823.tmp
15.11.2007 18:45 1.527.808 NODD87.tmp
15.11.2007 17:45 4.380 IHD2D5.tmp
15.11.2007 17:41 33.580 IHD184.tmp
15.11.2007 17:41 5.138.832 QTPluginTemp1724679
15.11.2007 13:22 637 IH7ED3.tmp
15.11.2007 11:56 16.632 medium.s03e05.dvdrip.rus.eng.novafilm.tv.avi.torrent
15.11.2007 10:29 604 IH19AD.tmp
15.11.2007 00:35 33.329 IH110E.tmp
15.11.2007 00:25 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}9220.html
14.11.2007 22:50 8.462 IH380B.tmp
14.11.2007 21:50 114 DFC5A2B2.TMP
14.11.2007 18:44 15.515 IHF83C.tmp
14.11.2007 14:56 1.043 IH8229.tmp
14.11.2007 14:54 303 IH81DC.tmp
14.11.2007 10:19 64 IH1AD7.tmp
14.11.2007 10:19 40.296 IH1AD3.tmp
14.11.2007 09:35 16.384 ~DFD772.tmp
14.11.2007 09:35 16.384 ~DFCFD9.tmp
14.11.2007 09:31 16.384 ~DFDA02.tmp
14.11.2007 09:31 16.384 ~DFCE31.tmp
13.11.2007 22:46 9.717 IH789E.tmp
13.11.2007 22:46 65.536 IHA27F.tmp
13.11.2007 22:46 62.789.736 IHE9C6.tmp
13.11.2007 22:46 2.217.504 QTPluginTemp2183601
13.11.2007 21:51 5.492 IH9251.tmp
13.11.2007 19:33 26 IH44D4.tmp
13.11.2007 12:41 16.632 medium.s03e03.dvdrip.rus.eng.novafilm.tv.avi.torrent
12.11.2007 19:20 109.194 IH626F.tmp
12.11.2007 19:20 170.239 IH6217.tmp
12.11.2007 19:17 611 IH60F4.tmp
12.11.2007 18:49 98 IH5634.tmp
12.11.2007 18:36 498 IH5278.tmp
12.11.2007 15:02 29.087 avp.klb
12.11.2007 15:02 41.612 daily.avc
12.11.2007 15:02 7.356 dailyc.avc
12.11.2007 14:48 274 IHE8A1.tmp
12.11.2007 14:34 1.590 daily-ec.avc
12.11.2007 14:34 19.482 fa001.avc
12.11.2007 11:50 4.055 avp_ext.set
12.11.2007 11:50 4.055 avp.set
12.11.2007 11:50 4.055 avp_x.set
12.11.2007 11:50 34.057 ext009.avc
12.11.2007 11:50 35.779 fa.avc
12.11.2007 11:50 504 daily-ex.avc
12.11.2007 11:50 504 daily-ex.avx
12.11.2007 11:50 48.293 unp037.avc
12.11.2007 11:50 46.278 unp036.avc
12.11.2007 11:50 29.565 unp039.avc
12.11.2007 11:50 43.160 base158.avc
12.11.2007 11:50 42.517 unp032.avc
12.11.2007 11:50 20.038 ext006c.avc
12.11.2007 11:50 50.107 base037c.avc
12.11.2007 11:50 37.221 base063c.avc
12.11.2007 11:50 40.955 base062c.avc
12.11.2007 11:50 48.011 base038c.avc
12.11.2007 11:50 50.768 base034c.avc
12.11.2007 11:50 50.166 base036c.avc
12.11.2007 11:46 301.485 phupdn.txt
12.11.2007 11:30 18.427 global.daz
12.11.2007 11:30 85.724 phupdn.txz
12.11.2007 11:03 16.384 ~DF97AB.tmp
12.11.2007 11:03 16.384 ~DF7454.tmp
12.11.2007 10:59 350 IH5906.tmp
12.11.2007 10:52 14.962 IH4D3D.tmp
11.11.2007 19:46 8.024 IH7DDF.tmp
11.11.2007 17:52 16.384 ~DFB88C.tmp
11.11.2007 17:52 16.384 ~DFAB24.tmp
11.11.2007 16:28 172.032 esupdate.exe
11.11.2007 16:25 39.936 unregx.exe
11.11.2007 16:05 60.416 reload.exe
11.11.2007 15:07 1.974.272 msvl64.dll
11.11.2007 15:00 44.032 setpriv.exe
11.11.2007 15:00 465.472 mexe.com
11.11.2007 15:00 465.472 MWAVSCAN.COM
11.11.2007 14:55 155.648 msvlclnt.dll
11.11.2007 14:47 48.704 Getvlist.exe
10.11.2007 19:33 16.384 ~DF1DAA.tmp
10.11.2007 19:33 16.384 ~DF74F0.tmp
09.11.2007 22:31 13.774 IH1E10.tmp
09.11.2007 14:34 715 IHAC5E.tmp
09.11.2007 12:16 4 IHA67F.tmp
09.11.2007 11:22 1.368 IH8E57.tmp
09.11.2007 11:03 1.119 IH7A06.tmp
08.11.2007 22:08 611 IH741C.tmp
08.11.2007 20:34 16.384 ~DFA11D.tmp
08.11.2007 20:34 16.384 ~DF9845.tmp
08.11.2007 19:27 16.384 ~DFA016.tmp
08.11.2007 19:27 16.384 ~DF9732.tmp
08.11.2007 16:53 51.960 Czech.Age
08.11.2007 16:53 51.545 Tamil.age
08.11.2007 16:53 91.771 Chinese.Age
08.11.2007 16:53 110.675 Icelandic.Age
08.11.2007 16:53 115.585 Polish.Age
08.11.2007 16:53 112.443 Finnish.Age
08.11.2007 16:53 116.740 French.Age
08.11.2007 16:53 115.630 Spanish.Age
08.11.2007 16:53 116.354 Spanishl.Age
08.11.2007 16:53 111.385 Romanian.Age
08.11.2007 16:52 123.926 Portuguese.Age
08.11.2007 16:52 122.996 Italian.Age
08.11.2007 16:52 125.772 German.Age
08.11.2007 16:52 125.772 language.ini
08.11.2007 16:43 407.552 viewtcp.exe
08.11.2007 15:30 429.568 MWAVReg.EXE
08.11.2007 13:05 65.980 unp035.avc
08.11.2007 13:05 48.852 unp034.avc
08.11.2007 13:05 49.024 base157.avc
08.11.2007 13:05 50.423 base150.avc
08.11.2007 13:05 49.270 base050.avc
08.11.2007 13:05 51.031 base146.avc
08.11.2007 13:05 48.907 base004.avc
08.11.2007 13:05 49.161 base030.avc
08.11.2007 13:05 37.599 ext005c.avc
08.11.2007 13:05 52.127 base061c.avc
08.11.2007 13:05 51.062 base005c.avc
08.11.2007 12:55 5.270 Czech.dow
08.11.2007 12:55 11.723 Czech.con
08.11.2007 12:55 5.222 Tamil.dow
08.11.2007 12:55 11.466 Tamil.con
08.11.2007 12:55 9.290 Chinese.con
08.11.2007 12:55 12.413 Icelandic.con
08.11.2007 12:55 12.292 Finnish.con
08.11.2007 12:55 13.462 Polish.con
08.11.2007 12:55 13.500 French.con
08.11.2007 12:55 12.600 Spanish.con
08.11.2007 12:55 13.084 Spanishl.con
08.11.2007 12:55 12.261 Romanian.con
08.11.2007 12:55 13.272 Portuguese.con
08.11.2007 12:54 12.279 Italian.con
08.11.2007 12:54 15.679 config.lan
08.11.2007 12:54 15.679 German.con
08.11.2007 09:59 12.735 IH442F.tmp
08.11.2007 09:03 10.395 plugtmp-75-2
08.11.2007 09:03 364 plugtmp-75-1
08.11.2007 01:07 9.732 IH6069.tmp
08.11.2007 01:07 9.732 IH5AD1.tmp
07.11.2007 17:43 187.392 download.exe
07.11.2007 17:38 1.186.147 IHC19C.tmp
07.11.2007 17:25 98.304 MWAVL.exe
07.11.2007 13:44 11.749 English.con
07.11.2007 11:13 12.451 IH23EC.tmp
07.11.2007 11:12 611 IH23EA.tmp
06.11.2007 09:47 14.969 IH44E2.tmp
05.11.2007 23:47 10 IHBC72.tmp
05.11.2007 20:24 16.384 ~DFC258.tmp
05.11.2007 20:24 16.384 ~DF9F53.tmp
05.11.2007 19:22 825 IH36F7.tmp
05.11.2007 19:00 2.096 IH2546.tmp
05.11.2007 12:31 1.813 IHC275.tmp
05.11.2007 09:05 1.734 IHFC1.tmp
05.11.2007 09:05 10.091 IHFC2.tmp
04.11.2007 18:38 498 IH21B1.tmp
03.11.2007 20:30 48 IHB844.tmp
03.11.2007 20:17 2.830 IHAAF0.tmp
03.11.2007 19:52 15.769 IH980E.tmp
03.11.2007 19:26 16.093 IH8622.tmp
03.11.2007 17:14 16.384 ~DF2131.tmp
03.11.2007 17:14 16.384 ~DFE28.tmp
03.11.2007 17:01 1.407.911 File2.sdb
03.11.2007 17:01 257.023 spydb.old
03.11.2007 17:01 1.275.608 Cid.sdb
03.11.2007 17:01 2.098.510 File1.sdb
03.11.2007 17:01 257.023 spydb.avs
03.11.2007 17:01 730.041 Dir.sdb
03.11.2007 17:01 162.236 Spyware.sdb
03.11.2007 16:55 50.131 base056.avc
03.11.2007 00:24 16.313 IH6816.tmp
02.11.2007 19:47 6.142.220 IH28D6.tmp
02.11.2007 15:32 9.732 IH4420.tmp
02.11.2007 15:22 50.316 base155.avc
02.11.2007 15:09 104.857.600 IHF5B4.tmp
02.11.2007 14:42 35.367 IHE276.tmp
02.11.2007 12:30 49.936 unp027.avc
02.11.2007 12:30 50.099 base156.avc
02.11.2007 12:30 49.593 base060c.avc
02.11.2007 12:30 153.274 krnmacro.avc
02.11.2007 12:30 43.455 krnengn.avc
02.11.2007 00:01 4.607 IHBF65.tmp
01.11.2007 23:55 4.607 IHBCD7.tmp
01.11.2007 21:14 288 IH631D.tmp
01.11.2007 18:19 7.421.400 IHAF2D.tmp
01.11.2007 18:04 16.384 ~DFA062.tmp
01.11.2007 18:04 16.384 ~DF884E.tmp
01.11.2007 14:14 19 IH55EC.tmp
01.11.2007 12:35 55.610 base144.avc
01.11.2007 12:27 1.623 IHF686.tmp

Verzeichnis von C:\WINDOWS

20.11.2007 13:51 0 0.log
20.11.2007 13:51 159 wiadebug.log
20.11.2007 13:51 50 wiaservc.log
20.11.2007 13:50 2.048 bootstat.dat
20.11.2007 13:49 1.137.313 WindowsUpdate.log
20.11.2007 13:09 26 Lic.xxx
19.11.2007 15:02 116 NeroDigital.ini
18.11.2007 00:09 1.494 win.ini
15.11.2007 11:22 54.156 QTFont.qfn
28.09.2007 12:14 186 usdthank.ini
28.09.2007 12:14 31 idc.ini
13.06.2007 14:21 1.036.288 explorer.exe

Verzeichnis von C:\WINDOWS\Temp

20.11.2007 13:51 409 WGANotify.settings
20.11.2007 13:50 255 WGAErrLog.txt
15.11.2007 20:31 117 DFC5A2B2.TMP
06.11.2007 22:08 71.261 NOD2B5A.tmp
05.11.2007 17:51 53.789 NODEF2F.tmp
05.11.2007 13:40 2.752 NODD212.tmp
01.11.2007 22:33 225 NSF9B31.tmp
03.10.2007 10:23 226 NSF3599.tmp
02.10.2007 15:14 217 NSF709C.tmp
01.10.2007 19:09 14.220 NODDA7F.tmp
01.10.2007 12:07 232 NSF6191.tmp
21.09.2007 21:28 14.220 NODEB66.tmp
13.09.2007 10:51 3.543 NOD4714.tmp
12.09.2007 17:21 223 NSF79AC.tmp

Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.07.2007 09:30 685.536 WMAcceptor.dll

Verzeichnis von C:\

20.11.2007 13:53 0 sys.txt
20.11.2007 13:53 1.180 down.txt
20.11.2007 13:53 3.463 tmp.txt
20.11.2007 13:53 5.027 system.txt
20.11.2007 13:53 73.411 systemtemp.txt
20.11.2007 13:52 99.577 system32.txt
20.11.2007 13:50 1.610.612.736 pagefile.sys
18.11.2007 00:48 35.328 filme.xls
18.11.2007 00:48 48.128 Ausgaben.xls
17.11.2007 20:38 231.743 hpfr3425.log
17.11.2007 20:38 521 hpfr3420.xml
16.11.2007 15:58 0 23990098.$$$
27.10.2007 23:15 17.920 Kosten23.xls

Ergebnis dr. web

User_DPO.tdo;C:\Programme\E-Capital\TDL2\Object;Modifikation von Trojan.DelSys.191;Verschoben.;
BLRQL2BA.NQF;C:\Programme\ESET\infected;Trojan.Spambot.2504;Gelцscht.;
GNAVSRAA.NQF;C:\Programme\ESET\infected;Trojan.Fakealert;Gelцscht.;
XAITSXBA.NQF;C:\Programme\ESET\infected;Trojan.Spambot.2504;Gelцscht.;
mirc.chm\ctcp_events.htm;C:\Programme\mIRC\mirc.chm;IRC.Generic.32;;
mirc.chm;C:\Programme\mIRC;Archiv enthдlt infizierte Objekte;Verschoben.;
mirc.exe;C:\Programme\mIRC;Program.mIRC.621;;

Habe Escan halbe Stunde laufen lassen und trotz dr. web noch 19 Viren und Trojaner gefunden.

vice.versa · 23.11.2007, 09:18

nicht im safemode

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "win32.agent.bls Trojan" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\Facher.bmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Prariewind.bmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\ESET\infected\EKNL2CAA.NQF//PE-Crypt.XorPE//stream//data0004 infiziert von "Trojan-Downloader.Win32.Zlob.egn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Facher.bmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Prariewind.bmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dateien von Firefox\mirc621.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\A\.housecall\Quarantine\MyToolBar.dll.bac_a03936//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Mostofate.q". Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\TEMP\wzse0.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse1.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse2.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse3.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse4.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse5.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse6.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse7.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse8.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse9.tmp\disk_1\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\A\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\inetget2
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\toolbar888 !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Zone Alarm\zaSuiteSetup_60_667_000.exe nicht gescannt. Wahrscheinlich durch Passwort geschьtzt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 87446
Gefundene Viren: 31
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelцschten Dateien: 0
Anzahl Fehler: 275
Dauer des Scans bisher: 02:30:14
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherьberprьfung: Aktiviert
Registry Ьberprьfung: Aktiviert
System-Ordner Ьberprьfung: Aktiviert
Ьberprьfung der Systembereiche: Deaktiviert
Ьberprьfung der Dienste: Aktiviert
Ьberprьfung der Festplatten: Aktiviert
Ьberprьfung aller Festplatten

eaktiviert

Batchstart: 20:25:11,10
Batchende: 20:26:19,10

Chris4You · 23.11.2007, 14:09

Hi,

toolbar888 entfernen:
http://www.virus-protect.org/artikel/spyware/toolbar888_remove.html

Bitte prüfe die von Escan angegebenen Dateien online (wegen ev. Fehlalarm!):
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
C:\WINDOWS\Facher.bmp
C:\WINDOWS\Prariewind.bmp infiziert
C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini
C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini
C:\Dokumente und Einstellungen\A\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk

Falls beim Onlinescann erkannt, löschen...

Lösche weiterhin das Windows-Temp-Verzeichnis!
(C:\WINDOWS\TEMP)

Leer danach den Papierkorb!

Chris

vice.versa · 26.11.2007, 00:06

Hallo Chris,

Zitat:

toolbar888 entfernen:
[h++p:// ww.virus-protect.org/artikel/spyware/toolbar888_remove.html]ToolBar888 - remove[/url]

hier verstehe ich nicht ganz, soll ich diesen Textvorschlag bei Avenger einfügen, wie vorgeschlagen? weil mein HJT das mit toolbar888 doch irgendwie nicht das gleiche anzeigt. Soll ich genau nach der Instruktion vorgehen ja?

C:\WINDOWS\Facher.bmp nichts
C:\WINDOWS\Prariewind.bmp infiziert nichts
C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini keine Suche, da Anzeige von 0
C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini keine Suche, da Anzeige von 0
C:\Dokumente und Einstellungen\A\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk nichts

Kann ich den Ordner C:\WINDOWS\TEMP so ohne weiteres vollkommen leeren? Also alles ohne Auswahl löschen??

Hat datfind irgendwas ergeben? Ich verstehe nicht, warum ich soviel (trotz Fehlalarme) Malware angezeigt bekomm. Hab im net nach diesen Trojanern gesucht, auch gefunden, aber ich kann sie selbst nicht löschen, weil ich wenig davon verstehe.

Nun laut diesem Stand, ist eine Systemneuaufsetzung eher nicht notwendig?

Chris4You · 26.11.2007, 07:35

Hi,

der Ordner Windows-Temp kann gelöscht werden (normalerweise),
das tun auch einige Optimierungsprogramme...

Escan fabriziert Fehlalarme, der Datfindreport ist eher unauffällig...

Da Du immer noch nicht in den abgesicherten Modus kommst,
würde ich doch neu aufsetzten...

Wir probieren jetzt noch combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

mehrere Trojaner, HJT-Log +escan dabei

Log-Analyse und Auswertung: mehrere Trojaner, HJT-Log +escan dabei