Viren/Trojaner - Hijack log

Om3Ga · 25.11.2007, 12:35

Hi, ich habe ein Problem. AVG zeigt Viren und Trojaner die er nicht komplett heilen kann. Bei jedem Start treten die Trojaner/Viren erneut auf.

In Quarantäne, trotzdem sind mache aktiv:
JS/Downloader.Agent
JS/Psyme.NR
Trojanisches Pferd Downloader.Generic6.VFQ spoolsv.exe
Trojanisches Pferd Downloader.Generic6.VFQ spoolsv[1].exe
Trojanisches Pferd Downloader.Generic6.VFQ spoolsv[2].exe
Trojanisches Pferd Downloader.Generic6.UVF smss.exe
Trojanisches Pferd Downloader.Generic6.UVF smss[1].exe
Trojanisches Pferd Downloader.Zlob.NP win42.exe
Trojanisches Pferd Downloader.Generic6.VIT win47.exe

Manche davon kommen mehrfach (2 bis 3 mal), mit dem selben Dateinamen vor.
Diese Trojaner kann ich mit AVG heilen aber nach einer bestimmten Zeit tauchen sie wieder auf, deshalb wahrscheinlich "Generic", sprich "Generieren".

Merkwürdige Vorfälle:
1.) Es erscheint manchmal ein Fenster mit; "Es konnte keine Verbindung zum Internet hergestellt werden". Aber trotzdem besteht eine Verbindung mit der ich schnell und normal surfen kann.

2.) Wenn ich Counter-Strike spiele, wird das Fenster von alleine geschlossen.

3.) Ich habe Google als Startseite, wenn ich egal welchen Suchbegriff eingebe kommt zuerst folgende Seite die nicht angezeigt wird; ww*.myshovel.com, danach kommt ein Text im Browser; "Jump - Microsoft Internet Explorer", dann werde ich mit h**p: encyclopedia.thefreedictionary.com verbunden. Das dauert ca. 1 sekunde. Ich habe auch andere Suchmaschienen getestet, sie fuktionieren absolut genau so.
Ich habe Freunde gefragt, bei denen laufen die Suchmaschienen normal wie immer.

4.) Die Schrift meines IE Browsers blinkt manchmal 1-mal ganz schnell von Weiß zu Grau und wieder zurück, ohne das ich etwas mache.

All diese Vorfälle sind vorher nicht aufgetreten.

Hijack log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15:11, on 25.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\TEMP\win58.exe
C:\WINDOWS\mgrs.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O1 - Hosts: 85.14.220.124 l2authd.lineage2.com
O1 - Hosts: 85.14.220.124 l2testauthd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\E404 Helper\e404.v6.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win58.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - h**p://w*w.powerchallenge.com/applet/PowerLoader.cab
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - h**p://w*w.flatcast.com/de/download/NpFp415.dll
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://w*w.shockwave.com/content/zuma/sis/popcaploader_v10.cab
O20 - Winlogon Notify: winuns32 - C:\WINDOWS\SYSTEM32\winuns32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 7140 bytes

Ich bedanke mich bei euch schon im voraus und hoffe ihr antwortet mir.

**Sunny** · 25.11.2007, 12:44

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\TEMP\win58.exe
C:\WINDOWS\mgrs.exe
C:\Programme\E404 Helper\e404.v6.dll
C:\WINDOWS\SYSTEM32\winuns32.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Om3Ga · 25.11.2007, 13:28

win58.exe
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 TR/Dldr.Alphabet.LH1
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 Win32:Alphabet-L
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 Generic.Drop.Alpha.3548C3B8
CAT-QuickHeal 9.00 2007.11.24 Win32.Trojan-Downloader.Alphabet.gen
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.11.21 Suspicious File
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.24 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 W32/Trojan.orly!GSA
F-Secure 6.70.13030.0 2007.11.24 Trojan-Downloader.Win32.Alphabet.gen
Ikarus T3.1.1.12 2007.11.25 AdWare.BHO.Ihbo
Kaspersky 7.0.0.125 2007.11.25 Trojan-Downloader.Win32.Alphabet.gen
McAfee 5170 2007.11.23 Downloader-BFN
Microsoft 1.3007 2007.11.25 TrojanDownloader:Win32/Nonaco.A
NOD32v2 2684 2007.11.25 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.11.23 DLoader.gen18
Panda 9.0.0.4 2007.11.25 Trj/Alphabet.gen
Prevx1 V2 2007.11.25 Malware.Gen
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
Symantec 10 2007.11.25 Trojan.Dropper
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.24 Trojan.DR.Alphabet.Gen!Pac
Webwasher-Gateway 6.0.1 2007.11.25 Trojan.Dldr.Alphabet.LH1

weitere Informationen
File size: 20992 bytes
MD5: feb0a38d050ad4562630af3b58c8f989
SHA1: 1041baa610df9f11f0e8d9a61a76f70f3cd7de30
packers: PECompact, PECompact
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=FBBA82110018BD7052AE008CC9646B002FAF8222
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

mgrs.exe
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 TR/Downloader.Gen
Authentium 4.93.8 2007.11.24 W32/Downldr2.AJVY
Avast 4.7.1074.0 2007.11.23 Win32:Alphabet-L
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 Generic.Dld.Alpha.17757287
CAT-QuickHeal 9.00 2007.11.24 Win32.Trojan-Downloader.Alphabet.gen
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.11.21 Suspicious File
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 W32/Downldr2.AJVY
F-Secure 6.70.13030.0 2007.11.24 Trojan-Downloader.Win32.Alphabet.gen
Ikarus T3.1.1.12 2007.11.25 -
Kaspersky 7.0.0.125 2007.11.25 Trojan-Downloader.Win32.Alphabet.gen
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.25 TrojanDownloader:Win32/Small.gen!F
NOD32v2 2684 2007.11.25 probably a variant of Win32/TrojanClicker.Agent.NBS
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 Suspicious file
Prevx1 V2 2007.11.25 W32.Malware.gen
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
Symantec 10 2007.11.25 Downloader
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.24 -
Webwasher-Gateway 6.0.1 2007.11.25 Trojan.Downloader.Gen

weitere Informationen
File size: 11776 bytes
MD5: 7dc6580ce9bd365b8de2d1cae4233167
SHA1: d97c3a98291de820544631fff83f27adefd10f73
packers: PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=11ACB82600185DC22E10000AA2810000ED4E21C7
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

e404.v6.dll
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.24.0 2007.11.23 Win-Trojan/Bho.18432
AntiVir 7.6.0.34 2007.11.23 HEUR/Malware
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 -
eSafe 7.0.15.0 2007.11.21 Suspicious File
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 -
F-Secure 6.70.13030.0 2007.11.24 -
Ikarus T3.1.1.12 2007.11.25 -
Kaspersky 7.0.0.125 2007.11.25 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.25 -
NOD32v2 2684 2007.11.25 -
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 Suspicious file
Prevx1 V2 2007.11.25 E404Bho:Adware-a
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
Symantec 10 2007.11.25 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.24 -
Webwasher-Gateway 6.0.1 2007.11.25 Heuristic.Malware

weitere Informationen
File size: 18432 bytes
MD5: 9a396dd055073ef61642244967ed7b24
SHA1: 09a52fcb07b5610ee7a5c6ed830e6394b315cc1e
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=5ACCB452007161D248AD0074FDFCEF00FF96FE10
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

winuns32.dll
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 Win32

ialer-FR
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 MemScan:Trojan.Mezzia.XC
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 Trojan.Mezzia.77
eSafe 7.0.15.0 2007.11.21 Suspicious File
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 W32/Dialer.E.gen!Eldorado
F-Secure 6.70.13030.0 2007.11.24 Trojan.Win32.Dialer.qn
Ikarus T3.1.1.12 2007.11.25 Trojan.Win32.Agent.qt
Kaspersky 7.0.0.125 2007.11.25 Trojan.Win32.Dialer.qn
McAfee 5170 2007.11.23 BackDoor-CVT
Microsoft 1.3007 2007.11.25 Trojan:Win32/Adialer.OP
NOD32v2 2684 2007.11.25 -
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 -
Prevx1 V2 2007.11.25 Winlogon-Notify/Win*:Trojan-a
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
Symantec 10 2007.11.25 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.24 Dialer.DialXS.Gen!Pac.2
Webwasher-Gateway 6.0.1 2007.11.25 Trojan.Crypt.PEC2X.Gen

weitere Informationen
File size: 20992 bytes
MD5: 286737333926ad9edd1ee059c9a33bef
SHA1: 729a435c66e77afbb2b0852434725b2180469ac8
packers: PecBundle
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=03BEA6C30035181652C600A35F941100749F6F15
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
___

Die Auswertungen da oben sind ein wenig durcheinander, ich hoffe du kennst dich aus. Jetzt bin ich dabei die FILELIST-Sache zu erledigen.

Om3Ga · 25.11.2007, 13:47

Verzeichnis von C:\
25.11.2007 11:53 1.610.612.736 pagefile.sys
24.11.2007 13:26 1.192 rapport.txt
07.10.2007 18:39 268 sqmdata18.sqm
07.10.2007 18:39 244 sqmnoopt18.sqm
07.09.2007 12:56 268 sqmdata17.sqm
07.09.2007 12:56 244 sqmnoopt17.sqm
23.08.2007 12:04 268 sqmdata16.sqm

Verzeichnis von C:\WINDOWS\system32
25.11.2007 11:53 81.191 nvapps.xml
25.11.2007 11:53 167.325 OODBS.lor
24.11.2007 13:26 0 tmp.txt
24.11.2007 13:26 1.246 tmp.reg
21.11.2007 17:56 2.206 wpa.dbl
20.11.2007 14:52 20.992 winuns32.dll
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
28.10.2007 12:55 59.440 perfc009.dat
28.10.2007 12:55 395.200 perfh009.dat
28.10.2007 12:55 408.022 perfh007.dat
28.10.2007 12:55 71.424 perfc007.dat
28.10.2007 12:55 946.052 PerfStringBackup.INI
25.10.2007 17:55 8.495.616 shell32.dll
03.10.2007 23:36 25.600 WS2Fix.exe

Verzeichnis von C:\WINDOWS
25.11.2007 11:56 1.660.262 WindowsUpdate.log
25.11.2007 11:53 0 0.log
25.11.2007 11:53 159 wiadebug.log
25.11.2007 11:53 50 wiaservc.log
25.11.2007 11:53 2.048 bootstat.dat
24.11.2007 22:12 32.554 SchedLgU.Txt
24.11.2007 18:41 54.156 QTFont.qfn
24.11.2007 13:27 201.234 setupact.log
24.11.2007 13:27 11.776 mgrs.exe
22.11.2007 20:35 18.196 wmsetup.log
20.11.2007 15:46 10 popcinfo.dat
19.11.2007 19:48 402.037 setupapi.log
15.11.2007 15:53 34.063 MedCtrOC.log
15.11.2007 15:53 27.235 ehOCGen.log
15.11.2007 15:53 559.341 iis6.log
15.11.2007 15:53 171.987 comsetup.log
15.11.2007 15:53 102.479 ntdtcsetup.log
15.11.2007 15:53 24.888 tabletoc.log
15.11.2007 15:53 26.833 ocmsn.log
15.11.2007 15:53 224.648 tsoc.log
15.11.2007 15:53 1.393 imsins.log
15.11.2007 15:53 7.879 KB943460.log
15.11.2007 15:53 236.089 ocgen.log
15.11.2007 15:53 84.785 netfxocm.log
15.11.2007 15:53 58.298 plusoc.log
15.11.2007 15:53 23.808 msgsocm.log
15.11.2007 15:53 481.448 FaxSetup.log
15.11.2007 15:53 154.720 msmqinst.log
15.11.2007 15:53 39.295 updspapi.log
12.11.2007 21:19 141.426 DirectX.log
02.11.2007 18:54 1.409 QTFont.for
01.11.2007 21:05 69 NeroDigital.ini
11.10.2007 14:35 1.393 imsins.BAK
11.10.2007 14:35 13.825 KB933729.log
11.10.2007 14:35 20.401 KB939653.log
11.10.2007 14:34 10.278 KB941202.log
24.09.2007 16:30 32 hash.dat

Verzeichnis von C:\WINDOWS\Prefetch
25.11.2007 13:21 11.972 FIND.EXE-0EC32F1E.pf
25.11.2007 13:21 24.022 CMD.EXE-087B4001.pf
25.11.2007 13:20 140.802 WINRAR.EXE-3588DFE8.pf
25.11.2007 13:19 20.544 VERCLSID.EXE-3667BD89.pf
25.11.2007 13:18 108.930 MSIEXEC.EXE-2F8A8CAE.pf
25.11.2007 13:17 112.852 IEXPLORE.EXE-2CA9778D.pf
25.11.2007 12:45 86.072 WORDPAD.EXE-1EFCC5C1.pf
25.11.2007 12:23 23.512 TASKMGR.EXE-20256C55.pf
25.11.2007 12:15 26.888 NOTEPAD.EXE-336351A9.pf
25.11.2007 12:15 28.842 WMIPRVSE.EXE-28F301A9.pf
25.11.2007 12:13 100.996 MSNMSGR.EXE-091111D0.pf
25.11.2007 12:09 79.520 ICQLITE.EXE-2AEFACA7.pf
25.11.2007 11:58 58.640 AVGWB.DAT-36158C07.pf
25.11.2007 11:58 31.120 AVGDIAG.EXE-0011027C.pf
25.11.2007 11:58 43.966 AVGW.EXE-2A7BF89D.pf
25.11.2007 11:56 9.640 QTTASK.EXE-2D7EEF34.pf
25.11.2007 11:54 26.334 WUAUCLT.EXE-399A8E72.pf
25.11.2007 11:54 78.832 USNSVC.EXE-1D8C2356.pf
25.11.2007 11:54 7.798 E404.EXE-1485ACB6.pf
25.11.2007 11:54 23.822 REGSVR32.EXE-25EEFE2F.pf
25.11.2007 11:54 1.416.380 NTOSBOOT-B00DFAAD.pf
24.11.2007 22:12 51.460 LOGONUI.EXE-0AF22957.pf
24.11.2007 18:59 78.328 ADOBELM_CLEANUP.0001-103E7766.pf
24.11.2007 18:59 56.622 ADOBELMSVC.EXE-0665217B.pf
24.11.2007 18:58 94.984 ACROBAT.EXE-02E9AE67.pf
24.11.2007 18:53 19.130 RUNDLL32.EXE-2A94BB85.pf
24.11.2007 18:53 19.358 RUNDLL32.EXE-2E5AF1D7.pf
24.11.2007 18:41 34.910 HL.EXE-383B10EC.pf
24.11.2007 18:41 56.368 STEAM.EXE-016940F0.pf
24.11.2007 18:08 13.352 ~E5.0001-37C48A99.pf
24.11.2007 18:08 27.340 FIFA07.EXE-00DE1532.pf
24.11.2007 18:04 118.964 RUNDLL32.EXE-13404D23.pf
24.11.2007 18:02 85.794 RUNDLL32.EXE-12E27DD0.pf
24.11.2007 17:24 47.916 AVGVV.EXE-1A9C3AE3.pf
24.11.2007 16:17 28.772 AU_.EXE-1563F1CE.pf
24.11.2007 16:11 47.642 SHREDDER.EXE-0734325F.pf
24.11.2007 15:27 13.918 JAVAWS.EXE-045B1E1C.pf
24.11.2007 15:27 128.954 JAVAW.EXE-09F697A7.pf
24.11.2007 15:27 7.054 JAVACPL.EXE-03381ADF.pf
24.11.2007 15:27 16.504 RUNDLL32.EXE-3A2C1764.pf
24.11.2007 15:26 17.970 WIN58.EXE-33D73F36.pf
24.11.2007 15:26 79.198 DISKCLEANER.EXE-13791B83.pf
24.11.2007 15:01 4.120 EVEREST.EXE-2EC0E89A.pf
24.11.2007 15:01 19.588 XP-ANTISPY.EXE-0E86DA55.pf
24.11.2007 14:58 23.028 AD-AWARE.EXE-096AB0F2.pf
24.11.2007 14:58 19.684 ADA.EXE-013B23EB.pf
24.11.2007 14:58 17.636 SETUP.EXE-393E66AE.pf
24.11.2007 14:48 62.986 WIN54.EXE-2A8C8DD8.pf
24.11.2007 14:48 46.704 WIN3F.EXE-3A6EB5C1.pf
24.11.2007 14:47 93.800 SPYBOTSD.EXE-1D495A65.pf
24.11.2007 14:43 49.592 UNDELETE.EXE-0F69FBAD.pf
24.11.2007 14:42 67.560 PROCESSMANAGER.EXE-14B840D0.pf
24.11.2007 14:41 58.016 REGISTRYEDITOR.EXE-25171DBE.pf
24.11.2007 14:41 64.860 UNINSTALLMANAGER.EXE-0D5D3E35.pf
24.11.2007 14:40 71.492 SYSTEMINFORMATION.EXE-1402A881.pf
24.11.2007 14:39 72.590 STARTUPMANAGER.EXE-0BAE6F24.pf
24.11.2007 14:39 59.148 SYSTEMCONTROL.EXE-2BC8BE9C.pf
24.11.2007 14:33 11.304 REGISTRYDEFRAGHELPER.EXE-2F061318.pf
24.11.2007 14:33 43.396 REGISTRYDEFRAG.EXE-2C012850.pf
24.11.2007 14:33 78.216 SYSTEMOPTIMIZER.EXE-1D77726A.pf
24.11.2007 14:32 46.814 MEMOPTIMIZER.EXE-1FCEF9F0.pf
24.11.2007 14:31 102.112 REGISTRYCLEANER.EXE-2770D8C2.pf
24.11.2007 14:29 45.508 INTEGRATOR.EXE-1651EDA3.pf
24.11.2007 14:29 39.188 ONECLICKMAINTENANCE.EXE-18290CFA.pf
24.11.2007 14:28 31.176 5162640.EXE-023303AB.pf
24.11.2007 14:27 15.696 UNINSTALL.EXE-082CB62D.pf
24.11.2007 14:25 26.080 A~NSISU_.EXE-15E93D38.pf
24.11.2007 14:25 14.982 UNINSTALL.EXE-00F623B5.pf
24.11.2007 14:13 54.358 AVGWA.DAT-18E951AB.pf
24.11.2007 14:13 48.444 AVGW.EXE-151CD72B.pf
24.11.2007 13:51 62.588 GAMEOVERLAYUI.EXE-06F6FEEF.pf
24.11.2007 13:51 26.712 HL.EXE-18EC5060.pf
24.11.2007 13:42 127.544 JAVAW.EXE-344319B2.pf
24.11.2007 13:37 7.174 DUMPHIVE.EXE-12334DBA.pf
24.11.2007 13:27 91.442 CLEANMGR.EXE-1F86EA8E.pf
24.11.2007 13:26 13.770 SWREG.EXE-248060B5.pf
24.11.2007 13:26 12.864 REGEDIT.EXE-1B606482.pf
24.11.2007 13:26 17.260 ATTRIB.EXE-39EAFB02.pf
24.11.2007 13:26 15.340 CSCRIPT.EXE-1C26180C.pf
24.11.2007 13:26 12.820 SWREG.EXE-3688D00C.pf
24.11.2007 13:26 10.116 GENERICRENOSFIX.EXE-305889F1.pf
24.11.2007 13:26 5.736 WS2FIX.EXE-011DC902.pf
24.11.2007 13:26 4.978 HOSTSCHK.EXE-3871AA2C.pf
24.11.2007 13:26 5.758 PROCESS.EXE-30FD480C.pf
24.11.2007 13:26 13.432 SWSC.EXE-37776C35.pf
24.11.2007 13:26 5.232 SRCHSTS.EXE-06CF61B0.pf
24.11.2007 13:26 13.100 CHKNTFS.EXE-31921D64.pf
24.11.2007 13:26 40.504 SMITFRAUDFIX.EXE-375CFCA8.pf
24.11.2007 13:22 54.516 MMC.EXE-0A5AF4A1.pf
24.11.2007 13:21 46.264 RUNDLL32.EXE-3910966A.pf
24.11.2007 12:25 28.600 WINHLP32.EXE-2C18E975.pf
23.11.2007 22:23 55.476 RESCUECENTER.EXE-109B1147.pf
23.11.2007 22:23 51.692 UPDATEWIZARD.EXE-2C390C7F.pf
23.11.2007 22:14 60.780 WINSTYLER.EXE-0B3EA4BA.pf
23.11.2007 21:09 65.484 SKYPE.EXE-21F19BC8.pf
23.11.2007 17:59 93.756 JAVA.EXE-1CE740D1.pf
23.11.2007 17:08 27.134 BANG-MINICLIP_B-INSTALL.EXE-0AF00ECE.pf
23.11.2007 17:06 51.056 IEDW.EXE-2D047874.pf
23.11.2007 17:01 9.336 14622015.EXE-174F1766.pf
23.11.2007 16:30 29.312 IPCONFIG.EXE-2395F30B.pf
23.11.2007 12:59 72.698 WGATRAY.EXE-0ED38BED.pf
23.11.2007 12:59 54.904 ALG.EXE-0F138680.pf
23.11.2007 12:59 26.614 RUNDLL32.EXE-35A483DA.pf
22.11.2007 20:35 35.118 SETUP_WM.EXE-19AC5A9B.pf
22.11.2007 19:47 93.510 WMPLAYER.EXE-09969338.pf
21.11.2007 18:43 90.070 NO$GBA.EXE-0BD1F552.pf
20.11.2007 17:48 20.978 SNDVOL32.EXE-383480B7.pf
20.11.2007 15:47 46.910 POPUNINSTALL.EXE-0E41E233.pf
20.11.2007 15:27 94.424 ZUMA.EXE-1F753743.pf
20.11.2007 15:02 70.474 ZUMASETUP.EXE-363E0F9A.pf
20.11.2007 15:01 20.756 GLB1A2B.EXE-1C0B4E74.pf
20.11.2007 15:01 42.926 UNWISE.EXE-0F3656A1.pf
20.11.2007 14:54 109.750 ZUMA DELUXE.EXE-11772135.pf
20.11.2007 14:52 42.828 CRACK.EXE-3182FD67.pf
20.11.2007 14:52 30.300 WIN70.EXE-15F732DE.pf
19.11.2007 21:23 19.734 TRAINER.EXE-01F48DC4.pf
19.11.2007 21:21 19.230 ZUMA DELUXE BY KNETUS.EXE-06E2ABDB.pf
19.11.2007 20:59 67.210 ZUMA.EXE-12B309C5.pf
19.11.2007 19:57 15.904 YSET.EXE-2F019B8F.pf
19.11.2007 19:57 21.262 EXPLORER.EXE-082F38A9.pf
19.11.2007 19:56 18.338 GLB49.TMP-252B1A72.pf
19.11.2007 19:56 6.980 INSTALLZUMA.EXE-10C559BA.pf
19.11.2007 19:56 15.862 YDETECT.EXE-28F96B5B.pf
19.11.2007 18:34 9.588 POSTUPDATE.EXE-3368AA62.pf
19.11.2007 15:30 105.342 DFRGNTFS.EXE-269967DF.pf
19.11.2007 15:30 16.102 DEFRAG.EXE-273F131E.pf
19.11.2007 15:30 1.003.970 Layout.ini
19.11.2007 14:31 78.162 WMPLAYER.EXE-0996933C.pf
17.11.2007 13:37 80.512 AUTORUN.EXE-055703AF.pf
15.11.2007 21:17 76.504 WINMUGEN.EXE-374FB85C.pf

Verzeichnis von C:\WINDOWS\tasks
25.11.2007 11:53 6 SA.DAT
23.11.2007 17:17 408 1-Klick-Wartung.job
01.06.2006 20:06 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp
25.11.2007 11:59 409 WGANotify.settings
25.11.2007 11:55 687 win47.tmp
25.11.2007 11:53 255 WGAErrLog.txt
25.11.2007 11:53 0 win46.tmp
25.11.2007 11:53 0 win42.tmp
25.11.2007 11:53 0 win41.tmp
25.11.2007 11:53 0 win3F.tmp
24.11.2007 20:54 687 winE2.tmp
24.11.2007 18:54 687 winCD.tmp
24.11.2007 18:52 0 win5E.tmp
24.11.2007 18:52 0 win5D.tmp
24.11.2007 18:52 0 winCC.tmp
24.11.2007 18:52 0 win5C.tmp
24.11.2007 18:50 0 win5A.tmp
24.11.2007 18:50 0 win5B.tmp
24.11.2007 18:50 0 win57.tmp
24.11.2007 18:50 0 win58.tmp
24.11.2007 16:50 687 win3E.tmp
24.11.2007 14:48 20.992 win54.exe
24.11.2007 14:48 0 win55.tmp
24.11.2007 14:48 0 win52.tmp
24.11.2007 14:48 0 win51.tmp
24.11.2007 14:48 0 win50.tmp
24.11.2007 14:48 0 win4F.tmp
24.11.2007 14:48 0 win4E.tmp
24.11.2007 14:48 0 win4D.tmp
24.11.2007 14:48 0 win4C.tmp
24.11.2007 14:48 0 win4B.tmp
24.11.2007 14:48 0 win4A.tmp
24.11.2007 14:48 0 win49.tmp
24.11.2007 14:48 0 win48.tmp
24.11.2007 14:48 0 win45.tmp
24.11.2007 14:48 0 win44.tmp
24.11.2007 14:48 0 win43.tmp
24.11.2007 14:48 0 win40.tmp
24.11.2007 14:48 687 win3D.tmp
24.11.2007 14:46 0 win3B.tmp
24.11.2007 14:46 0 win39.tmp
24.11.2007 14:46 0 win3A.tmp
24.11.2007 14:44 0 win38.tmp
24.11.2007 14:44 0 win2A.tmp
24.11.2007 14:44 0 win2B.tmp
24.11.2007 14:42 0 win28.tmp
24.11.2007 14:42 0 win27.tmp
24.11.2007 14:42 0 win26.tmp
24.11.2007 14:40 0 win23.tmp
24.11.2007 14:40 0 win24.tmp
24.11.2007 14:40 0 win25.tmp
24.11.2007 14:38 0 win21.tmp
24.11.2007 14:38 0 win20.tmp
24.11.2007 14:38 0 win22.tmp
24.11.2007 14:36 0 win1E.tmp
24.11.2007 14:36 0 win1D.tmp
24.11.2007 14:36 0 win1F.tmp
24.11.2007 14:34 0 win37.tmp
24.11.2007 14:34 0 win33.tmp
24.11.2007 14:34 0 win36.tmp
24.11.2007 14:32 0 win32.tmp
24.11.2007 14:32 0 win30.tmp
24.11.2007 14:32 0 win31.tmp
24.11.2007 14:30 0 win2F.tmp
24.11.2007 14:30 0 win2E.tmp
24.11.2007 14:30 0 win2D.tmp
24.11.2007 12:29 0 win1C.tmp
24.11.2007 12:29 687 win1B.tmp
24.11.2007 12:03 687 win1A.tmp
24.11.2007 12:01 0 win19.tmp
24.11.2007 12:01 0 win18.tmp
24.11.2007 12:01 0 win16.tmp
24.11.2007 12:01 0 win17.tmp
23.11.2007 21:48 687 win15.tmp
23.11.2007 21:46 0 win14.tmp
23.11.2007 21:46 0 win13.tmp
23.11.2007 21:46 0 win10.tmp
23.11.2007 21:46 0 win12.tmp
23.11.2007 19:46 687 winCB.tmp
23.11.2007 19:44 0 winC9.tmp
23.11.2007 19:44 0 winC8.tmp
23.11.2007 19:44 0 winC7.tmp
23.11.2007 19:44 0 winCA.tmp
23.11.2007 19:42 0 winC6.tmp
23.11.2007 19:42 0 winC5.tmp
23.11.2007 19:42 0 winC3.tmp
23.11.2007 19:42 0 winC4.tmp
23.11.2007 19:40 0 winBF.tmp
23.11.2007 19:40 0 winC0.tmp
23.11.2007 19:40 0 winC1.tmp
23.11.2007 19:40 0 winC2.tmp
23.11.2007 19:38 0 winBE.tmp
23.11.2007 19:38 0 winBC.tmp
23.11.2007 19:38 0 winBD.tmp
23.11.2007 19:38 0 winBB.tmp
23.11.2007 19:37 0 winAA.tmp
23.11.2007 19:37 0 winA7.tmp
23.11.2007 19:37 0 winA8.tmp
23.11.2007 19:37 0 winA9.tmp
23.11.2007 19:36 0 winBA.tmp
23.11.2007 19:36 0 winB8.tmp
23.11.2007 19:36 0 winB9.tmp
23.11.2007 19:36 0 winB7.tmp
23.11.2007 19:35 0 winA6.tmp
23.11.2007 19:35 0 winA5.tmp
23.11.2007 19:35 0 winA4.tmp
23.11.2007 19:35 0 winA3.tmp
23.11.2007 19:34 0 winB5.tmp
23.11.2007 19:34 0 winB3.tmp
23.11.2007 19:34 0 winB6.tmp
23.11.2007 19:34 0 winB4.tmp
23.11.2007 19:33 0 winA0.tmp
23.11.2007 19:33 0 winA2.tmp
23.11.2007 19:33 0 win9F.tmp
23.11.2007 19:33 0 winA1.tmp
23.11.2007 19:32 0 winB1.tmp
23.11.2007 19:32 0 winB2.tmp
23.11.2007 19:32 0 winB0.tmp
23.11.2007 19:32 0 winAF.tmp
23.11.2007 19:31 0 win9C.tmp
23.11.2007 19:31 0 win9D.tmp
23.11.2007 19:31 0 win9E.tmp
23.11.2007 19:31 0 win9B.tmp
23.11.2007 19:30 0 winAB.tmp
23.11.2007 19:30 0 winAC.tmp
23.11.2007 19:30 0 winAD.tmp
23.11.2007 19:30 0 winAE.tmp
23.11.2007 19:29 0 win9A.tmp
23.11.2007 19:29 0 win97.tmp
23.11.2007 19:29 0 win99.tmp
23.11.2007 19:29 0 win98.tmp
23.11.2007 19:27 0 win96.tmp
23.11.2007 19:27 0 win95.tmp
23.11.2007 19:27 0 win94.tmp
23.11.2007 19:27 0 win93.tmp
23.11.2007 19:25 0 win90.tmp
23.11.2007 19:25 0 win8F.tmp
23.11.2007 19:25 0 win91.tmp
23.11.2007 19:25 0 win92.tmp
23.11.2007 19:23 0 win8E.tmp
23.11.2007 19:23 0 win8D.tmp
23.11.2007 19:23 0 win8C.tmp
23.11.2007 19:23 0 win8B.tmp
23.11.2007 19:21 0 win8A.tmp
23.11.2007 19:21 0 win89.tmp
23.11.2007 19:21 0 win88.tmp
23.11.2007 19:21 0 win87.tmp
23.11.2007 19:19 0 win86.tmp
23.11.2007 19:19 0 win84.tmp
23.11.2007 19:19 0 win83.tmp
23.11.2007 19:19 0 win85.tmp
23.11.2007 19:17 0 win80.tmp
23.11.2007 19:17 0 win82.tmp
23.11.2007 19:17 0 win81.tmp
23.11.2007 19:17 0 win7F.tmp
23.11.2007 19:15 0 win7B.tmp
23.11.2007 19:15 0 win7C.tmp
23.11.2007 19:15 0 win7D.tmp
23.11.2007 19:15 0 win7E.tmp
23.11.2007 19:13 0 win77.tmp
23.11.2007 19:13 0 win7A.tmp
23.11.2007 19:13 0 win79.tmp
23.11.2007 19:13 0 win78.tmp
23.11.2007 19:11 0 win76.tmp
23.11.2007 19:11 0 win75.tmp
23.11.2007 19:11 0 win74.tmp
23.11.2007 19:11 0 win73.tmp
23.11.2007 19:09 0 win72.tmp
23.11.2007 19:09 0 win70.tmp
23.11.2007 19:09 0 win6F.tmp
23.11.2007 19:09 0 win71.tmp
23.11.2007 19:07 0 win6E.tmp
23.11.2007 19:07 0 win6C.tmp
23.11.2007 19:07 0 win6B.tmp
23.11.2007 19:07 0 win6D.tmp
23.11.2007 19:05 0 win6A.tmp
23.11.2007 19:05 0 win69.tmp
23.11.2007 19:05 0 win68.tmp
23.11.2007 19:05 0 win67.tmp
23.11.2007 19:03 0 win63.tmp
23.11.2007 19:03 0 win66.tmp
23.11.2007 19:03 0 win65.tmp
23.11.2007 19:03 0 win64.tmp
23.11.2007 19:01 0 win62.tmp
23.11.2007 19:01 0 win60.tmp
23.11.2007 19:01 0 win61.tmp
23.11.2007 19:01 0 win5F.tmp
23.11.2007 17:00 0 win59.tmp
23.11.2007 17:00 20.992 win58.exe
23.11.2007 17:00 687 win56.tmp
23.11.2007 15:00 687 win34.tmp
23.11.2007 13:00 687 win11.tmp
23.11.2007 12:58 0 winF.tmp
23.11.2007 12:58 0 winE.tmp
23.11.2007 12:58 0 winD.tmp
23.11.2007 12:58 0 winB.tmp
22.11.2007 21:53 627 win3C.tmp
22.11.2007 19:53 627 win35.tmp
22.11.2007 17:53 627 win29.tmp
22.11.2007 15:53 627 winC.tmp
22.11.2007 15:51 0 winA.tmp
22.11.2007 15:51 0 win9.tmp
22.11.2007 15:51 0 win8.tmp
22.11.2007 15:51 0 win5.tmp
21.11.2007 19:58 627 win2C.tmp
21.11.2007 17:58 627 win6.tmp
21.11.2007 17:58 0 win7.tmp
21.11.2007 17:56 0 win4.tmp
21.11.2007 17:56 0 win2.tmp
21.11.2007 17:56 0 win3.tmp
21.11.2007 17:56 0 win1.tmp
12.07.2007 13:34 5.012 ASPNETSetup_00001.log

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
25.11.2007 13:21 145.824 filelist.txt
25.11.2007 11:56 10.110 java_install_reg.log
24.11.2007 18:59 59.964 Adobelm_Cleanup.0001
24.11.2007 18:58 620 wmplog02.sqm
24.11.2007 18:08 72.192 ~e5.0001
24.11.2007 17:04 0 is40.tmp
24.11.2007 16:24 49.152 ~DF5564.tmp
24.11.2007 16:23 0 is11.tmp
24.11.2007 16:23 0 isD.tmp
24.11.2007 15:25 3.370 Microsoft Office 2003 Setup(0001).txt
24.11.2007 15:25 172.502 Microsoft Office 2003 Setup(0001)_Task(0001).txt
24.11.2007 15:24 49.235 offcln11.log
24.11.2007 15:21 401.408 MSI5B.tmp
24.11.2007 14:52 620 wmplog01.sqm
24.11.2007 13:44 620 wmplog00.sqm
24.11.2007 12:07 512 ~DF624.tmp
24.11.2007 12:07 622.592 ~DF603.tmp
24.11.2007 12:07 512 ~DFF4F5.tmp
24.11.2007 12:07 622.592 ~DFF4C8.tmp

---------------

Tut mir leid wegen dem doppelpost, es ist jedoch besser wegen eurer Übersicht. Ich hoffe ihr könnt mir helfen da ich mich nicht sonderlich damit auskenne. Es scheint in schlecht auszusehen, mal sehen was die Experten sagen

Danke nochmals.

Om3Ga · 26.11.2007, 18:14

Ich weis hier gibt es viel Arbeit, wollte mich aber melden um mich zu versichern das ihr nicht auf mich vergessen habt.
Ich will die Sache so schnell wie möglich hinter mir haben.

ps. Gerade findet mein AVG einen neuen Virus "Exploit.ANI" und auch mein Internet ist langsamer geworden.

**Sunny** · 26.11.2007, 18:55

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

Files to delete: 
C:\WINDOWS\TEMP\win58.exe
C:\WINDOWS\mgrs.exe
C:\Programme\E404 Helper\e404.v6.dll
C:\WINDOWS\SYSTEM32\winuns32.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Lade dir den CCleaner runter -> KLICK

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Om3Ga · 27.11.2007, 19:58

1. Inhalt der C:\avenger.txt Datei
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iqiprtcf

*******************

Script file located at: \??\C:\WINDOWS\nrwuffrt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\TEMP\win58.exe not found!
Deletion of file C:\WINDOWS\TEMP\win58.exe failed!

Could not process line:
C:\WINDOWS\TEMP\win58.exe
Status: 0xc0000034

File C:\WINDOWS\mgrs.exe not found!
Deletion of file C:\WINDOWS\mgrs.exe failed!

Could not process line:
C:\WINDOWS\mgrs.exe
Status: 0xc0000034

File C:\Programme\E404 Helper\e404.v6.dll deleted successfully.
File C:\WINDOWS\SYSTEM32\winuns32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
__________________________

2. Mit dem CCleaner die Optionen "Cleaner" und "Registry" durchgeführt und bereinigt/gelöscht. Mit eScan ebenfalls alles ausgeführt.

__________________________
3.
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (aud.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\avenger\backup.zip/avenger/e404.v6.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5D39D757-D9DF-41A2-A29E-B6E8CDBFA16C}\RP261\A0291022.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5D39D757-D9DF-41A2-A29E-B6E8CDBFA16C}\RP265\A0293466.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5D39D757-D9DF-41A2-A29E-B6E8CDBFA16C}\RP265\A0293471.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5D39D757-D9DF-41A2-A29E-B6E8CDBFA16C}\RP265\A0293492.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.BHO.bt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5D39D757-D9DF-41A2-A29E-B6E8CDBFA16C}\RP265\A0293493.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File D:\DOWNLOADS\BSINSTALLDE523.exe//WiseSFX Dropper//WISE0023.BIN/clientax.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\System Volume Information\_restore{5D39D757-D9DF-41A2-A29E-B6E8CDBFA16C}\RP264\A0293391.exe//WiseSFX Dropper//WISE0044.BIN//stream//data0005 markiert als "not-a-virus:AdWare.Win32.Mostofate.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\System Volume Information\_restore{5D39D757-D9DF-41A2-A29E-B6E8CDBFA16C}\RP265\A0305861.exe//WiseSFX Dropper//WISE0023.BIN/clientax.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\internet.lnk
Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\bearshare applications\bearshare mediabar\basis.xml
Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\nintendo ds\ideas emu\plugin\aud.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nsb29.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nsd16.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nsi13.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nsk20.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nsm19.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nso2c.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nsp26.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\nst23.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\_ir_sf7_temp_0\irsetup.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mugen\mugen lite\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\zango !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = winuns32.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winuns32). Deleting Registry Key winuns32...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :85.14.220.124 l2authd.lineage2.com
C:\WINDOWS\System32\drivers\etc\hosts :85.14.220.124 l2testauthd.lineage2.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 120494
Gefundene Viren: 28
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 25
Dauer des Scans bisher: 01:27:43
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:39:17,53
Batchende: 19:39:36,34

Om3Ga · 29.11.2007, 17:15

Wieder Doppelpost aber ich muss mein Thema irgendwie in den Vordergrund drängen. Wie geht es nun weietr?

Om3Ga · 02.12.2007, 13:05

Zitat:

Zitat von Om3Ga

Wieder Doppelpost aber ich muss mein Thema irgendwie in den Vordergrund drängen. Wie geht es nun weietr?

Ich will diese Virenendlich loswerden. Danke.

Om3Ga · 05.12.2007, 17:25

lalala...

Es dürfe nichts mehr so viel los sein. Ich brauche nur den weiteren Ablauf von euch.

Viren/Trojaner - Hijack log

Log-Analyse und Auswertung: Viren/Trojaner - Hijack log