Könnte sich bitte jemand diesen Log anschauen?

Alagos · 20.12.2007, 12:37

Sers

Irgendwas stimmt nicht auf meinem PC. Die Tastatur ist plötzlich mit komischen Zeichen belegt, die Doppeklicke werden nicht mehr wahrgenommen + noch nie gesehene Programme am laufen.
Hier der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:14, on 20.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\Alert\ALERT.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\programme\dvrmstoolbox\dvrmsfilewatcherservice. exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\SiteAdvisor\6253\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\SiteAdvisor\6253\SiteAdv.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\programme\valve\steam\steam.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Dokumente und Einstellungen\T***\Desktop\hijack\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Kapiland (Kapi3)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...1/mcinsctl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/sh...26/mcgdmgr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\Alert\ALERT.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: DVRMSFileWatcherService - - c:\programme\dvrmstoolbox\dvrmsfilewatcherservice. exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus Admin Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6253\SAService.exe

--
End of file - 11917 bytes

undoreal · 20.12.2007, 12:53

Hallo Alagos.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

c:\programme\dvrmstoolbox\dvrmsfilewatcherservice. exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Und deinstalliere unbedingt einen der Beiden Virenscanner! Zwei behindern sich gegenseitig und bremsen das System aus!

Alagos · 20.12.2007, 13:12

hallo

also das hab ich mal gemacht.

c:\programme\dvrmstoolbox\dvrmsfilewatcherservice. exe

hab ich raufgeladen, folgende auswertung ist dabei rausgekommen. aber was meinst du mit

"Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)"

was meinst du mit "alle Dateien"? was ein hash ist, weiss ich leider nicht, ich kopier einfach mal alles rein, was ich als ergebnis habe. ich hab das ganze im abgesicherten modus gemacht, das ist richtig, oder?

Datei DVRMSFileWatcherService.exe empfangen 2007.12.20 13:04:15 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.20.11 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.19 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.19 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.19 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.20 -
Kaspersky 7.0.0.125 2007.12.20 -
McAfee 5189 2007.12.19 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2736 2007.12.20 -
Norman 5.80.02 2007.12.19 -
Panda 9.0.0.4 2007.12.19 -
Prevx1 V2 2007.12.20 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.19 -
Webwasher-Gateway 6.0.1 2007.12.20 -
weitere Informationen
File size: 20480 bytes
MD5: cf6811f3f04a2a98488b65dea1fba79d
SHA1: a97720e933a12c64251d9583cb95124d1c3706ea
PEiD: -

Cleriker · 20.12.2007, 14:24

Ergebnis wird stimmen. Google spricht auch von einer
einfachen Toolbar -> DVRMS

1) Welche Programme starten , die du nicht kennst?
2) Welche Tasten genau funktionieren nicht und seit wann?
3) Von welchem Hersteller ist die Tastatur?

Um Schädlinge auszuschließen, schlage ich einen Escan vor:
* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Bei Updateproblemen -> Updateprobleme beheben
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker

Alagos · 20.12.2007, 16:40

ich weiss, dass ich einen trojaner drauf habe, da ich sogar die datei noch habe, von welchem der trojaner stammt...

ich habe jetzt eScan gerade mal 5 Minuten am laufen und siehe da:

Gefundene Viren: 31

ich bin sicher, da kommen noch mehr

Alagos · 20.12.2007, 19:10

ich habe den eScan durchgeführt, folgendes kam raus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "video activex object Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({8996b0a4-d7be-101b-8650-00aa003a5593})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c430-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({5deca4e0-3b4f-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({608e8b10-3690-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({8a906ac2-be4b-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c448-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c449-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44c-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44d-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44f-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({a24604ba-c27f-11d1-9c4e-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({d5688691-e6b0-11d1-89b0-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({edbc92f0-b34c-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({f3743560-454e-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\T***\Eigene Dateien\BATCH\printip.exe infiziert von "Trojan-Downloader.Win32.Small.fuk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\T***\Eigene Dateien\Downloads\Programme\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei C:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\video activex object
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\common\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\emailscan\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcmscins\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcpscheduler\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\misp\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\personal firewall\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\quickclean\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\shredder\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\virusscan\mcinst
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11ab0dd2-0e91-11db-aadf-9bd096c39fa6} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{96de0b66-1eeb-11db-be6b-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in F\Name\Shell\AutoRun\command: F:\Autorun.exe
Executable Command Found in {96de0b66-1eeb-11db-be6b-806d6172696f}\Name\Shell\AutoRun\command: F:\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\T***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TEQT0TQT\scnAVdef12337640[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 140899
Gefundene Viren: 48
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 306
Dauer des Scans bisher: 02:19:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:07:55,35
Batchende: 19:08:27,40

undoreal · 21.12.2007, 14:40

Hallöle.

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\WINDOWS\gpinstall.exe
C:\WINDOWS\system32\unrar.dll

Folders to delete:

C:\Programme\video activex object

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

2) Deinstalliere Java über die Systemsteuerung.

3) Folge dieser Anleitung.

4) Run Combofix. Poste den erscheinenden Text.

6) Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

7) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

8) Melde dich danach mit frischem HJT log und einem neuen eScan Bericht.

PS: Vertraust du dieser Datei? C:\Dokumente und Einstellungen\T***\Eigene Dateien\BATCH\printip.exe

wenn nicht dann bitte auch noch mit Avenger löschen..

Könnte sich bitte jemand diesen Log anschauen?

Log-Analyse und Auswertung: Könnte sich bitte jemand diesen Log anschauen?