| |
| |||||||
Log-Analyse und Auswertung: Bitte um Überprüfung meines HijackThis-LogsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.01.2008, 16:44
| #1 |
| |  Bitte um Überprüfung meines HijackThis-Logs Hi, ich hatte gestern einen Virenbefall mit folgenden Viren: hldrrr.exe 8676828.exe wintems.exe srosa.sys 152031.exe nach einem etwas längerem Kampf ist es mir gelungen diese Viren zu entfernen. Da aber zuvor die hldrrr.exe von mir unbemerkt ca. 10 min munter aus dem Internet Daten empfangen hat (max. Download: 45 kb/s max. Upload 9 kb/s) möchte ich sichergehen, dass der Virenbefall gänzlich bezwungen wurde. Daher bitte ich euch das Hijackthislogfile bitte anzusehen. Logfile of HijackThis v1.99.1 Scan saved at 16:03:49, on 06.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\NetLimiter 2 Pro\nlsvc.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\NetLimiter 2 Pro\NLClient.exe C:\Programme\Babylon\Babylon-Pro\Babylon.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\progra~1\crawler\notes\cnotes.exe C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe C:\Programme\Eumex 504PC SE\Capictrl.exe C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe C:\Programme\Gemeinsame Dateien\L&H Shared\PCMM RealSpeak V1\RSSVR10.EXE C:\Programme\Vidalia Bundle\Tor\tor.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe c:\programme\avira\antivir personaledition classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w**.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:120 O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CrawlerNotes] c:\progra~1\crawler\notes\cnotes.exe /notesshow O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Diese Seite in Firefox öffnen - file://C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\96pegi7m.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Link-Ziel in Firefox öffnen - file://C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\96pegi7m.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8F869417-113F-470A-BC53-9AFE37BAD430}: NameServer = 155.155.155.10 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DNTUS26.EXE O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINDOWS\SYSTEM32\DWRCS.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing) O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Programme\Symantec\Ghost\bin\dbserv.exe O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - C:\Programme\Symantec\Ghost\ngserver.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Falls noch ein Virus übrig sein sollte wäre es nett, wenn mir jemand dies mitteilen könnte. Gruß User0815 |
|
06.01.2008, 16:49
| #2 |
| Administrator > Competence Manager  |  Bitte um Überprüfung meines HijackThis-LogsHallo 0815 ..  mach bitte folgendes: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp *Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung* Gruß  Sunny |
|
06.01.2008, 17:14
| #3 |
| |  Bitte um Überprüfung meines HijackThis-Logs Hi,
__________________vielen Dank für die schnelle Antwort. Habe leider ein Problem: Beim Starten von ComboFix bekomme ich den Fehler: Pfad\Combofix.exe ist keine zulässige Win32-Anwendung. Verzeichnis von C:\ 06.01.2008 15:15 805.306.368 pagefile.sys 05.01.2008 17:56 211 boot.ini Verzeichnis von C:\WINDOWS\system32 06.01.2008 15:22 1 vga32cpi.dll 06.01.2008 15:16 55.082 vsconfig.xml 06.01.2008 15:14 427.795 oodbs.lor 06.01.2008 01:05 4.212 zllictbl.dat 05.01.2008 17:47 5.364 ban_list.txt 30.12.2007 12:08 2.206 wpa.dbl 28.12.2007 10:47 449.114 perfh009.dat 28.12.2007 10:47 80.658 perfc009.dat 28.12.2007 10:47 473.952 perfh007.dat 28.12.2007 10:47 99.514 perfc007.dat 28.12.2007 10:47 1.118.632 PerfStringBackup.INI 27.12.2007 00:29 5.686 jupdate-1.6.0_03-b05.log 26.12.2007 15:08 57 ws.js 23.12.2007 10:50 64.512 shdocvw.oca 03.12.2007 06:28 333.872 FNTCACHE.DAT Verzeichnis von C:\WINDOWS 06.01.2008 15:25 1.287 IE4 Error Log.txt 06.01.2008 15:16 0 0.log 06.01.2008 15:15 159 wiadebug.log 06.01.2008 15:15 50 wiaservc.log 06.01.2008 15:15 2.048 bootstat.dat 06.01.2008 12:39 32.626 SchedLgU.Txt 06.01.2008 12:39 1.476.713 WindowsUpdate.log 05.01.2008 17:56 227 system.ini 05.01.2008 17:56 802 win.ini 05.01.2008 17:16 85 vbaddin.ini 05.01.2008 15:19 477.345 setupapi.log 04.01.2008 15:22 373.256 DirectX.log 01.01.2008 23:49 202 NeroDigital.ini 01.01.2008 22:07 13.211 wmsetup.log 31.12.2007 13:18 403 clickEXE.INI 24.12.2007 16:44 2.695 CDPLAYER.INI 02.12.2007 19:26 251.799 ntdtcsetup.log Verzeichnis von C:\WINDOWS\Prefetch 06.01.2008 16:58 12.812 FIND.EXE-0EC32F1E.pf 06.01.2008 16:58 12.632 CMD.EXE-087B4001.pf 06.01.2008 16:58 49.030 WINRAR.EXE-3588DFE8.pf 06.01.2008 16:57 112.402 UNLOCKER.EXE-2F8FAED1.pf 06.01.2008 16:57 105.404 IMAPI.EXE-0BF740A4.pf 06.01.2008 16:57 102.686 EXPLORER.EXE-082F38A9.pf 06.01.2008 16:57 16.226 VERCLSID.EXE-3667BD89.pf 06.01.2008 16:55 62.726 MSPAINT.EXE-11CBB631.pf 06.01.2008 16:53 23.324 TASKMGR.EXE-20256C55.pf 06.01.2008 16:50 103.862 NOTEPAD.EXE-336351A9.pf 06.01.2008 16:09 99.410 WINWORD.EXE-259486DA.pf 06.01.2008 16:09 64.418 OUTLOOK.EXE-22C5790A.pf 06.01.2008 16:03 18.100 HIJACKTHIS.EXE-1FCD5C5D.pf 06.01.2008 15:44 98.420 FIREFOX.EXE-1D57670A.pf 06.01.2008 15:39 48.340 AVSCAN.EXE-0D0CD933.pf 06.01.2008 15:38 56.436 AVCENTER.EXE-324B1681.pf 06.01.2008 15:37 78.334 AVCONFIG.EXE-2E17BE74.pf 06.01.2008 15:35 27.812 AUTORUNSC.EXE-14D1931A.pf 06.01.2008 15:33 49.218 AUTORUNS.EXE-30A4A08D.pf 06.01.2008 15:31 48.304 UPDCLIENT.EXE-215FC96B.pf 06.01.2008 15:29 42.810 REGSUPREMEPRO.EXE-1E3C60A8.pf 06.01.2008 15:29 23.066 REGCLEANR.EXE-10DDC304.pf 06.01.2008 15:29 16.282 REGSUPREME.EXE-04F1D989.pf 06.01.2008 15:25 57.936 ACRORD32INFO.EXE-19D979CC.pf 06.01.2008 15:25 17.074 REGSVR32.EXE-25EEFE2F.pf 06.01.2008 15:23 75.022 SVCHOST.EXE-3530F672.pf 06.01.2008 15:23 16.474 _IU14D2N.TMP-218F931C.pf 06.01.2008 15:23 17.044 UNINS000.EXE-30978DB4.pf 06.01.2008 15:23 17.206 WDFSCTL.EXE-13124935.pf 06.01.2008 15:20 111.268 ICQ.EXE-3425F561.pf 06.01.2008 15:16 119.036 TOR.EXE-2C8A76BE.pf 06.01.2008 15:16 29.726 RSSVR10.EXE-3AC5FF65.pf 06.01.2008 15:16 23.212 GUARDGUI.EXE-3AFB6D88.pf 06.01.2008 15:16 15.800 PRIVOXY.EXE-2BF26DF6.pf 06.01.2008 15:16 10.926 VIDALIA.EXE-1D356F0B.pf 06.01.2008 15:16 12.472 CAPICTRL.EXE-210F2F5D.pf 06.01.2008 15:16 44.522 CNOTES.EXE-233B906F.pf 06.01.2008 15:16 1.478.824 NTOSBOOT-B00DFAAD.pf 06.01.2008 12:36 49.582 NLCLIENT.EXE-2D20CC93.pf 06.01.2008 12:36 22.454 LOGONUI.EXE-0AF22957.pf 06.01.2008 12:30 61.004 WMPLAYER.EXE-0996933A.pf 06.01.2008 03:08 94.638 DFRGNTFS.EXE-269967DF.pf 06.01.2008 03:08 21.630 DEFRAG.EXE-273F131E.pf 06.01.2008 03:08 348.794 Layout.ini 06.01.2008 02:46 33.174 AD-AWARE2007.EXE-1AE91ED3.pf 06.01.2008 02:44 27.886 AAWLIC.EXE-05B527BB.pf 06.01.2008 02:44 30.964 AAWSERVICE.EXE-10F504AB.pf 06.01.2008 02:44 66.600 MSIEXEC.EXE-2F8A8CAE.pf 06.01.2008 02:43 49.338 AAW2007.EXE-1039FDB3.pf 06.01.2008 02:43 19.812 CLEARPROG.EXE-1934C98F.pf 06.01.2008 02:42 17.722 RUNDLL32.EXE-29ACD517.pf 06.01.2008 02:42 41.950 RUNDLL32.EXE-3910966A.pf 06.01.2008 01:04 36.648 VSMON.EXE-1609C098.pf 05.01.2008 17:56 33.532 WMIPRVSE.EXE-28F301A9.pf 05.01.2008 15:36 92.250 IEXPLORE.EXE-2CA9778D.pf 05.01.2008 15:35 20.810 RUNDLL32.EXE-268BFF96.pf 05.01.2008 15:18 13.624 RUNDLL32.EXE-451FC2C0.pf 05.01.2008 15:14 20.450 REALSCHED.EXE-0A2A7558.pf 04.01.2008 21:01 16.984 ALG.EXE-0F138680.pf 04.01.2008 12:56 29.132 WDFMGR.EXE-2CF4013B.pf 03.01.2008 23:07 82.118 ACRORD32.EXE-153330F0.pf 03.01.2008 14:42 56.336 ORBITDM.EXE-32B5C4F2.pf 28.12.2007 10:47 58.214 WMIADAP.EXE-2DF425B2.pf Verzeichnis von C:\WINDOWS\tasks 06.01.2008 15:15 6 SA.DAT 04.12.2006 17:34 228 AppleSoftwareUpdate.job Verzeichnis von C:\WINDOWS\temp 06.01.2008 15:15 256 ZLT00d7b.TMP 06.01.2008 15:15 256 ZLT00d75.TMP 04.01.2008 13:30 256 ZLT020dd.TMP 04.01.2008 13:30 256 ZLT020a6.TMP 30.12.2007 20:58 256 ZLT070d8.TMP 30.12.2007 20:58 256 ZLT070d1.TMP 30.12.2007 12:25 256 ZLT06897.TMP 30.12.2007 12:25 256 ZLT06891.TMP 30.12.2007 12:09 256 ZLT07857.TMP 30.12.2007 12:09 256 ZLT05bf3.TMP 23.12.2007 10:23 256 ZLT067c9.TMP 17.12.2007 08:24 256 ZLT0386f.TMP 17.12.2007 08:24 256 ZLT03868.TMP 12.12.2007 12:00 256 ZLT05670.TMP 12.12.2007 12:00 256 ZLT0566d.TMP 21.11.2007 11:19 256 ZLT04ed7.TMP erzeichnis von C:\DOKUME~1\thiemo\LOKALE~1\Temp 06.01.2008 16:58 148.244 filelist.txt 06.01.2008 16:45 4.286 xprt17fc.ico 06.01.2008 15:20 4.459 jusched.log 06.01.2008 15:20 0 JET82E3.tmp 05.01.2008 17:36 671.148 _iu14D2N.tmp 05.01.2008 17:17 4.286 xprt449e.ico 05.01.2008 17:16 4.286 xprt51db.ico 05.01.2008 16:53 4.286 xprt297e.ico 05.01.2008 16:52 4.286 xprt6bab.ico 05.01.2008 15:39 144 wecerr.txt 05.01.2008 15:30 4.286 xprt6e7d.ico 05.01.2008 15:23 4.286 xprt0f9f.ico 04.01.2008 15:22 228 _isdelet.ini 03.01.2008 23:49 4.286 xprt2571.ico 03.01.2008 23:49 4.286 xprt425b.ico 03.01.2008 23:44 4.286 xprt1464.ico 03.01.2008 23:44 4.286 xprt1149.ico 03.01.2008 23:44 4.286 xprt475d.ico 03.01.2008 23:42 4.286 xprt2c2d.ico 03.01.2008 23:32 4.286 xprt08dd.ico 03.01.2008 22:56 4.286 xprt635a.ico 03.01.2008 22:19 4.286 xprt4734.ico 03.01.2008 20:23 32.768 ~DF2D82.tmp 03.01.2008 18:45 4.286 xprt6257.ico 03.01.2008 16:43 4.286 xprt150d.ico 03.01.2008 16:19 4.286 xprt2949.ico 03.01.2008 16:17 4.286 xprt5e44.ico 02.01.2008 17:49 99 D653F3EC.TMP 02.01.2008 16:52 4.286 xprt378e.ico 02.01.2008 16:45 4.286 xprt7c71.ico 02.01.2008 16:42 4.286 xprt34b2.ico 02.01.2008 16:40 4.286 xprt4aaf.ico 02.01.2008 15:26 4.286 xprt47cd.ico 02.01.2008 15:25 4.286 xprt4054.ico 02.01.2008 15:25 4.286 xprt5017.ico 02.01.2008 15:24 4.286 xprt74ff.ico 02.01.2008 14:54 4.286 xprt2c15.ico 02.01.2008 14:49 4.286 xprt74cf.ico 02.01.2008 14:48 4.286 xprt5917.ico 02.01.2008 14:33 4.286 xprt114b.ico 02.01.2008 00:20 4.286 xprt5654.ico 02.01.2008 00:18 902 TWAIN.LOG 02.01.2008 00:18 5 Twain001.Mtx 02.01.2008 00:18 156 Twunk001.MTX 02.01.2008 00:17 4.286 xprt25fc.ico 01.01.2008 23:33 4.286 xprt0255.ico 01.01.2008 22:41 4.286 xprt2795.ico 01.01.2008 22:37 4.286 xprt71c1.ico 01.01.2008 22:34 4.286 xprt3b45.ico 01.01.2008 22:33 4.286 xprt7294.ico 01.01.2008 22:07 12.818 control.xml 01.01.2008 21:54 4.286 xprt52e4.ico 01.01.2008 21:53 4.286 xprt64da.ico 01.01.2008 21:47 4.286 xprt1ed1.ico 01.01.2008 18:54 4.286 xprt2963.ico 01.01.2008 18:51 4.286 xprt1272.ico 01.01.2008 18:40 4.286 xprt22e5.ico 01.01.2008 18:32 4.286 xprt7501.ico 01.01.2008 18:21 4.286 xprt62f1.ico 01.01.2008 18:16 4.286 xprt7f65.ico 01.01.2008 18:14 4.286 xprt5979.ico 01.01.2008 18:12 4.286 xprt1519.ico 01.01.2008 18:09 4.286 xprt76d6.ico 01.01.2008 18:08 4.286 xprt528b.ico 01.01.2008 17:19 4.286 xprt3b80.ico 01.01.2008 17:18 4.286 xprt5f1d.ico 01.01.2008 17:17 4.286 xprt2709.ico 01.01.2008 15:47 4.286 xprt6338.ico 01.01.2008 15:20 4.286 xprt2940.ico 01.01.2008 15:15 4.286 xprt50ff.ico 01.01.2008 14:54 4.286 xprt5d87.ico 01.01.2008 14:47 4.286 xprt3aba.ico 01.01.2008 14:43 4.286 xprt38ec.ico 31.12.2007 17:02 4.286 xprt7b50.ico 30.12.2007 13:28 0 CacheInfo.dnl 30.12.2007 12:35 4.286 xprt2271.ico 30.12.2007 12:33 4.286 xprt4b90.ico 30.12.2007 12:33 4.286 xprt581c.ico 30.12.2007 12:26 24.576 JETF78A.tmp 30.12.2007 01:39 367.625 wtpmdua9.exe 29.12.2007 21:57 4.286 xprt2994.ico 29.12.2007 20:03 4.286 xprt51cc.ico 29.12.2007 19:42 28.672 AD.tmp 29.12.2007 19:41 1.980 AC.tmp 29.12.2007 19:40 1.980 AB.tmp 29.12.2007 19:40 1.980 AA.tmp 29.12.2007 13:28 16.384 ~DFC727.tmp 28.12.2007 16:10 4.286 xprt4c4f.ico 28.12.2007 13:10 337 TEMP0267.dbf 28.12.2007 13:10 3.072 TEMP0267.cdx 28.12.2007 13:10 337 TEMP1720.dbf 28.12.2007 13:10 3.072 TEMP1720.cdx 28.12.2007 13:10 337 TEMP0142.dbf 28.12.2007 13:10 3.072 TEMP0142.cdx 28.12.2007 13:07 3.072 TEMP8283.cdx 28.12.2007 13:07 3.072 TEMP8314.cdx 28.12.2007 13:07 337 TEMP0408.dbf 28.12.2007 13:07 337 TEMP8314.dbf 28.12.2007 13:07 337 TEMP8283.dbf 28.12.2007 13:07 3.072 TEMP0408.cdx 28.12.2007 12:27 2.126.437 buar0klm.jpg 27.12.2007 14:24 4.286 xprt0f17.ico 27.12.2007 14:22 4.286 xprt7bfb.ico 27.12.2007 00:29 2.580 java_install_reg.log 27.12.2007 00:28 0 java_install.log 27.12.2007 00:23 1.199 jinstall.cfg 26.12.2007 22:02 4.286 xprt29e8.ico 26.12.2007 22:00 4.286 xprt2022.ico 26.12.2007 21:48 250 Thumbs.html 26.12.2007 21:46 907 video.html 26.12.2007 21:41 16.384 ~DF998F.tmp 26.12.2007 21:36 16.384 ~DF976B.tmp 26.12.2007 21:34 16.384 ~DF56E6.tmp 26.12.2007 21:32 16.384 ~DF94CA.tmp 26.12.2007 14:55 4.286 xprt41bf.ico 26.12.2007 14:54 4.286 xprt12b8.ico 26.12.2007 14:54 4.286 xprt4cd0.ico 26.12.2007 14:54 4.286 xprt0754.ico 26.12.2007 14:36 4.286 xprt1a9c.ico 26.12.2007 14:35 4.286 xprt2a7b.ico 26.12.2007 14:34 4.286 xprt1119.ico 25.12.2007 14:07 4.286 xprt2878.ico 25.12.2007 13:30 4.286 xprt24bc.ico 24.12.2007 12:31 4.286 xprt365e.ico 24.12.2007 12:31 56.858 pf787178085.tmp 24.12.2007 12:30 114.366 pf3758867599.tmp 24.12.2007 12:25 4.286 xprt536c.ico 24.12.2007 12:24 114.238 pf3758867598.tmp 24.12.2007 12:19 422.247 pf2496387719.tmp 24.12.2007 12:18 4.286 xprt14ec.ico 23.12.2007 23:07 4.286 xprt351f.ico 23.12.2007 13:35 4.286 xprt4f26.ico 20.12.2007 21:05 886 3692F464.TMP 18.12.2007 19:24 4.286 xprt0c3c.ico 18.12.2007 18:49 4.286 xprt56d2.ico 18.12.2007 18:49 4.286 xprt1461.ico 18.12.2007 18:47 4.286 xprt2c24.ico 18.12.2007 17:45 4.286 xprt6c0d.ico 18.12.2007 17:41 4.286 xprt13dc.ico 18.12.2007 14:26 4.286 xprt2a02.ico 15.12.2007 19:48 4.286 xprt0ba4.ico 15.12.2007 19:47 4.286 xprt1a61.ico 15.12.2007 19:36 4.286 xprt605b.ico 15.12.2007 19:29 4.286 xprt38a3.ico 15.12.2007 13:54 4.286 xprt65f4.ico 15.12.2007 13:52 4.286 xprt3f48.ico 15.12.2007 13:50 4.286 xprt0664.ico 14.12.2007 16:48 22.130 rk8cjkvl.zip 14.12.2007 16:30 4.286 xprt5083.ico 12.12.2007 17:45 4.286 xprt05c9.ico 12.12.2007 12:01 45.056 JET7D6.tmp 11.12.2007 16:23 0 h2r14.tmp 11.12.2007 16:23 174 r2h13.tmp 11.12.2007 15:45 21.504 Xl0000000.xls 11.12.2007 15:44 4.286 xprt3c80.ico 11.12.2007 15:44 4.286 xprt1dcf.ico 10.12.2007 19:28 4.286 xprt30d1.ico 10.12.2007 19:28 4.286 xprt4d80.ico 10.12.2007 17:23 4.286 xprt4ef0.ico 10.12.2007 17:17 4.286 xprt181e.ico 10.12.2007 17:11 4.286 xprt7d10.ico 09.12.2007 22:09 4.286 xprt6ba8.ico 09.12.2007 11:51 4.286 xprt4cc8.ico 09.12.2007 10:50 4.286 xprt6638.ico 09.12.2007 10:49 4.286 xprt62b6.ico 09.12.2007 10:45 4.286 xprt7245.ico 06.12.2007 16:46 0 0fl10.tmp 06.12.2007 16:45 0 hieF.tmp 06.12.2007 16:44 0 as2D.tmp 06.12.2007 16:33 0 mzrA.tmp 06.12.2007 16:31 0 b3m9.tmp 06.12.2007 16:28 0 3hu5.tmp 06.12.2007 16:27 0 97b4.tmp 06.12.2007 16:22 0 lh22.tmp Gruß User0815 |
|
06.01.2008, 17:21
| #4 |
| Administrator > Competence Manager | Bitte um Überprüfung meines HijackThis-Logs lösche die combofix.exe, und versuche sie nochmal neu herunter zu laden, von hier: http://download.bleepingcomputer.com/sUBs/ComboFix.exe |
|
06.01.2008, 17:46
| #5 |
| | Bitte um Überprüfung meines HijackThis-Logs Hi, dieses Mal scheint die das Tool wenigstens ausführbar zu sein, jedoch befinde ich mich in einer Endlosschleife zwischen restart des Programms und dieser Meldung: (Anhang) Gruß User0815 |
|
06.01.2008, 17:56
| #6 |
| Administrator > Competence Manager | Bitte um Überprüfung meines HijackThis-Logs komisch, das scheint wirklich an der Malware im System zu liegen. Versuch mal noch folgendes: Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) |
|
06.01.2008, 18:12
| #7 |
| | Bitte um Überprüfung meines HijackThis-Logs Hi, der Fehler saß mal wieder vor dem PC.   Sorry für die Umstände. Hier das Logfile. ComboFix 08-01-04.1 - *** 2008-01-06 17:45:31.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.480 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\MabryObj.dll C:\WINDOWS\system32\tmp28.tmp C:\WINDOWS\system32\tmp31.tmp C:\WINDOWS\system32\tmp51.tmp . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_NPF -------\LEGACY_SROSA -------\srosa ((((((((((((((((((((((( Dateien erstellt von 2007-12-06 bis 2008-01-06 )))))))))))))))))))))))))))))) . 2008-01-06 17:43 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\nircmd.exe 2008-01-06 15:22 . 2008-01-06 15:22 1 --a------ C:\WINDOWS\system32\vga32cpi.dll 2008-01-06 02:44 . 2008-01-06 02:44 <DIR> d-------- C:\Programme\Lavasoft 2008-01-06 02:44 . 2008-01-06 02:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-06 01:39 . 2008-01-06 01:39 <DIR> d-------- C:\Programme\Avira 2008-01-06 01:39 . 2008-01-06 01:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-01-06 01:04 . 2004-04-27 05:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2008-01-05 17:36 . 2005-01-03 05:04 700,593 --------- C:\WINDOWS\system32\drivers\hldrrr.exe 2008-01-05 17:36 . 2005-10-12 15:56 53,248 --a------ C:\WINDOWS\system32\webdavnp.dll 2008-01-05 17:33 . 2008-01-06 00:41 <DIR> d-------- C:\WINDOWS\system32\drivers\down 2008-01-04 15:11 . 1995-07-26 01:00 98,588 --a------ C:\WINDOWS\system32\THREED32.ocx 2008-01-04 15:11 . 1995-07-26 01:00 48,640 --a------ C:\WINDOWS\system32\GRID32.ocx 2008-01-03 15:46 . 2008-01-03 15:46 <DIR> d-------- C:\Programme\NetLimiter 2 Pro 2008-01-01 13:41 . 2008-01-01 13:41 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ascaron Entertainment 2008-01-01 13:22 . 2008-01-01 13:22 <DIR> d-------- C:\Programme\Alcohol Soft 2008-01-01 13:22 . 2003-12-21 17:24 140,800 --a------ C:\WINDOWS\system32\drivers\xmasbus.sys 2008-01-01 13:22 . 2003-12-20 20:03 5,504 --a------ C:\WINDOWS\system32\drivers\xmasscsi.sys 2007-12-31 10:02 . 2008-01-06 17:57 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\tor 2007-12-31 10:00 . 2007-12-31 10:00 <DIR> d-------- C:\Programme\Vidalia Bundle 2007-12-31 10:00 . 2008-01-06 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia 2007-12-31 01:22 . 2007-12-31 13:15 <DIR> d-------- C:\Programme\StealthNet 2007-12-30 00:59 . 2007-12-30 00:59 53,760 --a------ C:\WINDOWS\system32\drivers\SSHDRV76.sys 2007-12-27 00:29 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2007-12-26 21:30 . 2007-12-26 21:58 <DIR> d-------- C:\Programme\Free FLV Converter 2007-12-26 21:30 . 2005-05-14 20:09 2,179,072 --a------ C:\WINDOWS\system32\mfc71d.dll 2007-12-26 21:30 . 2006-07-11 18:06 765,952 --a------ C:\WINDOWS\system32\msvcp71d.dll 2007-12-26 21:30 . 2006-07-11 18:06 544,768 --a------ C:\WINDOWS\system32\msvcr71d.dll 2007-12-26 21:30 . 2007-06-18 23:22 364,544 --a------ C:\WINDOWS\system32\PropertyGrid.ocx 2007-12-26 21:30 . 2005-10-13 13:42 208,500 --a------ C:\WINDOWS\system32\ReyXpBasics.tlb 2007-12-26 21:30 . 1998-07-12 23:00 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL 2007-12-26 21:30 . 1998-07-12 19:00 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL 2007-12-26 21:30 . 2005-09-28 01:31 24,576 --a------ C:\WINDOWS\system32\ControlSubX.ocx 2007-12-26 21:30 . 1998-07-12 23:00 15,360 --a------ C:\WINDOWS\system32\inetfr.DLL 2007-12-26 21:30 . 1998-07-13 00:00 9,728 --a------ C:\WINDOWS\system32\PCCLPFR.DLL 2007-12-26 15:18 . 2007-12-26 15:21 <DIR> d-------- C:\Programme\JAP 2007-12-26 15:08 . 2007-12-26 15:08 57 --a------ C:\WINDOWS\system32\ws.js 2007-12-26 13:22 . 2007-12-26 15:08 <DIR> d-------- C:\Programme\WinSweep 2007-12-15 15:03 . 2007-12-15 15:03 <DIR> d-------- C:\Programme\Vector Graphics ActiveX 2007-12-06 16:42 . 2007-12-06 16:42 <DIR> d-------- C:\Programme\Orbitdownloader 2007-12-06 16:42 . 2007-12-12 16:53 <DIR> d-------- C:\Downloads 2007-12-06 16:42 . 2008-01-03 14:53 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Orbit . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-06 01:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-06 01:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-01-06 00:15 --------- d-----w C:\Programme\Game Cam 2008-01-06 00:14 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lavasoft 2008-01-05 17:05 --------- d-----w C:\Programme\Avant Browser 2008-01-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Babylon 2008-01-04 14:11 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-01-03 19:23 --------- d-----w C:\Programme\FeenixMAP 2.2 2008-01-03 14:36 --------- d-----w C:\Programme\NetLimiter 2007-12-29 18:41 --------- d-----w C:\Programme\PartyGaming.Net 2007-12-26 23:29 --------- d-----w C:\Programme\Java 2007-12-26 20:13 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\XnView 2007-12-23 21:59 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon 2007-12-12 16:14 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ 2007-12-02 17:55 --------- d-----w C:\Programme\MSECache 2007-11-09 19:30 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2007-11-09 19:30 --------- d-----w C:\Programme\DVDVideoSoft 2007-11-07 11:56 90,120 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-06-16 18:58 72,864 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2001-03-28 11:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe 2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe 2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe 2000-01-01 00:00 23 --sh--r C:\WINDOWS\mtlid64s2.dat 2005-10-13 20:27 422,400 --sha-r C:\WINDOWS\x2.64.exe 2005-10-07 18:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll 2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll 2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll 2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll 2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll 2006-04-27 09:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll 2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "CrawlerNotes"="c:\progra~1\crawler\notes\cnotes.exe" [2007-09-19 03:55 980480] "Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-08-26 07:02 11852288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Babylon Client"="C:\Programme\Babylon\Babylon-Pro\Babylon.exe" [2006-04-30 19:12 2655272] "Cmaudio"="cmicnfg.cpl" [] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-04-05 17:41 180269] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-06 01:46 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll SafeBoot Registrierungsschlssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2007-10-10 19:51 39792 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\drvsyskit] 2005-01-03 05:04 700593 --------- C:\WINDOWS\system32\drivers\hldrrr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 17:24] R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys [2003-12-20 20:03] R1 nltdi;nltdi;C:\WINDOWS\system32\drivers\nltdi.sys [2007-04-23 12:03] R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2007-12-30 00:59] R2 CAPI20;Eumex 504PC SE;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2004-06-29 10:30] R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2003-03-19 13:36] R2 SQLWriter;SQL Server VSS Writer;"C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 04:29] R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-10-22 20:51] R3 dtwmnic5;Telekom Eumex 504PC SE;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [2004-03-29 15:16] R3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2003-04-17 12:19] R3 xpvcom;XPVCOM Port;C:\WINDOWS\system32\DRIVERS\XPVCOM.sys [2007-03-23 01:00] S2 webdavfs;WebDAV File System;C:\WINDOWS\system32\drivers\webdavfs.sys [] S3 wind502u;ZyAIR G-200 Wireless LAN USB Adapter;C:\WINDOWS\system32\DRIVERS\wind502u.sys [2004-03-25 19:49] S4 Abel;Abel;C:\Programme\Cain\Abel.exe [2005-05-26 22:46] S4 msvsmon80;Visual Studio 2005 Remote Debugger;"C:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" [2006-12-02 05:28] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34b3fd29-2c08-11dc-8ff1-003042fffd01}] \Shell\AutoRun\command - L:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef646fb2-9307-11d9-8548-000b6a78d5a8}] \Shell\AutoRun\command - H:\SETUP.EXE /AUTORUN . Inhalt des "geplante Tasks" Ordners "2006-12-04 16:34:43 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-06 17:56:59 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql] "ImagePath"="C:/Programme/XAMPP/xampp/mysql/bin/mysqld-nt.exe" . Zeit der Fertigstellung: 2008-01-06 18:02:21 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-06 17:02:18 Gruß User0815 |
|
06.01.2008, 18:24
| #8 | |
| > MalwareDB   | Bitte um Überprüfung meines HijackThis-Logs wb sunny Bei Bagle Infektion wär ich ja vorsichtig und würde eher neu Installieren. Zitat:
|
|
06.01.2008, 18:25
| #9 | |
| Administrator > Competence Manager | Bitte um Überprüfung meines HijackThis-Logs dann kannst du das silentrunners weglassen.  Nun folgendes: Die versteckten Dateien anzeigen! Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) EDIT: Moin Bata... Danke... Da ist noch mehr als Bagle im System, auf jeden Fall ein Rootkit! |
|
06.01.2008, 18:29
| #10 | ||
| > MalwareDB | Bitte um Überprüfung meines HijackThis-LogsZitat:
Zitat:
|
|
06.01.2008, 18:32
| #11 | |
| | Bitte um Überprüfung meines HijackThis-LogsZitat:
Ja das hatte ich damals installiert. Wobei es vor 3 Jahren meines wissen auch noch legal war. |
|
06.01.2008, 18:36
| #12 | |
| > MalwareDB | Bitte um Überprüfung meines HijackThis-LogsZitat:
Hab mich halt gefragt, warum der Server bei Dir läuft. So long, lass den Sunny mal weitermachen, der hat Nachholbedarf. |
|
06.01.2008, 19:13
| #13 |
| Administrator > Competence Manager | Bitte um Überprüfung meines HijackThis-Logs @Bata  @user Lass wie schon erwähnt die Dateien auswerten! Ich weiß zwar was dahinter steckt, aber trotzdem will ich noch mal Gewissheit haben bevor ich sie versuche zu löschen. |
|
06.01.2008, 19:19
| #14 |
| | Bitte um Überprüfung meines HijackThis-Logs Hi, hier die Dateien: Datei SpOrder.dll empfangen 2008.01.06 19:15:32 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 47 und 68 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 - AntiVir 7.6.0.46 2008.01.06 - Authentium 4.93.8 2008.01.06 - Avast 4.7.1098.0 2008.01.06 - AVG 7.5.0.516 2008.01.06 - BitDefender 7.2 2008.01.06 - CAT-QuickHeal 9.00 2008.01.05 - ClamAV 0.91.2 2008.01.06 - DrWeb 4.44.0.09170 2008.01.06 - eSafe 7.0.15.0 2008.01.06 - eTrust-Vet 31.3.5432 2008.01.04 - Ewido 4.0 2008.01.06 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 - F-Prot 4.4.2.54 2008.01.05 - F-Secure 6.70.13030.0 2008.01.05 - Ikarus T3.1.1.15 2008.01.06 - Kaspersky 7.0.0.125 2008.01.06 - McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 - NOD32v2 2767 2008.01.06 - Norman 5.80.02 2008.01.04 - Panda 9.0.0.4 2008.01.06 - Prevx1 V2 2008.01.06 - Rising 20.25.62.00 2008.01.06 - Sophos 4.24.0 2008.01.06 - Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.06 - TheHacker 6.2.9.182 2008.01.06 - VBA32 3.12.2.5 2008.01.06 - VirusBuster 4.3.26:9 2008.01.06 - Webwasher-Gateway 6.6.2 2008.01.06 - weitere Informationen File size: 11264 bytes MD5: 471789f182c0b60304ce19f023d8911d SHA1: 2c5e44949734650d50a6b8a47a73ee2296eb1bf7 PEiD: - Datei hldrrr.exe empfangen 2008.01.06 18:53:30 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 15/32 (46.88%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 54 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 - AntiVir 7.6.0.46 2008.01.06 - Authentium 4.93.8 2008.01.06 - Avast 4.7.1098.0 2008.01.06 - AVG 7.5.0.516 2008.01.06 IRC/BackDoor.SdBot3.XYR BitDefender 7.2 2008.01.06 DeepScan:Generic.Malware.SP!VPkWkg.2ABF7192 CAT-QuickHeal 9.00 2008.01.05 - ClamAV 0.91.2 2008.01.06 PUA.Packed.Themida DrWeb 4.44.0.09170 2008.01.06 Win32.HLLM.Beagle eSafe 7.0.15.0 2008.01.06 - eTrust-Vet 31.3.5432 2008.01.04 - Ewido 4.0 2008.01.06 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 W32/Bagle.DE!tr.dldr F-Prot 4.4.2.54 2008.01.05 - F-Secure 6.70.13030.0 2008.01.05 Trojan-Downloader.Win32.Bagle.hk Ikarus T3.1.1.15 2008.01.06 Backdoor.Win32.IRCBot.abp Kaspersky 7.0.0.125 2008.01.06 Trojan-Downloader.Win32.Bagle.hk McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 - NOD32v2 2767 2008.01.06 Win32/Bagle.LM Norman 5.80.02 2008.01.04 SDBot.gen8 Panda 9.0.0.4 2008.01.06 - Prevx1 V2 2008.01.06 Heuristic: Suspicious Self Modifying EXE Rising 20.25.62.00 2008.01.06 - Sophos 4.24.0 2008.01.06 - Sunbelt 2.2.907.0 2008.01.05 VIPRE.Suspicious Symantec 10 2008.01.06 Trojan.Lodear TheHacker 6.2.9.181 2008.01.05 W32/Behav-Heuristic-064 VBA32 3.12.2.5 2008.01.06 - VirusBuster 4.3.26:9 2008.01.06 - Webwasher-Gateway 6.6.2 2008.01.06 Win32.Malware.gen (suspicious) weitere Informationen File size: 700593 bytes MD5: 686f1f2fe57892968f6b80cece632b11 SHA1: a50cdbcc42da2e624b7d81323a3685c13734fc57 PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies packers: Themida Prevx info: 84637634.EXE - Prevx Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. Datei meta4.exe empfangen 2008.01.06 19:04:56 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/32 (12.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 41 und 59 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 - AntiVir 7.6.0.46 2008.01.06 - Authentium 4.93.8 2008.01.06 - Avast 4.7.1098.0 2008.01.06 - AVG 7.5.0.516 2008.01.06 - BitDefender 7.2 2008.01.06 - CAT-QuickHeal 9.00 2008.01.05 (Suspicious) - DNAScan ClamAV 0.91.2 2008.01.06 - DrWeb 4.44.0.09170 2008.01.06 - eSafe 7.0.15.0 2008.01.06 suspicious Trojan/Worm eTrust-Vet 31.3.5432 2008.01.04 - Ewido 4.0 2008.01.06 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 - F-Prot 4.4.2.54 2008.01.05 - F-Secure 6.70.13030.0 2008.01.05 - Ikarus T3.1.1.15 2008.01.06 - Kaspersky 7.0.0.125 2008.01.06 - McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 - NOD32v2 2767 2008.01.06 - Norman 5.80.02 2008.01.04 - Panda 9.0.0.4 2008.01.06 Suspicious file Prevx1 V2 2008.01.06 - Rising 20.25.62.00 2008.01.06 - Sophos 4.24.0 2008.01.06 - Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.06 - TheHacker 6.2.9.181 2008.01.05 - VBA32 3.12.2.5 2008.01.06 - VirusBuster 4.3.26:9 2008.01.06 - Webwasher-Gateway 6.6.2 2008.01.06 Win32.Malware.gen (suspicious) weitere Informationen File size: 217073 bytes MD5: fce9e5f5c7ce6d7b1ec49b5ce07070c9 SHA1: 2ca7b4304072b5a2634bae8dbb496ab2ebbc921a PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser packers: UPX packers: UPX packers: UPX Datei xmasbus.sys empfangen 2008.01.06 19:05:57 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 54 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 - AntiVir 7.6.0.46 2008.01.06 - Authentium 4.93.8 2008.01.06 - Avast 4.7.1098.0 2008.01.06 - AVG 7.5.0.516 2008.01.06 - BitDefender 7.2 2008.01.06 - CAT-QuickHeal 9.00 2008.01.05 - ClamAV 0.91.2 2008.01.06 - DrWeb 4.44.0.09170 2008.01.06 - eSafe 7.0.15.0 2008.01.06 - eTrust-Vet 31.3.5432 2008.01.04 - Ewido 4.0 2008.01.06 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 - F-Prot 4.4.2.54 2008.01.05 - F-Secure 6.70.13030.0 2008.01.05 - Ikarus T3.1.1.15 2008.01.06 - Kaspersky 7.0.0.125 2008.01.06 - McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 - NOD32v2 2767 2008.01.06 - Norman 5.80.02 2008.01.04 - Panda 9.0.0.4 2008.01.06 - Prevx1 V2 2008.01.06 - Rising 20.25.62.00 2008.01.06 - Sophos 4.24.0 2008.01.06 - Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.06 - TheHacker 6.2.9.181 2008.01.05 - VBA32 3.12.2.5 2008.01.06 - VirusBuster 4.3.26:9 2008.01.06 - Webwasher-Gateway 6.6.2 2008.01.06 - weitere Informationen File size: 140800 bytes MD5: ddd8286b88fe764ad2a8bd171e7b569a SHA1: c3fd9e7d0fce3d4de2c91a867853903d6bf4c900 PEiD: - Datei SSHDRV76.sys empfangen 2008.01.06 19:03:01 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 41 und 59 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 - AntiVir 7.6.0.46 2008.01.06 - Authentium 4.93.8 2008.01.06 - Avast 4.7.1098.0 2008.01.06 - AVG 7.5.0.516 2008.01.06 - BitDefender 7.2 2008.01.06 - CAT-QuickHeal 9.00 2008.01.05 - ClamAV 0.91.2 2008.01.06 - DrWeb 4.44.0.09170 2008.01.06 - eSafe 7.0.15.0 2008.01.06 Suspicious File eTrust-Vet 31.3.5432 2008.01.04 - Ewido 4.0 2008.01.06 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 - F-Prot 4.4.2.54 2008.01.05 - F-Secure 6.70.13030.0 2008.01.05 - Ikarus T3.1.1.15 2008.01.06 - Kaspersky 7.0.0.125 2008.01.06 - McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 - NOD32v2 2767 2008.01.06 - Norman 5.80.02 2008.01.04 - Panda 9.0.0.4 2008.01.06 - Prevx1 V2 2008.01.06 - Rising 20.25.62.00 2008.01.06 - Sophos 4.24.0 2008.01.06 - Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.06 - TheHacker 6.2.9.181 2008.01.05 - VBA32 3.12.2.5 2008.01.06 - VirusBuster 4.3.26:9 2008.01.06 - Webwasher-Gateway 6.6.2 2008.01.06 - weitere Informationen File size: 53760 bytes MD5: ef3504dd32e2ea222be0cbc9a0895f89 SHA1: 045ca007add445fffae37e589e645888c5815948 PEiD: PKLITE32 1.1 -> PKWARE Inc. packers: PKLite32 packers: PKLite32 So hier bitteschön. Macht mich ein wenig traurig, dass Avira Antivir die hldrrr.exe nicht entdeckt hat. Kann mir irgendjemand einen besseren Antivir empfehlen, der eine sehr hohe Trefferquote aufweisen kann? Gruß User0815 edit: Sehe gerade, dass es hier so dargestellt wird, als ob ich die überprüfungen nicht komplett abgewartet habe. Dies kann ich jedoch für alle Dateien verneinen. |
|
06.01.2008, 19:41
| #15 |
| Administrator > Competence Manager | Bitte um Überprüfung meines HijackThis-Logs Blacklight scannen lassen -Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. -Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. -Klick "I accept the agreement", "next", "Scan". -Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern, poste dieses Log! |
|
| Themen zu Bitte um Überprüfung meines HijackThis-Logs |
| .com, ad-aware, adobe, antivir, appinit_dlls, avira, babylon, bho, desktop, dll, downloader, einstellungen, explorer, firefox, hijack, internet, internet explorer, monitor, mozilla, mozilla firefox, mssql, remote control, rundll, server, software, symantec, system, unbemerkt, virus, windows, windows xp |
Linear-Darstellung
