Bitte um Überprüfung meines HijackThis-Logs

User0815 · 06.01.2008, 16:44

Hi,

ich hatte gestern einen Virenbefall mit folgenden Viren:

hldrrr.exe
8676828.exe
wintems.exe
srosa.sys
152031.exe

nach einem etwas längerem Kampf ist es mir gelungen diese Viren zu entfernen. Da aber zuvor die hldrrr.exe von mir unbemerkt ca. 10 min munter aus dem Internet Daten empfangen hat (max. Download: 45 kb/s max. Upload 9 kb/s) möchte ich sichergehen, dass der Virenbefall gänzlich bezwungen wurde.

Daher bitte ich euch das Hijackthislogfile bitte anzusehen.

Logfile of HijackThis v1.99.1
Scan saved at 16:03:49, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\progra~1\crawler\notes\cnotes.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Eumex 504PC SE\Capictrl.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Gemeinsame Dateien\L&H Shared\PCMM RealSpeak V1\RSSVR10.EXE
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w**.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:120
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CrawlerNotes] c:\progra~1\crawler\notes\cnotes.exe /notesshow
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Diese Seite in Firefox öffnen - file://C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\96pegi7m.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Link-Ziel in Firefox öffnen - file://C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\96pegi7m.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F869417-113F-470A-BC53-9AFE37BAD430}: NameServer = 155.155.155.10
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Programme\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - C:\Programme\Symantec\Ghost\ngserver.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Falls noch ein Virus übrig sein sollte wäre es nett, wenn mir jemand dies mitteilen könnte.

Gruß

User0815

**Sunny** · 06.01.2008, 16:49

Hallo 0815 ..

mach bitte folgendes:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*

Gruß

Sunny

User0815 · 06.01.2008, 17:14

Hi,

vielen Dank für die schnelle Antwort.

Habe leider ein Problem: Beim Starten von ComboFix bekomme ich den Fehler: Pfad\Combofix.exe ist keine zulässige Win32-Anwendung.

Verzeichnis von C:\

06.01.2008 15:15 805.306.368 pagefile.sys
05.01.2008 17:56 211 boot.ini

Verzeichnis von C:\WINDOWS\system32

06.01.2008 15:22 1 vga32cpi.dll
06.01.2008 15:16 55.082 vsconfig.xml
06.01.2008 15:14 427.795 oodbs.lor
06.01.2008 01:05 4.212 zllictbl.dat
05.01.2008 17:47 5.364 ban_list.txt
30.12.2007 12:08 2.206 wpa.dbl
28.12.2007 10:47 449.114 perfh009.dat
28.12.2007 10:47 80.658 perfc009.dat
28.12.2007 10:47 473.952 perfh007.dat
28.12.2007 10:47 99.514 perfc007.dat
28.12.2007 10:47 1.118.632 PerfStringBackup.INI
27.12.2007 00:29 5.686 jupdate-1.6.0_03-b05.log
26.12.2007 15:08 57 ws.js
23.12.2007 10:50 64.512 shdocvw.oca
03.12.2007 06:28 333.872 FNTCACHE.DAT

Verzeichnis von C:\WINDOWS

06.01.2008 15:25 1.287 IE4 Error Log.txt
06.01.2008 15:16 0 0.log
06.01.2008 15:15 159 wiadebug.log
06.01.2008 15:15 50 wiaservc.log
06.01.2008 15:15 2.048 bootstat.dat
06.01.2008 12:39 32.626 SchedLgU.Txt
06.01.2008 12:39 1.476.713 WindowsUpdate.log
05.01.2008 17:56 227 system.ini
05.01.2008 17:56 802 win.ini
05.01.2008 17:16 85 vbaddin.ini
05.01.2008 15:19 477.345 setupapi.log
04.01.2008 15:22 373.256 DirectX.log
01.01.2008 23:49 202 NeroDigital.ini
01.01.2008 22:07 13.211 wmsetup.log
31.12.2007 13:18 403 clickEXE.INI
24.12.2007 16:44 2.695 CDPLAYER.INI
02.12.2007 19:26 251.799 ntdtcsetup.log

Verzeichnis von C:\WINDOWS\Prefetch

06.01.2008 16:58 12.812 FIND.EXE-0EC32F1E.pf
06.01.2008 16:58 12.632 CMD.EXE-087B4001.pf
06.01.2008 16:58 49.030 WINRAR.EXE-3588DFE8.pf
06.01.2008 16:57 112.402 UNLOCKER.EXE-2F8FAED1.pf
06.01.2008 16:57 105.404 IMAPI.EXE-0BF740A4.pf
06.01.2008 16:57 102.686 EXPLORER.EXE-082F38A9.pf
06.01.2008 16:57 16.226 VERCLSID.EXE-3667BD89.pf
06.01.2008 16:55 62.726 MSPAINT.EXE-11CBB631.pf
06.01.2008 16:53 23.324 TASKMGR.EXE-20256C55.pf
06.01.2008 16:50 103.862 NOTEPAD.EXE-336351A9.pf
06.01.2008 16:09 99.410 WINWORD.EXE-259486DA.pf
06.01.2008 16:09 64.418 OUTLOOK.EXE-22C5790A.pf
06.01.2008 16:03 18.100 HIJACKTHIS.EXE-1FCD5C5D.pf
06.01.2008 15:44 98.420 FIREFOX.EXE-1D57670A.pf
06.01.2008 15:39 48.340 AVSCAN.EXE-0D0CD933.pf
06.01.2008 15:38 56.436 AVCENTER.EXE-324B1681.pf
06.01.2008 15:37 78.334 AVCONFIG.EXE-2E17BE74.pf
06.01.2008 15:35 27.812 AUTORUNSC.EXE-14D1931A.pf
06.01.2008 15:33 49.218 AUTORUNS.EXE-30A4A08D.pf
06.01.2008 15:31 48.304 UPDCLIENT.EXE-215FC96B.pf
06.01.2008 15:29 42.810 REGSUPREMEPRO.EXE-1E3C60A8.pf
06.01.2008 15:29 23.066 REGCLEANR.EXE-10DDC304.pf
06.01.2008 15:29 16.282 REGSUPREME.EXE-04F1D989.pf
06.01.2008 15:25 57.936 ACRORD32INFO.EXE-19D979CC.pf
06.01.2008 15:25 17.074 REGSVR32.EXE-25EEFE2F.pf
06.01.2008 15:23 75.022 SVCHOST.EXE-3530F672.pf
06.01.2008 15:23 16.474 _IU14D2N.TMP-218F931C.pf
06.01.2008 15:23 17.044 UNINS000.EXE-30978DB4.pf
06.01.2008 15:23 17.206 WDFSCTL.EXE-13124935.pf
06.01.2008 15:20 111.268 ICQ.EXE-3425F561.pf
06.01.2008 15:16 119.036 TOR.EXE-2C8A76BE.pf
06.01.2008 15:16 29.726 RSSVR10.EXE-3AC5FF65.pf
06.01.2008 15:16 23.212 GUARDGUI.EXE-3AFB6D88.pf
06.01.2008 15:16 15.800 PRIVOXY.EXE-2BF26DF6.pf
06.01.2008 15:16 10.926 VIDALIA.EXE-1D356F0B.pf
06.01.2008 15:16 12.472 CAPICTRL.EXE-210F2F5D.pf
06.01.2008 15:16 44.522 CNOTES.EXE-233B906F.pf
06.01.2008 15:16 1.478.824 NTOSBOOT-B00DFAAD.pf
06.01.2008 12:36 49.582 NLCLIENT.EXE-2D20CC93.pf
06.01.2008 12:36 22.454 LOGONUI.EXE-0AF22957.pf
06.01.2008 12:30 61.004 WMPLAYER.EXE-0996933A.pf
06.01.2008 03:08 94.638 DFRGNTFS.EXE-269967DF.pf
06.01.2008 03:08 21.630 DEFRAG.EXE-273F131E.pf
06.01.2008 03:08 348.794 Layout.ini
06.01.2008 02:46 33.174 AD-AWARE2007.EXE-1AE91ED3.pf
06.01.2008 02:44 27.886 AAWLIC.EXE-05B527BB.pf
06.01.2008 02:44 30.964 AAWSERVICE.EXE-10F504AB.pf
06.01.2008 02:44 66.600 MSIEXEC.EXE-2F8A8CAE.pf
06.01.2008 02:43 49.338 AAW2007.EXE-1039FDB3.pf
06.01.2008 02:43 19.812 CLEARPROG.EXE-1934C98F.pf
06.01.2008 02:42 17.722 RUNDLL32.EXE-29ACD517.pf
06.01.2008 02:42 41.950 RUNDLL32.EXE-3910966A.pf
06.01.2008 01:04 36.648 VSMON.EXE-1609C098.pf
05.01.2008 17:56 33.532 WMIPRVSE.EXE-28F301A9.pf
05.01.2008 15:36 92.250 IEXPLORE.EXE-2CA9778D.pf
05.01.2008 15:35 20.810 RUNDLL32.EXE-268BFF96.pf
05.01.2008 15:18 13.624 RUNDLL32.EXE-451FC2C0.pf
05.01.2008 15:14 20.450 REALSCHED.EXE-0A2A7558.pf
04.01.2008 21:01 16.984 ALG.EXE-0F138680.pf
04.01.2008 12:56 29.132 WDFMGR.EXE-2CF4013B.pf
03.01.2008 23:07 82.118 ACRORD32.EXE-153330F0.pf
03.01.2008 14:42 56.336 ORBITDM.EXE-32B5C4F2.pf
28.12.2007 10:47 58.214 WMIADAP.EXE-2DF425B2.pf

Verzeichnis von C:\WINDOWS\tasks

06.01.2008 15:15 6 SA.DAT
04.12.2006 17:34 228 AppleSoftwareUpdate.job

Verzeichnis von C:\WINDOWS\temp

06.01.2008 15:15 256 ZLT00d7b.TMP
06.01.2008 15:15 256 ZLT00d75.TMP
04.01.2008 13:30 256 ZLT020dd.TMP
04.01.2008 13:30 256 ZLT020a6.TMP
30.12.2007 20:58 256 ZLT070d8.TMP
30.12.2007 20:58 256 ZLT070d1.TMP
30.12.2007 12:25 256 ZLT06897.TMP
30.12.2007 12:25 256 ZLT06891.TMP
30.12.2007 12:09 256 ZLT07857.TMP
30.12.2007 12:09 256 ZLT05bf3.TMP
23.12.2007 10:23 256 ZLT067c9.TMP
17.12.2007 08:24 256 ZLT0386f.TMP
17.12.2007 08:24 256 ZLT03868.TMP
12.12.2007 12:00 256 ZLT05670.TMP
12.12.2007 12:00 256 ZLT0566d.TMP
21.11.2007 11:19 256 ZLT04ed7.TMP

erzeichnis von C:\DOKUME~1\thiemo\LOKALE~1\Temp

06.01.2008 16:58 148.244 filelist.txt
06.01.2008 16:45 4.286 xprt17fc.ico
06.01.2008 15:20 4.459 jusched.log
06.01.2008 15:20 0 JET82E3.tmp
05.01.2008 17:36 671.148 _iu14D2N.tmp
05.01.2008 17:17 4.286 xprt449e.ico
05.01.2008 17:16 4.286 xprt51db.ico
05.01.2008 16:53 4.286 xprt297e.ico
05.01.2008 16:52 4.286 xprt6bab.ico
05.01.2008 15:39 144 wecerr.txt
05.01.2008 15:30 4.286 xprt6e7d.ico
05.01.2008 15:23 4.286 xprt0f9f.ico
04.01.2008 15:22 228 _isdelet.ini
03.01.2008 23:49 4.286 xprt2571.ico
03.01.2008 23:49 4.286 xprt425b.ico
03.01.2008 23:44 4.286 xprt1464.ico
03.01.2008 23:44 4.286 xprt1149.ico
03.01.2008 23:44 4.286 xprt475d.ico
03.01.2008 23:42 4.286 xprt2c2d.ico
03.01.2008 23:32 4.286 xprt08dd.ico
03.01.2008 22:56 4.286 xprt635a.ico
03.01.2008 22:19 4.286 xprt4734.ico
03.01.2008 20:23 32.768 ~DF2D82.tmp
03.01.2008 18:45 4.286 xprt6257.ico
03.01.2008 16:43 4.286 xprt150d.ico
03.01.2008 16:19 4.286 xprt2949.ico
03.01.2008 16:17 4.286 xprt5e44.ico
02.01.2008 17:49 99 D653F3EC.TMP
02.01.2008 16:52 4.286 xprt378e.ico
02.01.2008 16:45 4.286 xprt7c71.ico
02.01.2008 16:42 4.286 xprt34b2.ico
02.01.2008 16:40 4.286 xprt4aaf.ico
02.01.2008 15:26 4.286 xprt47cd.ico
02.01.2008 15:25 4.286 xprt4054.ico
02.01.2008 15:25 4.286 xprt5017.ico
02.01.2008 15:24 4.286 xprt74ff.ico
02.01.2008 14:54 4.286 xprt2c15.ico
02.01.2008 14:49 4.286 xprt74cf.ico
02.01.2008 14:48 4.286 xprt5917.ico
02.01.2008 14:33 4.286 xprt114b.ico
02.01.2008 00:20 4.286 xprt5654.ico
02.01.2008 00:18 902 TWAIN.LOG
02.01.2008 00:18 5 Twain001.Mtx
02.01.2008 00:18 156 Twunk001.MTX
02.01.2008 00:17 4.286 xprt25fc.ico
01.01.2008 23:33 4.286 xprt0255.ico
01.01.2008 22:41 4.286 xprt2795.ico
01.01.2008 22:37 4.286 xprt71c1.ico
01.01.2008 22:34 4.286 xprt3b45.ico
01.01.2008 22:33 4.286 xprt7294.ico
01.01.2008 22:07 12.818 control.xml
01.01.2008 21:54 4.286 xprt52e4.ico
01.01.2008 21:53 4.286 xprt64da.ico
01.01.2008 21:47 4.286 xprt1ed1.ico
01.01.2008 18:54 4.286 xprt2963.ico
01.01.2008 18:51 4.286 xprt1272.ico
01.01.2008 18:40 4.286 xprt22e5.ico
01.01.2008 18:32 4.286 xprt7501.ico
01.01.2008 18:21 4.286 xprt62f1.ico
01.01.2008 18:16 4.286 xprt7f65.ico
01.01.2008 18:14 4.286 xprt5979.ico
01.01.2008 18:12 4.286 xprt1519.ico
01.01.2008 18:09 4.286 xprt76d6.ico
01.01.2008 18:08 4.286 xprt528b.ico
01.01.2008 17:19 4.286 xprt3b80.ico
01.01.2008 17:18 4.286 xprt5f1d.ico
01.01.2008 17:17 4.286 xprt2709.ico
01.01.2008 15:47 4.286 xprt6338.ico
01.01.2008 15:20 4.286 xprt2940.ico
01.01.2008 15:15 4.286 xprt50ff.ico
01.01.2008 14:54 4.286 xprt5d87.ico
01.01.2008 14:47 4.286 xprt3aba.ico
01.01.2008 14:43 4.286 xprt38ec.ico
31.12.2007 17:02 4.286 xprt7b50.ico
30.12.2007 13:28 0 CacheInfo.dnl
30.12.2007 12:35 4.286 xprt2271.ico
30.12.2007 12:33 4.286 xprt4b90.ico
30.12.2007 12:33 4.286 xprt581c.ico
30.12.2007 12:26 24.576 JETF78A.tmp
30.12.2007 01:39 367.625 wtpmdua9.exe
29.12.2007 21:57 4.286 xprt2994.ico
29.12.2007 20:03 4.286 xprt51cc.ico
29.12.2007 19:42 28.672 AD.tmp
29.12.2007 19:41 1.980 AC.tmp
29.12.2007 19:40 1.980 AB.tmp
29.12.2007 19:40 1.980 AA.tmp
29.12.2007 13:28 16.384 ~DFC727.tmp
28.12.2007 16:10 4.286 xprt4c4f.ico
28.12.2007 13:10 337 TEMP0267.dbf
28.12.2007 13:10 3.072 TEMP0267.cdx
28.12.2007 13:10 337 TEMP1720.dbf
28.12.2007 13:10 3.072 TEMP1720.cdx
28.12.2007 13:10 337 TEMP0142.dbf
28.12.2007 13:10 3.072 TEMP0142.cdx
28.12.2007 13:07 3.072 TEMP8283.cdx
28.12.2007 13:07 3.072 TEMP8314.cdx
28.12.2007 13:07 337 TEMP0408.dbf
28.12.2007 13:07 337 TEMP8314.dbf
28.12.2007 13:07 337 TEMP8283.dbf
28.12.2007 13:07 3.072 TEMP0408.cdx
28.12.2007 12:27 2.126.437 buar0klm.jpg
27.12.2007 14:24 4.286 xprt0f17.ico
27.12.2007 14:22 4.286 xprt7bfb.ico
27.12.2007 00:29 2.580 java_install_reg.log
27.12.2007 00:28 0 java_install.log
27.12.2007 00:23 1.199 jinstall.cfg
26.12.2007 22:02 4.286 xprt29e8.ico
26.12.2007 22:00 4.286 xprt2022.ico
26.12.2007 21:48 250 Thumbs.html
26.12.2007 21:46 907 video.html
26.12.2007 21:41 16.384 ~DF998F.tmp
26.12.2007 21:36 16.384 ~DF976B.tmp
26.12.2007 21:34 16.384 ~DF56E6.tmp
26.12.2007 21:32 16.384 ~DF94CA.tmp
26.12.2007 14:55 4.286 xprt41bf.ico
26.12.2007 14:54 4.286 xprt12b8.ico
26.12.2007 14:54 4.286 xprt4cd0.ico
26.12.2007 14:54 4.286 xprt0754.ico
26.12.2007 14:36 4.286 xprt1a9c.ico
26.12.2007 14:35 4.286 xprt2a7b.ico
26.12.2007 14:34 4.286 xprt1119.ico
25.12.2007 14:07 4.286 xprt2878.ico
25.12.2007 13:30 4.286 xprt24bc.ico
24.12.2007 12:31 4.286 xprt365e.ico
24.12.2007 12:31 56.858 pf787178085.tmp
24.12.2007 12:30 114.366 pf3758867599.tmp
24.12.2007 12:25 4.286 xprt536c.ico
24.12.2007 12:24 114.238 pf3758867598.tmp
24.12.2007 12:19 422.247 pf2496387719.tmp
24.12.2007 12:18 4.286 xprt14ec.ico
23.12.2007 23:07 4.286 xprt351f.ico
23.12.2007 13:35 4.286 xprt4f26.ico
20.12.2007 21:05 886 3692F464.TMP
18.12.2007 19:24 4.286 xprt0c3c.ico
18.12.2007 18:49 4.286 xprt56d2.ico
18.12.2007 18:49 4.286 xprt1461.ico
18.12.2007 18:47 4.286 xprt2c24.ico
18.12.2007 17:45 4.286 xprt6c0d.ico
18.12.2007 17:41 4.286 xprt13dc.ico
18.12.2007 14:26 4.286 xprt2a02.ico
15.12.2007 19:48 4.286 xprt0ba4.ico
15.12.2007 19:47 4.286 xprt1a61.ico
15.12.2007 19:36 4.286 xprt605b.ico
15.12.2007 19:29 4.286 xprt38a3.ico
15.12.2007 13:54 4.286 xprt65f4.ico
15.12.2007 13:52 4.286 xprt3f48.ico
15.12.2007 13:50 4.286 xprt0664.ico
14.12.2007 16:48 22.130 rk8cjkvl.zip
14.12.2007 16:30 4.286 xprt5083.ico
12.12.2007 17:45 4.286 xprt05c9.ico
12.12.2007 12:01 45.056 JET7D6.tmp
11.12.2007 16:23 0 h2r14.tmp
11.12.2007 16:23 174 r2h13.tmp
11.12.2007 15:45 21.504 Xl0000000.xls
11.12.2007 15:44 4.286 xprt3c80.ico
11.12.2007 15:44 4.286 xprt1dcf.ico
10.12.2007 19:28 4.286 xprt30d1.ico
10.12.2007 19:28 4.286 xprt4d80.ico
10.12.2007 17:23 4.286 xprt4ef0.ico
10.12.2007 17:17 4.286 xprt181e.ico
10.12.2007 17:11 4.286 xprt7d10.ico
09.12.2007 22:09 4.286 xprt6ba8.ico
09.12.2007 11:51 4.286 xprt4cc8.ico
09.12.2007 10:50 4.286 xprt6638.ico
09.12.2007 10:49 4.286 xprt62b6.ico
09.12.2007 10:45 4.286 xprt7245.ico
06.12.2007 16:46 0 0fl10.tmp
06.12.2007 16:45 0 hieF.tmp
06.12.2007 16:44 0 as2D.tmp
06.12.2007 16:33 0 mzrA.tmp
06.12.2007 16:31 0 b3m9.tmp
06.12.2007 16:28 0 3hu5.tmp
06.12.2007 16:27 0 97b4.tmp
06.12.2007 16:22 0 lh22.tmp

Gruß

User0815

**Sunny** · 06.01.2008, 17:21

lösche die combofix.exe, und versuche sie nochmal neu herunter zu laden, von hier:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

User0815 · 06.01.2008, 17:46

Hi,

dieses Mal scheint die das Tool wenigstens ausführbar zu sein, jedoch befinde ich mich in einer Endlosschleife zwischen restart des Programms und dieser Meldung: (Anhang)

Gruß

User0815

**Sunny** · 06.01.2008, 17:56

komisch, das scheint wirklich an der Malware im System zu liegen.

Versuch mal noch folgendes:

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

06.01.2008, 17:21	#4
Sunny Administrator > Competence Manager	Bitte um Überprüfung meines HijackThis-Logs lösche die combofix.exe, und versuche sie nochmal neu herunter zu laden, von hier: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Bitte um Überprüfung meines HijackThis-Logs

Log-Analyse und Auswertung: Bitte um Überprüfung meines HijackThis-Logs