Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Jetzt hat's mich auch erwischt (Newbie)!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.01.2008, 21:44   #1
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo zusammen,

vorgestern bekam ich von der Freundin meiner Frau den "tollen Tip", auf www.bigrradio.com zu surfen, um mir dort einen Heavy Metal Internet Radio Sender anzuhören. Kaum war ich über IE 6.0 hingesurft, spielte mein Spybot S&D verrückt. Da wollte sich irgendwas in die Registry einhacken. Irgendwie hängte sich Spybot dann auf, nachdem er zigmal eine Registrierdatenbank-Änderung blockiert hatte. Ich hab den Radio Scheiss dann sein lassen, aber dann feststellen müssen, dass, egal wo ich hinsurfe, immer auf so ne Quasi-Porno Seite umgeleitet werde. Also Spybot S&D an den Start gebracht und tatsächlich: Hat sich doch so'n Drecksack (Zlob.DNSRedirecter.rtk) eingenistet. Nach Recherche im Netz hab ich rausgefunden, dass das Reparieren mit Spybot den Kerl nicht wirklich vernichtet. Ich hab dann dieses Tool Fixwareout benutzt. Es hat in seiner Logfile auch das removal bestätigt. Ich als Sicherheitsfanatiker nochmal Ad-Aware und Spybot drüberlaufen lassen, Systemwiederherstellung aus, Teatimer und Avira abgeschaltet und nochmal Fixwareout laufenlassen (zur Sicherheit), Wiederherstellung, Spybot und Avira wieder an und rebootet. Scheint tatsächlich weg zu sein. Zur Überprüfung möchte ich hier trotzdem einige Logfiles posten, damit mir hier jemand bestätigen kann, dass auch wirklich alles wieder im Lot ist.

Hier die ersten Logfiles von Spybot S&D:

07.01.2008 22:46:06 - ##### check started #####
07.01.2008 22:46:06 - ### Version: 1.5
07.01.2008 22:46:06 - ### Date: 07.01.2008 22:46:06
07.01.2008 22:46:07 - ##### checking bots #####
07.01.2008 23:13:56 - found: Zlob.DNSChanger.Rtk Einstellungen
07.01.2008 23:17:14 - ##### check finished #####

--- Report generated: 2008-01-07 23:17 ---

Zlob.DNSChanger.Rtk: [SBI $FE3023DF] Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System=...KDJYC.EXE...


--- Spybot - Search & Destroy version: 1.5 (build: 20070830) ---

2007-08-31 blindman.exe (1.0.0.6)
2007-08-31 SDMain.exe (1.0.0.4)
2007-08-31 SDUpdate.exe (1.0.6.4)
2007-08-31 SDWinSec.exe (1.0.0.8)
2007-08-31 SpybotSD.exe (1.5.1.15)
2007-08-31 TeaTimer.exe (1.5.0.9)
2007-12-30 unins000.exe (51.46.0.0)
2007-08-31 Update.exe (1.4.0.5)
2007-08-31 advcheck.dll (1.5.3.0)
2007-04-02 aports.dll (2.1.0.0)
2007-04-02 DelZip179.dll (1.79.5.3)
2007-08-31 SDHelper.dll (1.5.0.8)
2007-08-31 Tools.dll (2.1.2.0)
2008-01-02 Includes\Cookies.sbi (*)
2007-12-26 Includes\Dialer.sbi (*)
2008-01-02 Includes\DialerC.sbi (*)
2007-12-26 Includes\Hijackers.sbi (*)
2008-01-02 Includes\HijackersC.sbi (*)
2007-10-04 Includes\Keyloggers.sbi (*)
2008-01-02 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-11-07 Includes\Malware.sbi (*)
2008-01-02 Includes\MalwareC.sbi (*)
2007-10-24 Includes\PUPS.sbi (*)
2008-01-02 Includes\PUPSC.sbi (*)
2008-01-02 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2008-01-02 Includes\SecurityC.sbi (*)
2007-11-07 Includes\Spybots.sbi (*)
2008-01-02 Includes\SpybotsC.sbi (*)
2007-11-06 Includes\Tracks.uti
2007-12-12 Includes\Trojans.sbi (*)
2008-01-02 Includes\TrojansC.sbi (*)
2008-12-24 Plugins\TCPIPAddress.dll

Hier ist die zweite Report File von Fixwareout (leider speichert Fixwareout wohl nur die aktuelle File, sodass ich nicht die File posten kann in der man definitiv das Entfernen der Malware sehen kann). Aber hier ist kein Schädling mehr zu sehen:

Username "***" - 09.01.2008 14:01:29 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="\"C:\\Programme\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe\""
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"LGODDFU"="C:\\Programme\\lg_fwupdate\\fwupdate.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_02\\bin\\jusched.exe\""
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Zu guter Letzt habe ich noch eine HJS Logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 20:58:08, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Ontrack\Internet Cleanup\onictask.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Outlook Express\msimn.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.178.1;fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Cleanup.lnk = C:\Programme\Ontrack\Internet Cleanup\onictask.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://ca.com/us/securityadvisor/pestscan/pestscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{391564FB-9919-44A7-B1F9-A81B9C60A073}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{39601294-455A-442B-A6BE-8741951D2EC1}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{56728645-0B06-40BF-87C6-CC72B9BFF85F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE1C87BE-9BF6-4126-8160-EED8815A9EBB}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{391564FB-9919-44A7-B1F9-A81B9C60A073}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{391564FB-9919-44A7-B1F9-A81B9C60A073}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ich hoffe es kann mir jemand sagen, ob mein System jetzt wieder clean ist.

Was mich natürlich auch interessiert ist: wie konnte dieses "Miststück" an Spybot vorbeikommen? Der hat die Malware ja vor dem "Einnisten" entdeckt.

In diesem Zusammenhang interessiert mich natürlich auch ob diese Radio URL viren und bot verseucht war und wie ich mich beim Radiohören per Internet vor so was schützen kann?

Hat jemand schon definitiv von einer Infizierung von www.bigrradio.com gehört?

Vielen Dank im voraus.

Gruss,

HRR

Alt 11.01.2008, 09:05   #2
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo, kann wirklich niemand etwas hierzu sagen?? So viele Leute haben meinen Beitrag angeschaut und keiner weiss was?

HRR
__________________


Alt 11.01.2008, 19:55   #3
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Ich bin jetzt echt etwas enttäuscht, dass hier niemand etwas zu meinem Problem zu sagen hat. Ist das hier nicht ein Hilfe-Forum?

HRR
__________________

Alt 11.01.2008, 20:22   #4
nochdigger
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo

Zitat:
Ich bin jetzt echt etwas enttäuscht, dass hier niemand etwas zu meinem Problem zu sagen hat. Ist das hier nicht ein Hilfe-Forum?
Es ist ein Hilfeforum, aber Antworten muss dir niemand.
Alle Helfer versuchen ausschließlich in ihrer Freizeit hier zu helfen.


Zitat:
OrgName: Freedom Networks LLC
OrgID: FNL-6
Address: 50 Freemont St.
Address: 16 Floor
City: San Francisco
StateProv: CA
PostalCode: 94105
Country: US
Sitzt du in den USA oder ist dein Internetanbierter dort beheimatet?
Vermutlich nicht...


Führe bitte folgende Anleitungen durch

Mach zuerst bitte alle versteckten Dateien und Ordner sichtbar.

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Lass diese Datei
KDJYC.EXE <-- muss gesucht werden
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.


MFG

Alt 11.01.2008, 22:36   #5
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



@nochdigger, sorry aber wenn man sieht, dass 10 posts, die nach einem eingestellt wurden, bereits beantwortet wurden, kann man schon mal das Gefühl bekommen, ignoriert zu werden.

Hier also die logs:

FSBL Status: Scan complete, No hidden items found

01/11/08 21:51:35 [Info]: BlackLight Engine 1.0.67 initialized
01/11/08 21:51:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/08 21:51:36 [Note]: 7019 4
01/11/08 21:51:36 [Note]: 7005 0
01/11/08 21:51:39 [Note]: 7006 0
01/11/08 21:51:39 [Note]: 7011 1464
01/11/08 21:51:39 [Note]: 7026 0
01/11/08 21:51:39 [Note]: 7026 0
01/11/08 21:51:41 [Note]: FSRAW library version 1.7.1024
01/11/08 21:53:02 [Note]: 7007 0

Hier die Combofix Log file:

ComboFix 08-01-11.1 - HRR 2008-01-11 22:01:58.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.479 [GMT 1:00]
ausgeführt von:: C:\TEMP\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\Quarantine

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-11 bis 2008-01-11 ))))))))))))))))))))))))))))))
.

2008-01-11 22:01 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-11 21:44 . 2008-01-11 21:59 1,498,272 --a------ C:\TEMP\ComboFix.exe
2008-01-11 21:44 . 2008-01-11 21:41 916,072 --a------ C:\TEMP\fsbl.exe
2008-01-04 23:24 . 2008-01-04 23:24 <DIR> d-------- C:\Programme\FSAutoStart
2008-01-04 23:24 . 2008-01-04 23:26 <DIR> d-------- C:\Dokumente und Einstellungen\HRR\Anwendungsdaten\FSAutoStart
2008-01-04 23:23 . 2008-01-04 23:23 <DIR> d-------- C:\TEMP\FS
2007-12-31 15:51 . 2001-08-17 14:02 8,576 --a------ C:\WINDOWS\system32\drivers\hidgame.sys
2007-12-31 01:49 . 2007-12-31 01:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2007-12-30 19:10 . 2007-12-30 20:17 <DIR> d-------- C:\Programme\rFactor
2007-12-30 18:15 . 2007-12-30 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-30 15:27 . 2007-12-17 13:53 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2007-12-30 15:26 . 2007-12-30 15:26 <DIR> d-------- C:\NVIDIA
2007-12-30 15:26 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 18:23 --------- d-----w C:\Programme\lg_fwupdate
2008-01-09 22:55 --------- d-----w C:\Dokumente und Einstellungen\HRR\Anwendungsdaten\FRITZ!
2008-01-06 21:18 --------- d-----w C:\Programme\Paint Shop Pro 6
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-12-05 00:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-12-05 00:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-12-05 00:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-05 00:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-12-05 00:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-12-05 00:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-05 00:41 1,073,152 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-12-05 00:41 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-12-01 10:15 --------- d-----w C:\Programme\Hentrich-Software
2007-12-01 10:15 --------- d-----w C:\Dokumente und Einstellungen\HRR\Anwendungsdaten\NettoPro
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 19:24 32768]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2006-11-02 07:55 1397760]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2005-04-12 09:11 229376]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-01-26 17:07 5529600]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-01-26 17:07 86016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 15:13 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

C:\Dokumente und Einstellungen\HRR\Startmen\Programme\Autostart\
Cleanup.lnk - C:\Programme\Ontrack\Internet Cleanup\onictask.exe [2007-07-15 17:32:15]
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-07-15 19:57:44]
Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [1996-12-13 23:00:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-07-15 14:39:02]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 00:48:20]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-22 23:01:50]
Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe [2007-07-15 15:02:04]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-07-15 19:57:45]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]

R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 10:35]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 15:15]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 10:35]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-11 22:03:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-11 22:03:55
ComboFix-quarantined-files.txt 2008-01-11 21:03:47


Zu diesem Punkt hab ich noch Frage:


"Lass diese Datei
KDJYC.EXE <-- muss gesucht werden
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde."


In welchem Verzeichnis muss ich suchen? Was sind MD5 und SHA1 Angaben?

Übrigens, bei der Windows Suche wurde die Datei KDJYC.EXE nicht gefunden.

Wo hast Du denn diese Adresse aus San Francisco gefunden?? Steht die iregndwo in der HJT File?

Ich sag mal Danke zwischendurch.

HRR


Alt 11.01.2008, 23:49   #6
nochdigger
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo

Zitat:
sorry aber wenn man sieht, dass 10 posts, die nach einem eingestellt wurden, bereits beantwortet wurden, kann man schon mal das Gefühl bekommen, ignoriert zu werden.
Ignoriert bestimmt nicht, aber evtl. hatten die Leute die deinen Betrag gelesen haben keine Lösung/Erklärung parat
Mal drüber nachgedacht?


Zitat:
Aber hier ist kein Schädling mehr zu sehen:
hatte Fixwareout denn etwas gefunden?

Wie bist du auf Fixwareout gekommen?

Wo wurde der Zlob gefunden (Pfad/Dateiname)?



Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)



MFG

Alt 12.01.2008, 14:34   #7
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hi,

ja, Fixwareout hatte die KDJYC.EXE gefunden und entfernt. Die war glaube ich hier drin: HKLM\SOFTWARE\~\Winlogon\ "system"="" und zwar zwischen den leeren Anführungszeichen.

Fixwareout hatte ich durch Internet Recherche bzgl. Zlob Removal gefunden.

Spybot S&D hatte dann Zlob.DNSredirecter.rtk gefunden und entfernt.

Wo hattest Du denn nun diese Adresse aus USA entdeckt? Ich kann sie in keinem Logfile sehen.

So, und hier die Logfiles von Silent Runners und eScan (zumindest eScan hat noch einiges entdeckt):

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RemoteControl" = ""C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Nero AG"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"LGODDFU" = "C:\Programme\lg_fwupdate\fwupdate.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete"
-> {HKLM...CLSID} = "IE Microsoft AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler"
-> {HKLM...CLSID} = "Corel Media Folder Root Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler"
-> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {HKLM...CLSID} = "Corel Media Folder"
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {HKLM...CLSID} = "Corel Media Folder"
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder"
-> {HKLM...CLSID} = "Corel Media Find Folder"
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler"
-> {HKLM...CLSID} = "Corel Media Folder Copy Hook Handler"
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CNSFlt80.dll" [null data]
"{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CNSFlt80.dll" [null data]
"{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"]
"{E0D79300-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]
"{E0D79301-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]
"{E0D79302-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{DA1C42F5-6985-4FA1-8FB0-51B62547AB54}" = "WISE-FTP 4 Verbindungen"
-> {HKLM...CLSID} = "WISE-FTP 4 Verbindungen"
\InProcServer32\(Default) = "C:\WINDOWS\system32\we4.dll" ["AceBIT GmbH"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\PDFShell.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}"
-> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Startup items in "***" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
"Cleanup" -> shortcut to: "C:\Programme\Ontrack\Internet Cleanup\onictask.exe /s" ["Ontrack Data International"]
"FRITZ!DSL Protect" -> shortcut to: "C:\Programme\FRITZ!DSL\FwebProt.exe" ["AVM Berlin"]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe" ["Adobe Systems Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Adobe Reader Synchronizer" -> shortcut to: "C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe" [null data]
"Corel MEDIA FOLDERS INDEXER 8" -> shortcut to: "C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe " ["Corel Corporation"]
"FRITZ!DSL Startcenter" -> shortcut to: "C:\Programme\FRITZ!DSL\StCenter.exe" ["AVM Berlin"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\FRITZ!DSL\sarah.dll" ["AVM Berlin"]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\FRITZ!DSL\sarah.dll ["AVM Berlin"], 01 - 03, 23
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Nero AG"]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor PIXMA iP3000\Driver = "CNMLM61.DLL" ["CANON INC."]
PDF Port\Driver = "C:\WINDOWS\system32\pdfports.dll" ["Adobe Systems Incorporated."]


---------- (launch time: 2008-01-12 11:34:29)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 21 seconds.
---------- (total run time: 104 seconds)


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/12/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei F:\System Volume Information\_restore{7BDA0033-00BE-4B16-9CC4-3B7747B20435}\RP2\A0000061.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei I:\Eigene Dateien\Downloads\Foghat.exe//WISE0019.BIN//data0001.cab/VVSN.exe infiziert von "Trojan-Dropper.Win32.Agent.ay" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei I:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei I:\WINDOWS\TEMP\Norton Anti-Virus 2004\NAV\EXTERNAL\NORTON\NAVAPW32.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File I:\Eigene Dateien\Downloads\dgt.exe//data0005 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
I:\Papyrus\NASCAR Racing 2003 Season\NR2003.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Eigene Dateien\Downloads\RStudio-Demo-Deutsch.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Eigene Dateien\Downloads\Transam\NR2003.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Programme\Ontrack\SystemSuite\mxcwvi.mxd nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\WINDOWS\SYSTEM\gif89.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\WINDOWS\SYSTEM\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\CW\ENGLISH\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\CW\JAPANESE\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\PR2\PRART.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\WIA625\CANON CAMERA WIA DRIVER.MSI nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\ZOOMBRSR\ENGLISH\ZBPSDK.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 132932
Gefundene Viren: 7
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 184
Dauer des Scans bisher: 02:17:36
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:09:58,70
Batchende: 14:10:09,00


Cheers,

HRR

Alt 12.01.2008, 16:29   #8
nochdigger
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo

Zitat:
Wo hattest Du denn nun diese Adresse aus USA entdeckt? Ich kann sie in keinem Logfile sehen.
Ich hab hier heise Netze - Netzwerk-Tools - Whois eine WhoIs Abfrage gestartet anhand der Einträge in deinem Log
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{391564FB-9919-44A7-B1F9-A81B9C60A073}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{39601294-455A-442B-A6BE-8741951D2EC1}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{56728645-0B06-40BF-87C6-CC72B9BFF85F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE1C87BE-9BF6-4126-8160-EED8815A9EBB}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{391564FB-9919-44A7-B1F9-A81B9C60A073}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{391564FB-9919-44A7-B1F9-A81B9C60A073}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
Zitat:
ja, Fixwareout hatte die KDJYC.EXE gefunden und entfernt. Die war glaube ich hier drin: HKLM\SOFTWARE\~\Winlogon\ "system"="" und zwar zwischen den leeren Anführungszeichen.
Gut, ich laub ich habe gestern Abend nicht mehr ganz geradeaus schauen können


Lass bitte diese Datei
I:\Eigene Dateien\Downloads\Foghat.exe
bei einer der oben Verlinkten Adressen (Virustotal usw.) überprüfen und poste das Ergebnis

Deaktiviere bitte die Systemwiederherstellung


DNS-Einträge entfernen:


Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)


Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\....: NameServer = 208.67.220.220,208.67.222.222 aus dem Logfile suchen!
Beende HijackThis und führe einen Neustart durch, die Systemwiederherstellung kann wieder aktiviert werden.


Erstelle bitte ein frisches HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.


MFG

Alt 12.01.2008, 17:21   #9
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



So, hier als allererstes die Logfile für Foghat.exe. Ich erinnere mich dass das ein Desktop Theme war, das ich mal runtergeladen habe. Die File kann ich eh löschen, wenn nötig.

Ah ja, die Logfile ist angehängt (auf 2 jpgs).

HRR
Miniaturansicht angehängter Grafiken
Jetzt hat's mich auch erwischt (Newbie)!-virus-total-foghat1.jpg   Jetzt hat's mich auch erwischt (Newbie)!-virus-total-foghat2.jpg  

Alt 12.01.2008, 17:31   #10
nochdigger
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo

Zitat:
Die File kann ich eh löschen, wenn nötig.
Ja bitte, das ist Spyware des Zeugs wollen wir nicht mehr haben.

MFG

Alt 12.01.2008, 17:44   #11
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Alles klar,wird gelöscht.

Hier die HJT Logfile nach dem fixen der DNS Einträge. Eins kann ich jetzt schon sagen, wenn ich jetzt Fritz.box im Browser eingebe, komme ich auch wieder auf die Fritzbox Oberfläche. Vorher wurde ich zu www.openDNS.com "umgeleitet".

Logfile of HijackThis v1.99.1
Scan saved at 17:36:49, on 12.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Ontrack\Internet Cleanup\onictask.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\TEMP\Antivirus tools\ABC.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.178.1;fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Cleanup.lnk = C:\Programme\Ontrack\Internet Cleanup\onictask.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://ca.com/us/securityadvisor/pestscan/pestscan.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Laut eScan wurden 7 Viren entdeckt. Was ist mit denen?

HRR

Alt 12.01.2008, 18:08   #12
nochdigger
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo

Zitat:
wenn ich jetzt Fritz.box im Browser eingebe, komme ich auch wieder auf die Fritzbox Oberfläche.
Hört sich gut an

Zitat:
Laut eScan wurden 7 Viren entdeckt. Was ist mit denen?
Jupp da fehlt noch was
Zitat:
I:\Eigene Dateien\Downloads\dgt.exe
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swsc.exe
löschen dann sollten alle "Funde" beseitigt sein, wenn du Fixwareout auch gelöscht hast.

Etwas Arbeit für dich zum Schluss
-Änderung aller Pass- und Kennwörter
-deinstalliere Acrobat Reader 8.0 und die Steinzeitversion 5.0
-deinstalliere alle alten Javaversionen diese beinhalten gefährliche Lücken auch deine augenblickliche Version 1.6.0_02
Lade dir von hier die aktuellen Versionen
Download der Java-Software von Sun Microsystems
Adobe - Adobe Reader herunterladen - Alle Versionen

Besuche bitte die M$ Updateseite
Microsoft Windows Update
und lade dir den InternetExplorer 7 er gehört zum Betriebssystem dazu und muss aktuell gehalten werden.

Zum Abschluß würde ich Spybot S&D sowie Adaware übers System schicken das ganze am Besten im abgesicherten Modus.

Ich hoffe ich habe nix mehr übersehen und kann dich hiermit entlassen.


MFG

Alt 12.01.2008, 18:38   #13
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Kurze Zwischenfrage. Meinst Du ich soll die Fixwareout.exe löschen?

Noch was, die diverse Scanprogramme haben Daten bei mir auf der Festplatte hinterlassen. Kann ich dies Ordner (incl. Daten) auch wieder löschen?

HRR

Alt 12.01.2008, 18:58   #14
nochdigger
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



Hallo

Zitat:
Meinst Du ich soll die Fixwareout.exe löschen?
Wenn sie wieder benötigt würde (ich hoff ja nicht), kann man sie sich als aktuelle Version besorgen.

Zitat:
die diverse Scanprogramme haben Daten bei mir auf der Festplatte hinterlassen. Kann ich dies Ordner (incl. Daten) auch wieder löschen?
Klar raus mit den Müll, man sollte installierte Programme deinstallieren nicht einfach löschen.

MFG

Alt 12.01.2008, 19:22   #15
HRR
 
Jetzt hat's mich auch erwischt (Newbie)! - Standard

Jetzt hat's mich auch erwischt (Newbie)!



OK,

fixwareout, Adobe reader8.0, und Java sowie die drei .exe files gelöscht. Auch die Datenreste der diversen Scans. Natürlich deinstalliere ich Software. Die angesprochen files sind aber nur Daten. Wenn Du mir einen guten freeware pdf. creator empfehlen kannst, kann ich acrobat 5.0 auch löschen.

Die Updates mache ich morgen. Und die Passwörter werden auch geändert. Danach scanne ich die Kiste nochmal. Einige Malware wurde aber weder von Spybot noch von Ad-Aware gefunden, wohl aber von den Programmen, die Du mir genannt hast. Wie kann ich also sicher sein, dass alles OK ist?

HRR

Antwort

Themen zu Jetzt hat's mich auch erwischt (Newbie)!
ad-aware, adobe, antivir, avira, bho, blockiert, ctfmon.exe, cyberlink, dsl, einstellungen, ellung, entfernen, explorer, hijackthis, internet, internet explorer, jusched.exe, letzt, logfile, nvidia, outlook express, pdf, programme, registry, rundll, schädling, sender, software, solution, temp, unknown file in winsock lsp, viren, windows, windows xp




Ähnliche Themen: Jetzt hat's mich auch erwischt (Newbie)!


  1. Interpol Trojaner, jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 05.02.2014 (5)
  2. Auch mich hat es erwischt.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (26)
  3. GVU Trojaner hat mich jetzt erwischt, was tun?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (3)
  4. GVU - hat mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 18.12.2012 (7)
  5. Jetzt hat's mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (14)
  6. Jetzt hats mich auch erwischt...Trojaner und sonstiger Besuch :-(
    Plagegeister aller Art und deren Bekämpfung - 24.03.2008 (5)
  7. Jetzt hat es mich erwischt. Aber warum?
    Log-Analyse und Auswertung - 22.01.2007 (17)
  8. Jetzt hat`s mich also auch erwischt...
    Log-Analyse und Auswertung - 10.01.2006 (9)
  9. Jetzt hats mich auch erwischt
    Log-Analyse und Auswertung - 27.10.2005 (9)
  10. Mist, jetzt hat es mich auch erwischt.
    Log-Analyse und Auswertung - 07.04.2005 (10)
  11. mich hatts jetzt auch erwischt in Berlin
    Log-Analyse und Auswertung - 08.02.2005 (1)
  12. bitte um hilfe jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 24.12.2004 (8)
  13. jetzt hat es mich ebenfalls erwischt !!
    Log-Analyse und Auswertung - 21.12.2004 (2)
  14. Jetzt hat es mich wohl auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (2)
  15. Auch mich hat es erwischt !
    Log-Analyse und Auswertung - 07.11.2004 (3)
  16. Mich hat´s jetzt auch erwischt...
    Log-Analyse und Auswertung - 18.08.2004 (2)
  17. Jetzt hat es mich auch erwischt.Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 06.10.2003 (7)

Zum Thema Jetzt hat's mich auch erwischt (Newbie)! - Hallo zusammen, vorgestern bekam ich von der Freundin meiner Frau den "tollen Tip", auf www.bigrradio.com zu surfen, um mir dort einen Heavy Metal Internet Radio Sender anzuhören. Kaum war ich - Jetzt hat's mich auch erwischt (Newbie)!...
Archiv
Du betrachtest: Jetzt hat's mich auch erwischt (Newbie)! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.