| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.01.2008, 12:58
| #1 |
 |  Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. Hallo zusammen, ich benötige mal eure kompetente Hilfe! Ich habe heute einen E-Scan gemacht, weil mein Rechner ziemlich langsam geworden ist. Nun habe ich einen Haufen Viren- und Fehlermeldungen vom E-Scan erhalten und mittlerweile weiß ich mir nicht mehr zu helfen, wie ich diese Meldungen entfernen kann. Ich habe eine Online HijackThis Auswertung gemacht und konnte nichts auffälliges feststellen (ok ich bin auch ein Laie  ) ich poste es hier auch nochmal. An der Stelle ist mein Latein zu Ende und mir fehlen einfach die erforderlichen Kenntnisse und Google hilft mir leider auch nicht weiter...ich würde mich sehr über eure Hilfe freuen. Solltet Ihr noch irgendwelche Informationen benötigen reiche ich diese gerne nach. Wäre schon mal interessant ob ich das System neu aufsetzen muss oder ob es noch andere Möglichkeiten zur Entfernung gibt.....vorab vielen dank für eure Mühe...  Ach ja, nicht wundern warum ich so viele Viren- und AntiSpyware-Programme drauf habe....die habe ich mir teils zu Testzwecken vorhin runter gezogen um eventuell einiges zu löschen ..ich werde die meisten Programme wieder deinstallieren...bringt nichts....ich denke ich habe mir irgendwie über Msn die Viren/Trojaner eingefangen...was sagt ihr? HijackThis Logfileauswertung Logfile of HijackThis v1.99.1 Scan saved at 10:08:38, on 24.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\BillP Studios\WinPatrol\winpatrol.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\a-squared Anti-Dialer\a2service.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\locator.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\System32\alg.exe C:\DOKUME~1\****\LOKALE~1\Temp\mexe.com C:\DOKUME~1\****\LOKALE~1\Temp\ScanningProcess.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\****\Desktop\This.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [WinPatrol] "C:\Programme\BillP Studios\WinPatrol\winpatrol.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60 O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe Hier der e-Scan Log----- den gefundenen trojan-downloader.bat.ftp, swreg.exe und swsc.exe habe ich schon versucht zu löschen kommt aber immer wieder auch wenn ich die Systemwiederherstellung aus- und wieder anschalte. Den Wert von backdoor (ircbot) trojans habe ich versucht zu löschen kommt allerdings auch wieder.... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.9 Sprache: German Virus-Datenbank Datum: 1/24/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/noclosedragdropbands)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk Offending file found: C:\Dokumente und Einstellungen\****\Desktop\internet.lnk ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 114832 Gefundene Viren: 11 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 59 Dauer des Scans bisher: 01:54:15 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 10:52:24,93 Batchende: 10:53:08,17 |
|
24.01.2008, 13:18
| #2 |
  |  Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. Hi,
__________________wir schwingen mal die Keule: Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. und SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Danach ein neues HL-Log gemäß Signatur; nenne HJ.exe vorher auf test.com um... chris
__________________ |
|
24.01.2008, 14:53
| #3 | |
| | Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. Super danke für die schnelle Antwort
__________________ Als ich CompoFix das erste mal gestartet habe hat sich mein PC aufgehängt obwohl ich nichts während des Scans gemacht habe...beim 2. mal hat es geklappt nur eine Log Datei hat sich nicht geöffnet ich habe nur eine Textdatei im ComboFix Ordner gefunden ich hoffe das ist die Datei die du brauchst??? Ich poste sie mal: ComboFix 08-01-23.2 - **** 2008-01-24 13:50:36.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.96 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\Fonts\acrsec.fon C:\WINDOWS\Fonts\acrsecB.fon C:\WINDOWS\Fonts\acrsecI.fon C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((( Dateien erstellt von 2007-12-24 bis 2008-01-24 )))))))))))))))))))))))))))))) . 2008-01-24 13:32 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-24 10:47 . 2008-01-24 10:47 0 --a------ C:\23990098.$$$ 2008-01-21 09:07 . 2008-01-24 05:56 <DIR> d-------- C:\Programme\**************** 2008-01-21 09:01 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-21 09:01 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-18 16:05 . 2008-01-18 16:06 10,240 --a------ C:\WINDOWS\ZFALTTSP835.DB 2008-01-18 15:26 . 2005-06-15 04:44 25,088 -ra------ C:\WINDOWS\system32\drivers\FINGER835K.sys 2008-01-18 10:01 . 2008-01-18 10:01 <DIR> d-------- C:\Programme\FPSoftware 2008-01-18 10:01 . 2008-01-18 15:59 118,784 --a------ C:\WINDOWS\system32\FAGINA.DLL 2008-01-18 10:01 . 2008-01-18 15:59 36,864 --a------ C:\WINDOWS\TASKKEYHOOK.DLL 2008-01-12 15:01 . 2008-01-15 16:07 95 --a------ C:\WINDOWS\winamp.ini 2008-01-12 10:50 . 2008-01-12 10:50 <DIR> d-------- C:\found.006 2008-01-10 12:20 . 2008-01-10 12:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-10 12:20 . 2008-01-10 12:20 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-08 14:12 . 2002-06-30 21:04 593,920 --a------ C:\WINDOWS\system32\LXAZSUI.DLL 2008-01-08 14:12 . 2002-06-30 21:09 79,360 --a------ C:\WINDOWS\system32\LXAZSLM.DLL 2008-01-08 13:03 . 2002-08-15 06:26 886,272 --a------ C:\WINDOWS\system32\LXSUPMON.EXE 2008-01-08 13:03 . 1997-04-08 20:08 299,520 --a------ C:\WINDOWS\uninst.exe 2008-01-08 13:03 . 2002-08-15 06:26 299,008 --a------ C:\WINDOWS\system32\LEXBCES.EXE 2008-01-08 13:03 . 2002-08-15 06:26 278,528 --a------ C:\WINDOWS\system32\lxazcomm.dll 2008-01-08 13:03 . 2002-08-15 06:26 73,728 --a------ C:\WINDOWS\system32\lxazpwr.dll 2008-01-08 13:03 . 2002-08-15 06:26 62,464 --a------ C:\WINDOWS\system32\LXSUPMON.DLL 2008-01-08 13:03 . 2002-08-15 06:26 45,056 --a------ C:\WINDOWS\system32\LXSMUNIN.EXE 2008-01-08 13:03 . 2002-08-15 06:26 32,256 --a------ C:\WINDOWS\system32\LXSMUNIN.DLL 2008-01-08 13:03 . 2002-08-15 06:26 14,521 --a------ C:\WINDOWS\system32\LXSUPMON.HLP 2008-01-08 13:02 . 2008-01-08 13:24 <DIR> d-------- C:\lexmark 2008-01-08 02:16 . 2008-01-08 02:16 630,784 --a------ C:\WINDOWS\system32\divxdec.ax 2008-01-07 19:59 . 2008-01-08 12:06 <DIR> d-------- C:\LXKZ45 2008-01-07 18:37 . 2008-01-08 15:28 <DIR> d-------- C:\found.005 2008-01-04 22:59 . 2008-01-04 22:59 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2008-01-04 22:59 . 2008-01-04 22:59 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm 2008-01-04 22:59 . 2008-01-04 22:59 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb 2008-01-04 22:58 . 2008-01-04 22:58 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2008-01-04 22:58 . 2008-01-04 22:58 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2008-01-04 22:58 . 2008-01-04 22:58 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-01-04 22:56 . 2008-01-04 22:56 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2008-01-04 22:56 . 2008-01-04 22:56 8,523 --a------ C:\WINDOWS\system32\dpude.qm 2008-01-04 22:56 . 2008-01-04 22:56 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm 2008-01-03 18:36 . 2008-01-24 05:41 <DIR> d-------- C:\Programme\Spyware Doctor 2008-01-03 18:36 . 2008-01-03 18:38 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-01-03 18:36 . 2008-01-03 18:38 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-01-03 18:36 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-01-03 18:36 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-01-03 15:35 . 2008-01-03 15:35 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-01-02 15:40 . 2008-01-02 15:40 <DIR> d-------- C:\Programme\Windows Defender 2008-01-02 15:36 . 2008-01-02 15:36 <DIR> d-------- C:\Programme\Microsoft Silverlight 2008-01-02 00:58 . 2008-01-02 00:58 <DIR> d-------- C:\Programme\Smart PC Solutions 2008-01-02 00:16 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll 2008-01-02 00:16 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll 2008-01-02 00:16 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll 2008-01-02 00:16 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll 2008-01-02 00:14 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2008-01-02 00:13 . 2008-01-02 00:14 <DIR> d-------- C:\WINDOWS\msdownld.tmp 2008-01-02 00:07 . 2008-01-02 00:07 <DIR> d-------- C:\Programme\Microsoft Baseline Security Analyzer 2 2008-01-01 23:35 . 2008-01-01 23:35 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys 2008-01-01 23:34 . 2008-01-24 08:42 <DIR> d-------- C:\Programme\WinClamAVShield 2008-01-01 23:28 . 2008-01-06 15:20 <DIR> d-------- C:\Programme\Crawler 2008-01-01 23:27 . 2008-01-24 08:42 <DIR> d-------- C:\Programme\Spyware Terminator 2007-12-26 17:49 . 2007-12-26 17:49 <DIR> d-------- C:\Programme\Ashampoo 2007-12-26 17:18 . 2007-12-26 17:18 <DIR> d-------- C:\Programme\PCPitstop 2007-12-26 15:29 . 2007-12-26 17:53 <DIR> d-------- C:\found.004 2007-12-26 15:20 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-25 18:31 . 2007-10-12 02:56 490,776 --a------ C:\WINDOWS\system32\drivers\LV561AV.SYS 2007-12-25 18:31 . 2007-10-12 02:57 195,096 --a------ C:\WINDOWS\system32\lvci1150.dll 2007-12-25 18:29 . 2007-12-25 18:29 <DIR> d-------- C:\Programme\Logitech 2007-12-25 17:14 . 2007-12-25 18:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\logishrd 2007-12-25 17:14 . 2007-10-12 03:00 490,008 --a------ C:\WINDOWS\system32\LVUI2.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-24 12:00 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-01-24 04:33 --------- d-----w C:\Programme\ClearProg 2008-01-22 14:20 --------- d---a-w C:\Programme\MSN Messenger 2008-01-21 08:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-12 14:01 --------- d-----w C:\Programme\Winamp 2008-01-10 17:17 --------- d-----w C:\Programme\DivX 2008-01-09 14:57 --------- d-----w C:\Programme\a-squared Free 2008-01-08 11:05 --------- d-----w C:\Programme\TweakPower 2008-01-08 11:05 --------- d-----w C:\Programme\a-squared Anti-Dialer 2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll 2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2008-01-02 15:09 --------- d-----w C:\Programme\Windows Live Toolbar 2008-01-01 22:58 --------- d-----w C:\Programme\PestPatrol 2007-12-26 12:40 --------- d-----w C:\Programme\Windows Media Connect 2 2007-12-22 16:27 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-11 17:05 --------- d-----w C:\Programme\Windows Live Safety Center 2007-12-10 13:54 --------- d-----w C:\Programme\xp-AntiSpy 2007-12-10 13:43 --------- d-----w C:\Programme\MMH Cleaner 2.1 2007-12-10 13:21 23,552 ----a-w C:\WINDOWS\system32\CtfmonRemover.exe 2007-12-09 20:57 --------- d-----w C:\Programme\Lavasoft 2007-11-25 20:37 --------- d-----w C:\Programme\DIFX 2007-11-07 09:49 734,720 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll 2007-04-26 20:41 774,144 ----a-w C:\Programme\RngInterstitial.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "****************"="C:\Programme\****************\****************.exe" [2007-06-21 14:06 1318912] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-12-17 17:13 3810544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312] "WinPatrol"="C:\Programme\BillP Studios\WinPatrol\winpatrol.exe" [2007-09-23 18:30 292152] "Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-26 21:32 185896] "SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-01-01 23:30 2834432] "SpybotSnD"="C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" [2005-05-31 00:04 4393096] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 14:02 249896] "a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2007-12-19 19:18 1321472] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] C:\Dokumente und Einstellungen\****\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-04-24 09:31:31 917504] FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-04-24 09:31:31 679936] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoBandCustomize"= 0 (0x0) "NoMovingBands"= 0 (0x0) "NoCloseDragDropBands"= 0 (0x0) "NoPrinterSharingControl"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programme\****************\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\****************\SASWINLO.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Picasa Media Detector"=C:\Programme\Picasa2\PicasaMediaDetector.exe "FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe "nwiz"=nwiz.exe /install "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "WinampAgent"="C:\Programme\Winamp\Winampa.exe" R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 09:41] R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-01-01 23:35] R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2007-12-19 19:17] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 09:41] S3 FINGER835K;Sunplus USB Fingerprint ;C:\WINDOWS\system32\Drivers\FINGER835K.sys [2005-06-15 04:44] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 12:26] . Inhalt des "geplante Tasks" Ordners "2008-01-18 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-01-24 12:50:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" ist das richtig????? Zitat:
|
|
24.01.2008, 14:54
| #4 | |
| | Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. Hier kommt die Log vom Silent Runner "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "****************" = "C:\Programme\****************\****************.exe" ["****************.com"] "SpybotSD TeaTimer" = ""C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"" ["Safer Networking Limited"] "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."] "WinPatrol" = ""C:\Programme\BillP Studios\WinPatrol\winpatrol.exe"" ["BillP Studios"] "Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "SpywareTerminator" = ""C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"" ["Crawler.com"] "SpybotSnD" = ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"" ["Safer Networking Limited"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "a-squared Anti-Dialer" = ""C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60" ["a-squared"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Shell Extension" -> {HKLM...CLSID} = "a-squared Free Shell Extension" \InProcServer32\(Default) = "C:\Programme\a-squared Free\a2freecontmenu.dll" ["Emsi Software GmbH"] "{BD88A479-9623-4897-8546-BC62B9628F44}" = "SPTHandler" -> {HKLM...CLSID} = "SPTHandler" \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."] <<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware" -> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook" \InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk /r \??\C::"|"autocheck autochk *"| [file not found] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> !SASWinLogon\DLLName = "C:\Programme\****************\SASWINLO.dll" ["****************.com"] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}" -> {HKLM...CLSID} = "SPTHandler" \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"] TPWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "TPWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\TPWiper.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."] TPWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "TPWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\TPWiper.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ a-squared Free Shell Extension\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}" -> {HKLM...CLSID} = "a-squared Free Shell Extension" \InProcServer32\(Default) = "C:\Programme\a-squared Free\a2freecontmenu.dll" ["Emsi Software GmbH"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}" -> {HKLM...CLSID} = "SPTHandler" \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"] TPWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "TPWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\TPWiper.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ a-squared Free Shell Extension\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}" -> {HKLM...CLSID} = "a-squared Free Shell Extension" \InProcServer32\(Default) = "C:\Programme\a-squared Free\a2freecontmenu.dll" ["Emsi Software GmbH"] SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}" -> {HKLM...CLSID} = "SPTHandler" \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoToolbarsOnTaskbar" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoSetTaskbar" = (REG_DWORD) dword:0x00000000 {Prevent changes to Taskbar and Start Menu Settings} "NoBandCustomize" = (REG_DWORD) dword:0x00000000 {Disable customizing browser toolbars} "NoMovingBands" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoCloseDragDropBands" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoPrinterSharingControl" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoNetHood" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoNetConnectDisconnect" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoNetworkConnections" = (REG_DWORD) dword:0x00000000 {Remove Network Connections from Start Menu} "ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} "VerboseStatus" = (REG_DWORD) dword:0x00000001 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "****" & "All Users" startup folders: ---------------------------------------------------------- C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart "FRITZ!DSL Protect" -> shortcut to: "C:\Programme\FRITZ!DSL\FwebProt.exe" ["AVM Berlin"] "FRITZ!DSL Startcenter" -> shortcut to: "C:\Programme\FRITZ!DSL\StCenter.exe" ["AVM Berlin"] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" [file not found] "Auf Updates für Windows Live Toolbar prüfen" -> launches: "C:\Programme\Windows Live Toolbar\MSNTBUP.EXE" [MS] "MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS] "Spybot - Search & Destroy - Scheduled Task" -> launches: "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe /AUTOCHECK" ["Safer Networking Limited"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = (no title provided) -> {HKLM...CLSID} = "Windows Live Toolbar" \InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ {0E921E80-267A-42AA-AEE4-60B9A1222A44}\ "ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen" "MenuText" = "Unterstützung für xp-AntiSpy" "Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data] HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {85D1F590-48F4-11D9-9669-0800200C9A66}\ "MenuText" = "Uninstall BitDefender Online Scanner v8" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ a-squared Anti-Dialer Service, a2AntiDialer, ""C:\Programme\a-squared Anti-Dialer\a2service.exe"" ["Emsi Software GmbH"] a-squared Free Service, a2free, ""C:\Programme\a-squared Free\a2service.exe"" ["Emsi Software GmbH"] AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."] AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"] ForceWare Intelligent Application Manager (IAM), ForceWare Intelligent Application Manager (IAM), "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe" [empty string] ForceWare IP service, nSvcIp, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe" ["NVIDIA"] ForceWare user log service, nSvcLog, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe" ["NVIDIA"] Forceware Web Interface, ForcewareWebInterface, ""C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice" ["Apache Software Foundation"] LVCOMSer, LVCOMSer, ""C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe"" ["Logitech Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Process Monitor, LVPrcSrv, ""C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe"" ["Logitech Inc."] Spyware Terminator Realtime Shield Service, sp_rssrv, ""C:\Programme\Spyware Terminator\sp_rsser.exe"" ["Crawler.com"] Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"] Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] Lexmark Z45 Color Jetprinter LangMon\Driver = "LXAZSLM.DLL" ["Lexmark"] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] PDF995 Monitor\Driver = "pdfmon.dll" [null data] Redirected Port\Driver = "redmonnt.dll" [null data] ---------- (launch time: 2008-01-24 14:03:50) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 38 seconds, including 4 seconds for message boxes) Ich bin mir echt nicht sicher, ob ich das jetzt richtig gemacht habe??? Kannst du mir kurz sagen was du mit: Danach ein neues HL-Log gemäß Signatur; nenne HJ.exe vorher auf test.com um... meinst? ein neues Hijack Log?????? dank dir für deine Mühe...  Zitat:
|
|
24.01.2008, 23:47
| #5 |
| | Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. und hier der neue HijackThis Logfile... freue mich auf Antwort wie ich jetzt nach ComboFix und Silent Runner (hoffe die Auswertungen habe ich richtig reingestellt??) weiter vorgehen soll / kann..dank euch  Logfile of HijackThis v1.99.1 Scan saved at 23:35, on 2008-01-24[/B][/COLOR] Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\a-squared Anti-Dialer\a2service.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\locator.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\WINDOWS\Explorer.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\BillP Studios\WinPatrol\winpatrol.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\a-squared Anti-Dialer\a2adguard.exe C:\Programme\****************\****************.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\MSN Messenger\livecall.exe C:\Dokumente und Einstellungen\****\Desktop\Test.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [WinPatrol] "C:\Programme\BillP Studios\WinPatrol\winpatrol.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60 O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe |
|
25.01.2008, 07:57
| #6 | ||
| | Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. Hi, das HJ log sieht gut aus, eventuell folgenden Eintrag fixen: Hijackthis, fixen: Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!) Zitat:
Du hast sehr viele Scanner installiert, die stören sich gegenseitig und kosten Performance... Hast Du smithfraudfix installiert/mal laufen lassen? Normalerweise gehören diese Dateien dazu, falls nicht müssen wir diese Dateien prüfen lassen: C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\Process.exe Die hier kenne ich nicht: C:\WINDOWS\system32\FAGINA.DLL C:\WINDOWS\TASKKEYHOOK.DLL Online prüfen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat:
chris
__________________ --> Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. |
|
27.01.2008, 00:00
| #7 |
| | Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. Hi Chris, sorry habe irgendwie so blöde Arbeitszeiten das ich jetzt erst dazu kam, deine Tips ab zu arbeiten. Erstmal DANKE für deine Hilfe  Du hast Recht mit den vielen Scannern die werde ich auch noch runterschmeißen. Die habe ich mir vor kurzem alle runtergeladen in der Hoffnung, dass wenigsten ein Scanner mal die Dateien findet, die der E-Scan findet. Könntest du mir vielleicht einen Tip geben, welchen Scanner ich lieber runterschmeißen soll und welche lieber drauf bleiben sollten? Oder mit welchem Scanner du gute Erfahrungen gemacht hast?? Wenn du keinen Tip hast-auch nicht schlimm  1. Tea Timer von Spybot habe ich ausgemacht und O16 entfernen können hier der neue HJ Log: Logfile of HijackThis v1.99.1 Scan saved at 22:56, on 2008-01-26 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\BillP Studios\WinPatrol\winpatrol.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\a-squared Anti-Dialer\a2adguard.exe C:\Programme\****************\****************.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Dokumente und Einstellungen\****\Desktop\Enfernungs_Tools\Test.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [WinPatrol] "C:\Programme\BillP Studios\WinPatrol\winpatrol.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60 O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe 2. Ja ich hatte mal smithfraudfix scannen lassen hier die Ergebnisse von VirusTotal: Datei IEDFix.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.26.10 2008.01.25 - AntiVir 7.6.0.53 2008.01.25 - Authentium 4.93.8 2008.01.26 - Avast 4.7.1098.0 2008.01.26 - AVG 7.5.0.516 2008.01.26 - BitDefender 7.2 2008.01.26 - CAT-QuickHeal 9.00 2008.01.25 - ClamAV 0.91.2 2008.01.26 - DrWeb 4.44.0.09170 2008.01.26 - eSafe 7.0.15.0 2008.01.16 suspicious Trojan/Worm eTrust-Vet 31.3.5486 2008.01.26 - Ewido 4.0 2008.01.26 - FileAdvisor 1 2008.01.26 - Fortinet 3.14.0.0 2008.01.26 - F-Prot 4.4.2.54 2008.01.26 - F-Secure 6.70.13260.0 2008.01.26 - Ikarus T3.1.1.20 2008.01.26 - Kaspersky 7.0.0.125 2008.01.26 - McAfee 5216 2008.01.26 - Microsoft 1.3109 2008.01.26 - NOD32v2 2824 2008.01.26 - Norman 5.80.02 2008.01.24 - Panda 9.0.0.4 2008.01.26 - Prevx1 V2 2008.01.26 - Rising 20.28.52.00 2008.01.26 - Sophos 4.25.0 2008.01.26 - Sunbelt 2.2.907.0 2008.01.25 - Symantec 10 2008.01.26 - TheHacker 6.2.9.199 2008.01.26 - VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.26 - Webwasher-Gateway 6.6.2 2008.01.26 - weitere Informationen File size: 81920 bytes MD5: b7b7014cea17fd66a9b28bdac421c87f SHA1: 6bd204036d45730303fb14b6e4975db694076f4a PEiD: - packers: UPX packers: PE_Patch.UPX Datei Process.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.26.10 2008.01.25 Win-AppCare/PrcViewer.53248 AntiVir 7.6.0.53 2008.01.25 - Authentium 4.93.8 2008.01.26 - Avast 4.7.1098.0 2008.01.25 - AVG 7.5.0.516 2008.01.25 - BitDefender 7.2 2008.01.26 - CAT-QuickHeal 9.00 2008.01.25 - ClamAV 0.91.2 2008.01.26 - DrWeb 4.44.0.09170 2008.01.25 Tool.Prockill eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5486 2008.01.26 - Ewido 4.0 2008.01.25 - FileAdvisor 1 2008.01.26 Low threat detected Fortinet 3.14.0.0 2008.01.26 Misc/PrcViewer F-Prot 4.4.2.54 2008.01.25 - F-Secure 6.70.13260.0 2008.01.26 - Ikarus T3.1.1.20 2008.01.26 - Kaspersky 7.0.0.125 2008.01.26 - McAfee 5216 2008.01.26 potentially unwanted program PrcViewer Microsoft 1.3109 2008.01.26 - NOD32v2 2823 2008.01.25 Win32/PrcView Norman 5.80.02 2008.01.24 - Panda 9.0.0.4 2008.01.25 Application/Processor Prevx1 V2 2008.01.26 - Rising 20.28.50.00 2008.01.26 - Sophos 4.25.0 2008.01.26 - Sunbelt 2.2.907.0 2008.01.25 - Symantec 10 2008.01.26 - TheHacker 6.2.9.198 2008.01.25 Aplicacion/Processor.20 VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.25 - Webwasher-Gateway6.6.2 2008.01.26 - weitere Informationen File size: 53248 bytes MD5: 7397f6ee4a9601a123b645c0cd428017 SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0 PEiD: - Bit9 info: Bit9 FileAdvisor - Search Results mmmhhh das sieht schonmal nicht gut aus...oh oh der 2. Teil folgt |
|
27.01.2008, 00:44
| #8 | |
| |  Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc.Zitat:
C:\WINDOWS\system32\FAGINA.DLL Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.26.10 2008.01.25 - AntiVir 7.6.0.53 2008.01.25 - Authentium 4.93.8 2008.01.26 - Avast 4.7.1098.0 2008.01.26 - AVG 7.5.0.516 2008.01.26 - BitDefender 7.2 2008.01.26 - CAT-QuickHeal 9.00 2008.01.25 - ClamAV 0.91.2 2008.01.26 - DrWeb 4.44.0.09170 2008.01.26 - eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5486 2008.01.26 - Ewido 4.0 2008.01.26 - FileAdvisor 1 2008.01.27 - Fortinet 3.14.0.0 2008.01.26 - F-Prot 4.4.2.54 2008.01.26 - F-Secure 6.70.13260.0 2008.01.26 - Ikarus T3.1.1.20 2008.01.26 - Kaspersky 7.0.0.125 2008.01.26 - McAfee 5216 2008.01.26 - Microsoft 1.3109 2008.01.26 - NOD32v2 2824 2008.01.26 - Norman 5.80.02 2008.01.24 - Panda 9.0.0.4 2008.01.26 - Prevx1 V2 2008.01.27 - Rising 20.28.52.00 2008.01.26 - Sophos 4.25.0 2008.01.26 - Sunbelt 2.2.907.0 2008.01.25 - Symantec 10 2008.01.26 - TheHacker 6.2.9.199 2008.01.26 - VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.26 - Webwasher-Gateway 6.6.2 2008.01.27 - weitere Informationen File size: 118784 bytes MD5: 525ebfc37eeb05609d058389d11683e6 SHA1: a96fdd41aa0eb76ff7114e814722b58959d7e769 PEiD: Armadillo v1.xx - v2.xx C:\WINDOWS\TASKKEYHOOK.DLL Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.26.10 2008.01.25 - AntiVir 7.6.0.53 2008.01.25 - Authentium 4.93.8 2008.01.26 - Avast 4.7.1098.0 2008.01.26 - AVG 7.5.0.516 2008.01.26 - BitDefender 7.2 2008.01.26 - CAT-QuickHeal 9.00 2008.01.25 - ClamAV 0.91.2 2008.01.26 - DrWeb 4.44.0.09170 2008.01.26 - eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5486 2008.01.26 - Ewido 4.0 2008.01.26 - FileAdvisor 1 2008.01.27 - Fortinet 3.14.0.0 2008.01.26 - F-Prot 4.4.2.54 2008.01.26 - F-Secure 6.70.13260.0 2008.01.26 - Ikarus T3.1.1.20 2008.01.26 - Kaspersky 7.0.0.125 2008.01.27 - McAfee 5216 2008.01.26 - Microsoft 1.3109 2008.01.26 - NOD32v2 2824 2008.01.26 - Norman 5.80.02 2008.01.24 - Panda 9.0.0.4 2008.01.26 - Prevx1 V2 2008.01.27 - Rising 20.28.52.00 2008.01.26 - Sophos 4.25.0 2008.01.26 - Sunbelt 2.2.907.0 2008.01.25 - Symantec 10 2008.01.26 - TheHacker 6.2.9.199 2008.01.26 - VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.26 - Webwasher-Gateway 6.6.2 2008.01.27 - weitere Informationen File size: 36864 bytes MD5: 95d0cd05be18df107df3566f4119d0c3 SHA1: eb0964eac51748778ba453d128260107d87322f8 PEiD: Armadillo v1.xx - v2.xx Kann es vielleicht sein, dass mein Msn Messenger mit irgendwas verseucht ist?? Kannst du das erkennen? Ist nur so ein Verdacht weil ich vor kurzen öfters Schwierigkeiten mit dem Messi hatte. Der ist oft abgestürzt, meine Nachrichten kamen oft doppelt an etc.....wie gesagt ist nur eine Vermutung??? Diese Datei Process.exe kam mir schon sehr verdächtig vor habe diese auch schon versucht, vor einiger Zeit zu löschen aber wie du siehst ohne Erfolg..  Ich bin morgen bis ca. 11h on dann erst wieder spät Abends oder Mo. spät Abends... freue mich auf deine Antwort und hoffe das diese nicht zu negativ ausfällt und ich das alles ohne neu aufsetzen beheben kann ... Dank dir + einen schönen Abend... Grüße Virginia |
|
28.01.2008, 07:59
| #9 |
| | Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. Hi, Process.exe gehört zu smithfraudfix, kann daher gelöscht werden... Deinstalliere den Messanger und installiere ihn neu, dazwischen bitte den CCleaner ausführen. Ich würde AVG auf dem Rechner lassen und Antivir als Zweitscanner (bei Bedarf)... chris Ccleaner http://www.ccleaner.com/ccleaner-20 Downloaden und Register und Temp.-Verzeichnisse löschen lassen...
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
30.01.2008, 22:38
| #10 | |
| |  Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc.Zitat:
Hi Chris, uiuiu genau das wollte ich vermeiden den Msn Messi zu deinsatllieren, weil mir dann die ganzen schwer zusammen gesammelten Smileys futsch gehen. Aber was tut man nicht alles für einen sauberen Rechner. ich werde das gleich morgen früh machen und wenn ich die nächsten Tage ein bisschen Luft habe, lasse ich den E-scan nochmal drüber laufen um zu gucken, wie viel ich nun von dem bösen Zeug wegbekommen habe. Ich stelle das Resultat dann hier rein. Bis dahin bedanke ich mich erstmal für deine hilfreichen Tips und wünsche dir eine schöne Restwoche ;-) Grüße Virginia |
|
| Themen zu Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc. |
| antivir, application, avira, backdoor, bho, dateisystem, desktop, drivers, dsl, entfernen, festplatte, firefox, google, helfen, heulen, hijack, hijackthis, hosts-datei, immer wieder, internet, internet explorer, langsam, magix, maßnahme, mozilla, mozilla firefox, neu aufsetzen, object, pop-up-blocker, registry, security, server, software, spyware terminator, system, system neu, system neu aufsetzen, unknown file in winsock lsp, urlsearchhook, vielen dank, warum, windows, windows defender, windows xp, windows\system32\drivers |
Linear-Darstellung
