Auswertung meines HiJackThis Log-File

docsnyder · 18.02.2008, 19:54

Hallo zusammen,

meine Schwester hat sich auf ihrem Laptop etwas eingefangen. Da meine Schwester ned gerade ne Leuchte in Sachen Internet und PC ist, blieb die Drecksarbeit mal wieder an mir hängen. Hab etliche infizierte Dateien gefunden und hoffentlich auch beseitigt.
Hatte aber einige Probleme damit einen System Alert weg zu bekommen. Mit Hilfe des Tools Smitfraudfix ist der nun aber auch verschwunden.

Könntet ihr bitte mal meinen Hijack Log auswerten? Musste mich auch erstmal in das Thema Trojaner und co. einarbeiten und weiß natürlich nicht ob ich die Schädlinge beseitigen konnte!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:54, on 18.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\PCSYNC\QDCTRAY.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJack\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [ugac] "C:\PROGRA~2\GEMEIN~1\WINSEC~1\ugac.exe" -start
O4 - HKLM\..\Run: [bm] "C:\Programme\Gemeinsame Dateien\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com
O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PC sync Quick Data Copy.lnk = C:\PCSYNC\QDCTRAY.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Sitecom Wireless Utility.lnk = ?
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 5391 bytes

Wär euch echt dankbar wenn ihr mir helfen könntet!

Greetz doc

myrtille · 18.02.2008, 21:15

Hi,
das sind noch Überreste zu sehen.
Kannst du bitte das Smitfraudfixlog noch posten und eine Liste der Ordner im Ordner Programme beifügen.

Dafür bitte folgendes als list.bat abspeichern (dabei als Dateityp "alle Dateitypen" anwählen) und mit nem Doppelklick ausführen. Dann sollte sich ein Fenster mit der Liste öffnen.

Zitat:

@echo off
echo ------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

%temp%\listing.txt

lg myrtille

docsnyder · 20.02.2008, 18:43

Hallo,

Weiß nicht wie das gehen soll mit der Liste der Ordner. Kannst du mir das genauer erklären! Ich hoffe ihr könnt mir irgendwie weiterhelfen. in einem anderen Forum wurde mir gesagt, ich hätte einen Zlob und es hilft nur noch Format C:. Hoff es gibt doch ne andere Möglichkeit!

hier mal mein Smitfraudlog.

SmitFraudFix v2.290

Scan done at 18:17:56,73, 20.02.2008
Run from C:\Dokumente und Einstellungen\Ralf Wunderlich\Eigene Dateien\Download\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{31F428F4-A8F1-4AA4-94EA-3DDFA653D7A3}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3951FF1E-152A-4292-A4E5-92FC6FB5EDAD}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{31F428F4-A8F1-4AA4-94EA-3DDFA653D7A3}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3951FF1E-152A-4292-A4E5-92FC6FB5EDAD}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{31F428F4-A8F1-4AA4-94EA-3DDFA653D7A3}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3951FF1E-152A-4292-A4E5-92FC6FB5EDAD}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

myrtille · 20.02.2008, 19:01

Hi,
einfach einen Editor öffnen (zb notepad) und das dunkel unterlegte dort hinein kopieren, also das hier:

Zitat:

@echo off
echo ------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

%temp%\listing.txt

Dann beim Editor "speichern unter" anwählen und als Namen "list.bat" eingeben. Unter dem Namen ist ein Fenster, in dem du den Dateityp auswählen kannst. Dort "Alle Dateien" auswählen.
Dann in den Ordner gehen, in dem du die Datei gespeichert hast, Einen Doppelklick auf die list.bat machen, der Rest sollte von selbst geschehen.
Wenn ein Fenster aufgeht, den Inhalt abkopieren (Cursor in das Fenster setzen dann strg+a und strg+v drücken, dann hier in einer Antwort mit strg+v einfügen) und hier posten.
(noch unklar? Ich mach auch gerne Bilder.

Habs nicht so mit Worten, scheint mir.)

lg myrtille

docsnyder · 20.02.2008, 19:21

Super. war ja gar ned so kompliziert.

myrtille · 20.02.2008, 19:26

Danke

Könntest du dasselbe bitte nochmal mit folgendem Text machen:

Zitat:

@echo off
echo ------ PROGRAMS ---" >> %temp%\listing.txt
cd %commonfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

%temp%\listing.txt

Hast du bereits etwas von deinem Rechner gelöscht gehabt? Zb den AdvancedCleaner? Weißt du noch was Smitfraudfix gelöscht hatte?

docsnyder · 20.02.2008, 19:34

sorry.

hab nur avira drüber laufen lassen und avira hat angeblich 29 viren gefunden. Und dann halt noch smitfraud aber weiß nicht mehr was der gelöscht hat leider

Datentr„ger in Laufwerk C: ist 50_01_80
Volumeseriennummer: 7C5E-09E2

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist 50_01_80
Volumeseriennummer: 7C5E-09E2

Verzeichnis von C:\Programme

18.02.2008 19:17 <DIR> HiJack
18.02.2008 19:16 <DIR> ..
18.02.2008 19:16 <DIR> .
17.02.2008 22:58 <DIR> Gemeinsame Dateien
17.02.2008 20:05 <DIR> Avira
17.02.2008 18:53 <DIR> Sitecom
15.02.2008 08:24 <DIR> Outlook Express
15.02.2008 08:19 <DIR> Internet Explorer
14.02.2008 22:54 <DIR> InstallShield Installation Information
13.02.2008 19:03 <DIR> Adobe
05.02.2008 18:58 <DIR> Gesellschaftsspiele
04.02.2008 18:45 <DIR> Petri Heil 3
01.12.2007 15:55 <DIR> cosids
12.08.2007 19:47 <DIR> DATA BECKER
12.08.2007 19:46 <DIR> Microsoft Office
12.08.2007 19:44 <DIR> Ulead Systems
12.05.2007 15:52 <DIR> DesignPro
24.04.2006 08:34 <DIR> Instant Photo Effects 2
24.04.2006 07:02 <DIR> Systhema
24.04.2006 06:40 <DIR> ACT
09.03.2006 07:12 <DIR> Schwedisch AKTIV
09.03.2006 07:11 <DIR> T-Online
09.03.2006 06:47 <DIR> Ahead
09.03.2006 06:37 <DIR> Hewlett-Packard
09.03.2006 06:35 <DIR> Groáer Reiseplaner
09.03.2006 06:33 <DIR> ADAC TourPlaner
17.02.2006 06:51 <DIR> Windows Media Player
17.01.2006 08:16 <DIR> Microsoft ActiveSync
17.01.2006 07:55 <DIR> TCM
16.01.2006 22:49 <DIR> Messenger
16.01.2006 13:54 <DIR> WindowsUpdate
15.01.2006 13:22 <DIR> Sony Ericsson
28.12.2005 17:52 <DIR> AvantGo Connect
28.12.2005 17:52 <DIR> Common Files
28.12.2005 14:35 <DIR> Movie Maker
28.12.2005 14:30 <DIR> NetMeeting
28.12.2005 14:30 <DIR> Windows NT
28.08.2005 18:36 <DIR> jpc
28.08.2005 16:06 <DIR> WISO
28.11.2004 18:33 <DIR> CyberLink
01.06.2004 11:37 <DIR> StarMoney 4.0 S-Edition
01.06.2004 11:27 <DIR> MSXML 4.0
21.09.2003 17:35 <DIR> Photo Print Calendar from YOKOHAMA Ver.3.00E beta
21.09.2003 17:33 <DIR> Photodex
21.09.2003 17:20 <DIR> DreamSuite Bonus
21.09.2003 17:19 <DIR> CodedColor
21.09.2003 17:18 <DIR> imageN
21.09.2003 17:17 <DIR> Microgate Basic-Paint
21.09.2003 17:00 <DIR> Portmix
21.09.2003 16:45 <DIR> StarMoney 3.0 BB-Edition
29.05.2003 16:07 <DIR> XnView
19.05.2003 18:44 <DIR> otto
19.05.2003 16:12 <DIR> PhotoMeister
19.01.2003 10:45 <DIR> Borland
19.01.2003 10:42 <DIR> Corel
15.12.2002 11:14 <DIR> Tiscali
17.10.2002 17:24 <DIR> Logitech
15.10.2002 19:45 <DIR> PhotoDeluxe HE 3.0
14.10.2002 11:44 <DIR> %ALLUSERSPROFILE%
07.10.2002 09:35 <DIR> Synaptics
07.10.2002 09:18 <DIR> xerox
07.10.2002 09:18 <DIR> Online-Dienste
07.10.2002 09:18 <DIR> Online Services
07.10.2002 09:18 <DIR> MSN Gaming Zone
07.10.2002 09:18 <DIR> MSN
07.10.2002 09:18 <DIR> Microsoft Works
07.10.2002 09:18 <DIR> Microsoft Picture It! 2002
07.10.2002 09:17 <DIR> microsoft frontpage
07.10.2002 09:16 <DIR> Launch Manager
21.03.2002 04:01 <DIR> Uninstall Information
21.03.2002 03:51 <DIR> ComPlus Applications
0 Datei(en) 0 Bytes
71 Verzeichnis(se), 11.798.446.080 Bytes frei
Datentr„ger in Laufwerk C: ist 50_01_80
Volumeseriennummer: 7C5E-09E2

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist 50_01_80
Volumeseriennummer: 7C5E-09E2

Verzeichnis von C:\Programme

18.02.2008 19:17 <DIR> HiJack
18.02.2008 19:16 <DIR> ..
18.02.2008 19:16 <DIR> .
17.02.2008 22:58 <DIR> Gemeinsame Dateien
17.02.2008 20:05 <DIR> Avira
17.02.2008 18:53 <DIR> Sitecom
15.02.2008 08:24 <DIR> Outlook Express
15.02.2008 08:19 <DIR> Internet Explorer
14.02.2008 22:54 <DIR> InstallShield Installation Information
13.02.2008 19:03 <DIR> Adobe
05.02.2008 18:58 <DIR> Gesellschaftsspiele
04.02.2008 18:45 <DIR> Petri Heil 3
01.12.2007 15:55 <DIR> cosids
12.08.2007 19:47 <DIR> DATA BECKER
12.08.2007 19:46 <DIR> Microsoft Office
12.08.2007 19:44 <DIR> Ulead Systems
12.05.2007 15:52 <DIR> DesignPro
24.04.2006 08:34 <DIR> Instant Photo Effects 2
24.04.2006 07:02 <DIR> Systhema
24.04.2006 06:40 <DIR> ACT
09.03.2006 07:12 <DIR> Schwedisch AKTIV
09.03.2006 07:11 <DIR> T-Online
09.03.2006 06:47 <DIR> Ahead
09.03.2006 06:37 <DIR> Hewlett-Packard
09.03.2006 06:35 <DIR> Groáer Reiseplaner
09.03.2006 06:33 <DIR> ADAC TourPlaner
17.02.2006 06:51 <DIR> Windows Media Player
17.01.2006 08:16 <DIR> Microsoft ActiveSync
17.01.2006 07:55 <DIR> TCM
16.01.2006 22:49 <DIR> Messenger
16.01.2006 13:54 <DIR> WindowsUpdate
15.01.2006 13:22 <DIR> Sony Ericsson
28.12.2005 17:52 <DIR> AvantGo Connect
28.12.2005 17:52 <DIR> Common Files
28.12.2005 14:35 <DIR> Movie Maker
28.12.2005 14:30 <DIR> NetMeeting
28.12.2005 14:30 <DIR> Windows NT
28.08.2005 18:36 <DIR> jpc
28.08.2005 16:06 <DIR> WISO
28.11.2004 18:33 <DIR> CyberLink
01.06.2004 11:37 <DIR> StarMoney 4.0 S-Edition
01.06.2004 11:27 <DIR> MSXML 4.0
21.09.2003 17:35 <DIR> Photo Print Calendar from YOKOHAMA Ver.3.00E beta
21.09.2003 17:33 <DIR> Photodex
21.09.2003 17:20 <DIR> DreamSuite Bonus
21.09.2003 17:19 <DIR> CodedColor
21.09.2003 17:18 <DIR> imageN
21.09.2003 17:17 <DIR> Microgate Basic-Paint
21.09.2003 17:00 <DIR> Portmix
21.09.2003 16:45 <DIR> StarMoney 3.0 BB-Edition
29.05.2003 16:07 <DIR> XnView
19.05.2003 18:44 <DIR> otto
19.05.2003 16:12 <DIR> PhotoMeister
19.01.2003 10:45 <DIR> Borland
19.01.2003 10:42 <DIR> Corel
15.12.2002 11:14 <DIR> Tiscali
17.10.2002 17:24 <DIR> Logitech
15.10.2002 19:45 <DIR> PhotoDeluxe HE 3.0
14.10.2002 11:44 <DIR> %ALLUSERSPROFILE%
07.10.2002 09:35 <DIR> Synaptics
07.10.2002 09:18 <DIR> xerox
07.10.2002 09:18 <DIR> Online-Dienste
07.10.2002 09:18 <DIR> Online Services
07.10.2002 09:18 <DIR> MSN Gaming Zone
07.10.2002 09:18 <DIR> MSN
07.10.2002 09:18 <DIR> Microsoft Works
07.10.2002 09:18 <DIR> Microsoft Picture It! 2002
07.10.2002 09:17 <DIR> microsoft frontpage
07.10.2002 09:16 <DIR> Launch Manager
21.03.2002 04:01 <DIR> Uninstall Information
21.03.2002 03:51 <DIR> ComPlus Applications
0 Datei(en) 0 Bytes
71 Verzeichnis(se), 11.798.372.352 Bytes frei
Datentr„ger in Laufwerk C: ist 50_01_80
Volumeseriennummer: 7C5E-09E2

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist 50_01_80
Volumeseriennummer: 7C5E-09E2

Verzeichnis von C:\Programme

18.02.2008 19:17 <DIR> HiJack
18.02.2008 19:16 <DIR> ..
18.02.2008 19:16 <DIR> .
17.02.2008 22:58 <DIR> Gemeinsame Dateien
17.02.2008 20:05 <DIR> Avira
17.02.2008 18:53 <DIR> Sitecom
15.02.2008 08:24 <DIR> Outlook Express
15.02.2008 08:19 <DIR> Internet Explorer
14.02.2008 22:54 <DIR> InstallShield Installation Information
13.02.2008 19:03 <DIR> Adobe
05.02.2008 18:58 <DIR> Gesellschaftsspiele
04.02.2008 18:45 <DIR> Petri Heil 3
01.12.2007 15:55 <DIR> cosids
12.08.2007 19:47 <DIR> DATA BECKER
12.08.2007 19:46 <DIR> Microsoft Office
12.08.2007 19:44 <DIR> Ulead Systems
12.05.2007 15:52 <DIR> DesignPro
24.04.2006 08:34 <DIR> Instant Photo Effects 2
24.04.2006 07:02 <DIR> Systhema
24.04.2006 06:40 <DIR> ACT
09.03.2006 07:12 <DIR> Schwedisch AKTIV
09.03.2006 07:11 <DIR> T-Online
09.03.2006 06:47 <DIR> Ahead
09.03.2006 06:37 <DIR> Hewlett-Packard
09.03.2006 06:35 <DIR> Groáer Reiseplaner
09.03.2006 06:33 <DIR> ADAC TourPlaner
17.02.2006 06:51 <DIR> Windows Media Player
17.01.2006 08:16 <DIR> Microsoft ActiveSync
17.01.2006 07:55 <DIR> TCM
16.01.2006 22:49 <DIR> Messenger
16.01.2006 13:54 <DIR> WindowsUpdate
15.01.2006 13:22 <DIR> Sony Ericsson
28.12.2005 17:52 <DIR> AvantGo Connect
28.12.2005 17:52 <DIR> Common Files
28.12.2005 14:35 <DIR> Movie Maker
28.12.2005 14:30 <DIR> NetMeeting
28.12.2005 14:30 <DIR> Windows NT
28.08.2005 18:36 <DIR> jpc
28.08.2005 16:06 <DIR> WISO
28.11.2004 18:33 <DIR> CyberLink
01.06.2004 11:37 <DIR> StarMoney 4.0 S-Edition
01.06.2004 11:27 <DIR> MSXML 4.0
21.09.2003 17:35 <DIR> Photo Print Calendar from YOKOHAMA Ver.3.00E beta
21.09.2003 17:33 <DIR> Photodex
21.09.2003 17:20 <DIR> DreamSuite Bonus
21.09.2003 17:19 <DIR> CodedColor
21.09.2003 17:18 <DIR> imageN
21.09.2003 17:17 <DIR> Microgate Basic-Paint
21.09.2003 17:00 <DIR> Portmix
21.09.2003 16:45 <DIR> StarMoney 3.0 BB-Edition
29.05.2003 16:07 <DIR> XnView
19.05.2003 18:44 <DIR> otto
19.05.2003 16:12 <DIR> PhotoMeister
19.01.2003 10:45 <DIR> Borland
19.01.2003 10:42 <DIR> Corel
15.12.2002 11:14 <DIR> Tiscali
17.10.2002 17:24 <DIR> Logitech
15.10.2002 19:45 <DIR> PhotoDeluxe HE 3.0
14.10.2002 11:44 <DIR> %ALLUSERSPROFILE%
07.10.2002 09:35 <DIR> Synaptics
07.10.2002 09:18 <DIR> xerox
07.10.2002 09:18 <DIR> Online-Dienste
07.10.2002 09:18 <DIR> Online Services
07.10.2002 09:18 <DIR> MSN Gaming Zone
07.10.2002 09:18 <DIR> MSN
07.10.2002 09:18 <DIR> Microsoft Works
07.10.2002 09:18 <DIR> Microsoft Picture It! 2002
07.10.2002 09:17 <DIR> microsoft frontpage
07.10.2002 09:16 <DIR> Launch Manager
21.03.2002 04:01 <DIR> Uninstall Information
21.03.2002 03:51 <DIR> ComPlus Applications
0 Datei(en) 0 Bytes
71 Verzeichnis(se), 11.798.175.744 Bytes frei

docsnyder · 20.02.2008, 19:38

Ach ja und ich habe noch die Porgramme Virus Heat, WinSecurAv, Security troubleshooting und Online Security Guide deinstalliert.

myrtille · 20.02.2008, 23:36

Ok, die Sache ist jetzt halt die:
Ich weiß nicht genau welche Dateien auf deinem Rechner noch drauf sind.
Die von mir gesuchten Programme hast du offensichtlich schon deinstalliert, ich vermute AdvancedCleaner wurde von Smitfraudfix entfernt.

Ich kann dir jetzt anbieten, die letzten offensichtlichen Spuren zu beseitigen, indem du mit HijackThis folgende Einträge fixt:

Zitat:

O4 - HKLM\..\Run: [ugac] "C:\PROGRA~2\GEMEIN~1\WINSEC~1\ugac.exe" -start
O4 - HKLM\..\Run: [bm] "C:\Programme\Gemeinsame Dateien\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com
O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe

und dann schaust, dass folgende Ordner nicht mehr existieren:

Zitat:

C:\Programme\Gemeinsame Dateien\WinSecureAv\
C:\Programme\AdvancedCleaner Free

Es könnte allerdings sein, dass später nochmal Überreste gefunden werden, auch wenn die Infektion dadurch nicht nochmal ausbrechen sollte.
(sicherheitshalber bitte noch einmal vorm Rechner runterfahren die Systemwiederherstellung deaktivieren um evtl korrumpierte Wiederherstellungspunkte zu löschen.
Beim nächsten Start kann sie wieder aktiviert werden)

lg myrtille

docsnyder · 21.02.2008, 22:21

Danke für deine Bemühungen. Wie mache ich das genau das ich die Dateien fixe?

myrtille · 21.02.2008, 22:44

Hi,

einfach HijackThis aufrufen dort "Do a systemscan only" auswählen. In dem erscheinenden Fenster vor die zu fixenden Einträge einen Haken setzen und unten auf den Knopf "fix checked" klicken.
Das sollte es gewesen sein.

Danach ein neues Logfile erstellen und hier posten.

Wie siehts mit den Ordnern aus? Sind die weg?

lg myrtille

21.02.2008, 22:44	#11
myrtille /// TB-Ausbilder	Auswertung meines HiJackThis Log-File Hi, einfach HijackThis aufrufen dort "Do a systemscan only" auswählen. In dem erscheinenden Fenster vor die zu fixenden Einträge einen Haken setzen und unten auf den Knopf "fix checked" klicken. Das sollte es gewesen sein. Danach ein neues Logfile erstellen und hier posten. Wie siehts mit den Ordnern aus? Sind die weg? lg myrtille

Auswertung meines HiJackThis Log-File

Log-Analyse und Auswertung: Auswertung meines HiJackThis Log-File