| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner - eScan und Silentrunner result- und jetzt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.03.2008, 16:02
| #1 |
 |  Trojaner - eScan und Silentrunner result- und jetzt? Hallo, AbtiVir hat mir gemeldet, dass ich den Trojaner TR/Dropper.gem habe. Daraufhin habe ich, wie in diesem forum an anderer Stelle beschrieben einen eScan durchgeführt sowie den Silentrunner laufen lassen. Ich weiß nur nicht, wie es jetzt weiter gehen soll, anscheinend wurden mehrere Sachen gefunden, aber wie ich das jetzt loskriege weiß ich immer noch nicht. Also, zunächst das Ergebnis vom eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.7.6 Sprache: English C:\DOKUME~1\LENAWI~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Batchstart: 15:37:49,10 Batchende: 15:38:14,15 Und die Ergebnisse von Silentrunner "Silent Runners.vbs", revision 56, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] "gxqlexh" = "c:\dokumente und einstellungen\lena wilk\lokale einstellungen\anwendungsdaten\gxqlexh.exe gxqlexh" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "S3TRAY2" = "S3Tray2.exe" ["S3 Graphics, Inc."] "TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"] "IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"] "TPKMAPHELPER" = "C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper" ["IBM Corp."] "TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data] "TP4EX" = "tp4ex.exe" ["IBM Corporation"] "EZEJMNAP" = "C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" ["IBM Corp."] "UC_Start" = "C:\Programme\IBM\Updater\\ucstartup.exe" [null data] "UC_SMB" = (empty string) [file not found] "(Default)" = (empty string) [file not found] "IBMPRC" = "C:\IBMTOOLS\UTILS\ibmprc.exe" ["IBM Corp."] "BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS] "BMMLREF" = "C:\Programme\ThinkPad\Utilities\BMMLREF.EXE" [null data] "BMMMONWND" = "rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor" [MS] "WinDSL MTU-Adjust" = "WinDSL_MTU.exe" ["Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "pdfSaver3" = (empty string) [file not found] "MMReminderService" = "C:\Programme\Mindjet\MindManager 6\MMReminderService.exe" [file not found] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"] <<!>> QConGina\DLLName = "QConGina.dll" ["IBM Corp."] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Lena wilk\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."] BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"] Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."] IBM KCU Service, TpKmpSVC, "C:\WINDOWS\system32\TpKmpSVC.exe" [null data] IBM PM Service, IBMPMSVC, "C:\WINDOWS\System32\ibmpmsvc.exe" [null data] IBM Rapid Restore Ultra Service, IBM Rapid Restore Ultra Service, ""C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe"" [empty string] iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."] QCONSVC, QCONSVC, "System32\QCONSVC.EXE" ["IBM Corp."] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ Canon BJ Language Monitor PIXMA iP1500\Driver = "CNMLM5y.DLL" ["CANON INC."] ---------- (launch time: 2008-03-05 15:50:29) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 52 seconds, including 18 seconds for message boxes) --> Wer kann mir sagen, was ich jetzt mit dieser Info anfangen kann  |
|
05.03.2008, 16:04
| #2 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Moment, sehe jetzt gerade selber, dass das nicht meine vollständigen Ergebnisse des eScans sind... da hat was mit der find.bat datei nicht geklappt... Mist. Ich versuchs nochmal.
__________________ |
|
05.03.2008, 16:13
| #3 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Schon wieder ich selber. Also wer kann mir erst mal erklären, was ich mit dieser find.bat datei falsch mache? Der Report zeigt nach wie vor nichts an...
__________________ |
|
05.03.2008, 18:35
| #4 |
  | Trojaner - eScan und Silentrunner result- und jetzt? Hallo wie es scheint hast du einen Swizzor. Lass bitte mal Combofix dein System überprüfen ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Anschließend erstelle bitte ein Log mit Smitfraudfix Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis (nur diese Version benutzen, nicht die BETA-Version!) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) MFG |
|
05.03.2008, 18:43
| #5 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Äh... wenn ich Combi-Fix starte kommt die Meldung, dass nicht alle Comupter das heil überstehen... ist das etwa ernst gemeint? Ich schreibe gerade meine Abschlussarbeit auf dem Ding, das geht nicht... Keine andere Idee? |
|
05.03.2008, 18:50
| #6 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Hallo gut dann Hijackthis (benenne aber die *.exe um) und die Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp MFG |
|
05.03.2008, 18:52
| #7 |
  | Trojaner - eScan und Silentrunner result- und jetzt? Es ist eigentlich angesagt, dass wichtige Dateien nicht nur auf dem PC sich befinden sollen, sondern auch auf einem anderen Medium. Wie schnell passiert es, das ein Medium nicht mehr funktioniert. Dann ist man gut beraten eine Sicherungskopie zu haben. Früher hatte da eine Diskette gereicht. Jetzt muss halt mal eine CD-RW herhalten oder auch ein USB Stick. |
|
05.03.2008, 18:56
| #8 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Das erste Ergebnis: Logfile of HijackThis v1.99.1 Scan saved at 18:54:53, on 05.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\WINDOWS\system32\tp4serv.exe C:\WINDOWS\system32\hkcmd.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\IBMTOOLS\UTILS\ibmprc.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Cisco Systems\VPN Client\vpngui.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\Programme\WinRAR\WinRAR.exe C:\Dokumente und Einstellungen\Lena wilk\Eigene Dateien\temp\hijackthis\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.168.35.5:3128 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [gxqlexh] c:\dokumente und einstellungen\lena wilk\lokale einstellungen\anwendungsdaten\gxqlexh.exe gxqlexh O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O11 - Options group: [JAVA_IBM] Java (IBM) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143205183887 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143205171099 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A16D9B9B-1DBB-487E-8F14-E3A1A1A2563B}: Domain = vpn.uni-koeln.de O17 - HKLM\System\CCS\Services\Tcpip\..\{A16D9B9B-1DBB-487E-8F14-E3A1A1A2563B}: NameServer = 134.95.129.23,134.95.19.48 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.uni-koeln.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.uni-koeln.de O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe |
|
05.03.2008, 18:57
| #9 |
| | Trojaner - eScan und Silentrunner result- und jetzt? P.S. Ich sichere meine Arbeit JEDEN Tag, aber es wäre schon nervig wenn zum beispiel Programme kaputt gehen würde oder so... |
|
05.03.2008, 19:05
| #10 |
| | Trojaner - eScan und Silentrunner result- und jetzt? So und hier die Ergebnisse der letzten 30 Tage: Verzeichnis von C:\ 05.03.2008 16:26 258.461.696 hiberfil.sys 05.03.2008 16:26 390.070.272 pagefile.sys 05.03.2008 15:29 0 23990098.$$$ Verzeichnis von C:\WINDOWS\system32 05.03.2008 16:27 2.278 wpa.dbl 08.01.2008 21:15 171.488 FNTCACHE.DAT Verzeichnis von C:\WINDOWS 05.03.2008 16:30 1.673.455 setupapi.log 05.03.2008 16:27 54.156 QTFont.qfn 05.03.2008 16:26 0 0.log 05.03.2008 16:26 2.045.684 WindowsUpdate.log 05.03.2008 16:26 2.048 bootstat.dat 05.03.2008 16:21 26 Lic.xxx 05.03.2008 16:17 356.558 ntbtlog.txt 05.03.2008 16:16 32.594 SchedLgU.Txt 05.03.2008 09:37 73.704 wmsetup.log 25.02.2008 09:25 215 wiadebug.log 20.02.2008 13:28 50 wiaservc.log Verzeichnis von C:\WINDOWS\Prefetch 05.03.2008 18:59 13.814 CMD.EXE-087B4001.pf 05.03.2008 18:58 66.446 WINRAR.EXE-3588DFE8.pf 05.03.2008 18:55 23.836 NOTEPAD.EXE-336351A9.pf 05.03.2008 18:52 19.232 VERCLSID.EXE-3667BD89.pf 05.03.2008 18:41 4.868 SED.CFEXE-268D7E58.pf 05.03.2008 18:41 7.564 PSEXEC.CFEXE-2CB6A9EC.pf 05.03.2008 18:40 7.112 SWREG.CFEXE-2BF4FFCD.pf 05.03.2008 18:40 6.824 CF11322.EXE-2B736E2A.pf 05.03.2008 18:40 11.312 NIRCMD.CFEXE-19FF4781.pf 05.03.2008 18:40 3.756 GREP.CFEXE-20443039.pf 05.03.2008 18:40 4.074 MTEE.CFEXE-1E067BC7.pf 05.03.2008 18:40 5.238 CHCP.COM-18156052.pf 05.03.2008 18:40 9.276 NIRCMD.COM-323C21EC.pf 05.03.2008 18:40 5.768 LISTDLLS.CFEXE-163777B3.pf 05.03.2008 18:40 10.464 FINDSTR.EXE-0CA6274B.pf 05.03.2008 18:40 9.652 NIRCMD.COM-223F42C3.pf 05.03.2008 18:40 11.330 RUNDLL32.EXE-4C45840F.pf 05.03.2008 18:40 6.364 SWREG.CFEXE-287CC9EF.pf 05.03.2008 18:40 11.984 GRPCONV.EXE-111CD845.pf 05.03.2008 18:40 16.992 RUNONCE.EXE-2803F297.pf 05.03.2008 18:40 6.018 SWXCACLS.CFEXE-24057B3B.pf 05.03.2008 18:40 56.178 COMBOFIX.EXE-0FF9E176.pf 05.03.2008 18:28 88.830 SOFFICE.BIN-25675DF3.pf 05.03.2008 18:28 37.132 SOFFICE.EXE-1D77C8CC.pf 05.03.2008 18:27 6.314 SWRITER.EXE-20942C0D.pf 05.03.2008 17:50 56.962 WMPLAYER.EXE-09969332.pf 05.03.2008 17:49 19.670 SIMPLESUDOKU.EXE-2EC3A93E.pf 05.03.2008 17:26 22.144 DWP.EXE-36074FCA.pf 05.03.2008 17:26 79.578 VISUALCOMPOSER.EXE-1ABF5AB2.pf 05.03.2008 17:22 82.624 WINWORD.EXE-259486DA.pf 05.03.2008 17:00 392.254 Layout.ini 05.03.2008 16:31 50.182 SKYPEPM.EXE-03F1BFBD.pf 05.03.2008 16:31 86.510 WMIPRVSE.EXE-28F301A9.pf 05.03.2008 16:31 77.800 SKYPE.EXE-21F19BC8.pf 05.03.2008 16:31 92.912 FIREFOX.EXE-1D57670A.pf 05.03.2008 16:30 76.416 VPNGUI.EXE-10986A0F.pf 05.03.2008 16:30 7.948 IPSECDIALER.EXE-2368204B.pf 05.03.2008 16:29 5.602 UCGATHER.EXE-21718AFE.pf 05.03.2008 16:28 80.722 IPODSERVICE.EXE-233792DA.pf 05.03.2008 16:28 705.326 NTOSBOOT-B00DFAAD.pf 05.03.2008 16:15 30.560 QCTRAY.EXE-2259B419.pf 05.03.2008 16:15 33.970 LOGONUI.EXE-0AF22957.pf 05.03.2008 16:08 55.782 KAVSS.EXE-21DF8F81.pf 05.03.2008 16:07 57.882 GETVLIST.EXE-328BD5DF.pf 05.03.2008 16:06 47.274 SCANNINGPROCESS.EXE-0EDA90FA.pf 05.03.2008 16:06 17.166 MWAVL.EXE-04C657CE.pf 05.03.2008 16:06 11.956 MEXE.COM-3511088B.pf 05.03.2008 16:05 96.362 MWAV.EXE-00871A64.pf 05.03.2008 16:05 10.622 REG.EXE-0D2A95F7.pf 05.03.2008 16:05 5.466 MORE.COM-32DCB7E4.pf 05.03.2008 15:48 74.082 WSCRIPT.EXE-32960AB9.pf 05.03.2008 15:43 13.378 NET1.EXE-029B9DB4.pf 05.03.2008 15:43 45.480 NET.EXE-01A53C2F.pf 05.03.2008 15:43 27.488 WGATRAY.EXE-0ED38BED.pf 05.03.2008 15:43 23.240 WUAUCLT.EXE-399A8E72.pf 05.03.2008 15:42 75.864 PYTHON.EXE-28B11BC1.pf 05.03.2008 15:00 57.112 ALG.EXE-0F138680.pf 05.03.2008 11:29 83.742 HELPSVC.EXE-2878DDA2.pf 05.03.2008 10:09 47.396 AVSCAN.EXE-05AECC0E.pf 05.03.2008 10:09 70.410 AVCENTER.EXE-37584419.pf 05.03.2008 10:07 17.712 MSIEXEC.EXE-2F8A8CAE.pf 05.03.2008 10:07 41.096 IDRIVER.EXE-28F432B1.pf 05.03.2008 10:07 79.850 ACRORD32.EXE-0EC716D9.pf 05.03.2008 09:36 35.290 SETUP_WM.EXE-19AC5A9B.pf 05.03.2008 09:30 41.026 ACRORD32INFO.EXE-30CEC19C.pf 05.03.2008 09:12 224.444 AVNOTIFY.EXE-22AE9451.pf 05.03.2008 09:12 40.212 UPDATE.EXE-13D57D76.pf 05.03.2008 09:12 15.186 PREUPD.EXE-358AA1C1.pf 05.03.2008 09:11 40.428 REALPLAY.EXE-39F79CBD.pf 04.03.2008 10:13 18.296 GUARDGUI.EXE-1BD45C30.pf 04.03.2008 09:12 21.336 REALSCHED.EXE-0A2A7558.pf 04.03.2008 09:12 9.734 JAVA.EXE-0967259C.pf 03.03.2008 14:14 65.350 DFRGNTFS.EXE-269967DF.pf 03.03.2008 14:14 17.788 DEFRAG.EXE-273F131E.pf 03.03.2008 11:29 94.968 OUTLOOK.EXE-27D5965C.pf 03.03.2008 10:42 58.036 SOFTWAREUPDATE.EXE-1E90DF1F.pf 03.03.2008 10:42 18.526 DLLHOST.EXE-205D880D.pf 02.03.2008 18:53 21.776 RUNDLL32.EXE-1967DC69.pf 02.03.2008 18:46 60.772 AVGNT.EXE-36CA4640.pf 02.03.2008 18:41 18.548 LAUNCHEG.EXE-2B615356.pf 28.02.2008 15:18 64.860 ITUNES.EXE-15E88941.pf 28.02.2008 14:57 78.772 OUTLOOK.EXE-22C5790A.pf 27.02.2008 15:55 13.256 CALC.EXE-02CD573A.pf 26.02.2008 13:35 44.902 DWWIN.EXE-30875ADC.pf 26.02.2008 13:34 77.676 DUMPREP.EXE-1B46F901.pf 26.02.2008 10:32 20.758 IMAPI.EXE-0BF740A4.pf 26.02.2008 10:31 9.312 RUNDLL32.EXE-451FC2C0.pf 26.02.2008 08:55 23.164 RUNDLL32.EXE-40C5E603.pf 26.02.2008 08:55 22.444 RUNDLL32.EXE-40924C97.pf 26.02.2008 08:55 23.116 RUNDLL32.EXE-1C2DA735.pf 26.02.2008 08:55 23.092 RUNDLL32.EXE-1A2AD202.pf 26.02.2008 08:55 25.350 RUNDLL32.EXE-1BFA0DC9.pf 25.02.2008 09:21 17.114 RUNDLL32.EXE-188DF14E.pf 24.02.2008 17:40 24.564 PDIRECT.EXE-2DCC7803.pf 24.02.2008 17:40 26.146 NPDAPLY.EXE-2602F7DE.pf 24.02.2008 13:56 17.666 REGSVR32.EXE-25EEFE2F.pf 22.02.2008 21:10 15.208 RUNDLL32.EXE-4242D27E.pf 22.02.2008 17:51 19.308 TASKMGR.EXE-20256C55.pf 22.02.2008 15:23 21.692 RUNDLL32.EXE-2341BBC5.pf 22.02.2008 15:23 18.768 CONTROL.EXE-013DBFB5.pf 22.02.2008 10:57 16.090 RUNDLL32.EXE-39ED32A0.pf 21.02.2008 17:56 9.318 RUNDLL32.EXE-268BFF96.pf 21.02.2008 15:37 22.674 POWERPNT.EXE-32C0D1A2.pf 21.02.2008 10:56 17.690 SNDVOL32.EXE-383480B7.pf 20.02.2008 17:33 21.032 DRWTSN32.EXE-2B4B52AC.pf 20.02.2008 13:28 11.678 SVCHOST.EXE-3530F672.pf 19.02.2008 19:53 25.264 RUNDLL32.EXE-3F6536FB.pf 19.02.2008 17:52 147.812 POWERPNT.EXE-019F2E3D.pf 19.02.2008 13:11 7.586 BRSS01A.EXE-101B5018.pf 19.02.2008 12:58 11.786 RUNDLL32.EXE-126ACBB4.pf 18.02.2008 00:01 12.804 RUNDLL32.EXE-19DA9EFA.pf 18.02.2008 00:01 12.804 RUNDLL32.EXE-46FCABD8.pf 18.02.2008 00:01 12.804 RUNDLL32.EXE-3883EEAF.pf 18.02.2008 00:01 12.804 RUNDLL32.EXE-2A0B3186.pf 18.02.2008 00:01 21.968 RUNDLL32.EXE-28535C23.pf 17.02.2008 21:09 12.804 RUNDLL32.EXE-18760E51.pf 17.02.2008 21:09 12.804 RUNDLL32.EXE-4449E57B.pf 17.02.2008 21:09 12.804 RUNDLL32.EXE-2DA95DC3.pf 17.02.2008 21:09 12.804 RUNDLL32.EXE-2F169609.pf 17.02.2008 21:09 24.344 RUNDLL32.EXE-16A6D28A.pf 17.02.2008 17:48 25.544 QCWIZARD.EXE-3AC5DB52.pf 17.02.2008 17:45 40.398 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf 16.02.2008 23:37 44.146 WMPLAYER.EXE-0996933A.pf 16.02.2008 23:36 56.026 WMPLAYER.EXE-0996933B.pf 15.02.2008 12:56 52.466 EXPLORER.EXE-082F38A9.pf 15.02.2008 12:49 11.816 RUNDLL32.EXE-2923D326.pf 15.02.2008 10:15 18.398 RUNDLL32.EXE-2EAF3733.pf 15.02.2008 10:09 75.094 MOVIETHUMB.EXE-30745E5D.pf 15.02.2008 10:08 65.806 PICASA2.EXE-2435D322.pf 15.02.2008 10:08 26.054 PICASAUPDATE.EXE-05263A00.pf Verzeichnis von C:\WINDOWS\tasks 05.03.2008 16:26 6 SA.DAT 03.03.2008 10:42 276 AppleSoftwareUpdate.job Verzeichnis von C:\WINDOWS\temp 05.03.2008 16:30 4.557.181 dneinst.log 05.03.2008 16:27 409 WGANotify.settings 05.03.2008 16:26 255 WGAErrLog.txt 04.03.2008 09:12 1.266 qcontmp2.vbs 02.03.2008 21:25 1.266 qcontmp1.vbs 02.03.2008 18:42 193.138 eG8 02.03.2008 18:41 1.266 qcontmp50.vbs 29.02.2008 16:43 1.266 qcontmp49.vbs 29.02.2008 10:36 1.266 qcontmp48.vbs 28.02.2008 08:33 1.266 qcontmp47.vbs 27.02.2008 22:28 1.266 qcontmp46.vbs 27.02.2008 17:06 1.266 qcontmp45.vbs 27.02.2008 16:05 1.266 qcontmp44.vbs 27.02.2008 15:41 1.266 qcontmp43.vbs 26.02.2008 08:35 1.266 qcontmp42.vbs 25.02.2008 12:14 1.266 qcontmp41.vbs 25.02.2008 09:29 1.266 qcontmp40.vbs 24.02.2008 13:40 193.040 eG7 23.02.2008 19:16 1.266 qcontmp39.vbs 22.02.2008 14:41 1.266 qcontmp38.vbs 22.02.2008 10:14 1.266 qcontmp37.vbs 21.02.2008 17:50 1.266 qcontmp36.vbs 19.02.2008 19:49 1.266 qcontmp35.vbs 18.02.2008 17:48 1.266 qcontmp34.vbs 18.02.2008 08:44 1.266 qcontmp33.vbs 17.02.2008 00:00 193.305 eG6 16.02.2008 19:19 1.266 qcontmp32.vbs 16.02.2008 13:08 1.266 qcontmp31.vbs 16.02.2008 12:22 1.266 qcontmp30.vbs 16.02.2008 12:02 1.266 qcontmp29.vbs 15.02.2008 17:06 1.266 qcontmp28.vbs 15.02.2008 12:32 1.266 qcontmp27.vbs 15.02.2008 09:57 1.266 qcontmp26.vbs 14.02.2008 17:10 1.266 qcontmp25.vbs 14.02.2008 16:31 1.266 qcontmp24.vbs 14.02.2008 01:34 1.266 qcontmp23.vbs 13.02.2008 17:14 1.266 qcontmp22.vbs 13.02.2008 17:07 1.266 qcontmp21.vbs 13.02.2008 15:35 1.266 qcontmp20.vbs 11.02.2008 10:03 193.040 eG5 08.02.2008 18:52 1.266 qcontmp19.vbs 08.02.2008 11:04 1.266 qcontmp18.vbs 08.02.2008 10:56 1.266 qcontmp17.vbs 07.02.2008 11:00 1.266 qcontmp16.vbs 07.02.2008 10:55 1.266 qcontmp15.vbs 06.02.2008 22:33 1.266 qcontmp14.vbs 06.02.2008 08:58 1.266 qcontmp13.vbs 05.02.2008 23:11 1.266 qcontmp12.vbs 05.02.2008 10:22 1.266 qcontmp11.vbs 04.02.2008 12:00 1.266 qcontmp10.vbs 04.02.2008 11:57 1.266 qcontmp9.vbs 03.02.2008 11:50 1.266 qcontmp8.vbs 03.02.2008 00:00 193.313 eG4 02.02.2008 15:19 1.266 qcontmp7.vbs 02.02.2008 12:55 1.266 qcontmp6.vbs 01.02.2008 17:04 1.266 qcontmp5.vbs 01.02.2008 16:28 1.266 qcontmp4.vbs 01.02.2008 10:50 1.266 qcontmp3.vbs Verzeichnis von C:\DOKUME~1\LENAWI~1\LOKALE~1\Temp 05.03.2008 18:59 132.651 filelist.txt 05.03.2008 18:39 1.580.761 p1d70sqz.exe 05.03.2008 17:22 32.768 Engelslieder.doc 05.03.2008 16:33 16.384 ~DFCEC3.tmp 05.03.2008 16:32 187.794 jusched.log 05.03.2008 16:25 2.576.166 MWAV.LOG 05.03.2008 16:25 72.280 sfdb.dat 05.03.2008 16:23 361.474 MWAVC.LOG 05.03.2008 16:21 22 pinfect.zip 05.03.2008 16:08 262 vlist.log 05.03.2008 16:08 8.689.006 vlist.txt 05.03.2008 14:47 167.694 4f45_appcompat.txt 05.03.2008 12:49 626.688 msvcr80.dll 05.03.2008 12:49 548.864 msvcp80.dll 05.03.2008 12:49 241.664 MYDB.DLL 05.03.2008 09:36 12.818 control.xml 02.03.2008 18:52 0 f2ak3mag.JPG 02.03.2008 18:50 0 5svlcmki.JPG 26.02.2008 16:09 194.048 esupdate.exe 26.02.2008 14:58 34.899 avp.klb 26.02.2008 14:58 6.389 daily-ec.avc 26.02.2008 14:58 14.839 dailyc.avc 26.02.2008 14:55 71.680 Reload.exe 26.02.2008 14:06 395.291 phupdn.txt 26.02.2008 13:46 18.427 global.daz 26.02.2008 13:46 110.294 phupdn.txz 26.02.2008 12:56 4.894 avp_x.set 26.02.2008 12:56 4.894 avp_ext.set 26.02.2008 12:56 4.894 avp.set 26.02.2008 12:56 40.035 fa.avc 26.02.2008 12:56 5.421 daily.avc 26.02.2008 12:56 46.418 unp033.avc 26.02.2008 12:56 11.010 ext014c.avc 26.02.2008 12:56 32.034 ext013c.avc 26.02.2008 12:56 30.276 base110c.avc 26.02.2008 12:56 29.413 fa001.avc 25.02.2008 20:03 42.496 unregx.exe 25.02.2008 20:01 461.824 msvl64.dll 25.02.2008 19:58 45.568 setpriv.exe 25.02.2008 19:58 431.168 mexe.com 25.02.2008 19:58 431.168 MWAVSCAN.COM 25.02.2008 19:56 67.072 msvlclnt.dll 25.02.2008 19:53 51.264 Getvlist.exe 25.02.2008 17:14 5.106 esupd.ini 25.02.2008 15:13 61.011 studivz_detaf.pdf 25.02.2008 12:13 1.968 daily-ex.avc 25.02.2008 12:13 44.502 unp017.avc 25.02.2008 12:13 54.511 base163.avc 25.02.2008 12:13 51.062 base029.avc 25.02.2008 12:13 51.878 base109c.avc 25.02.2008 12:13 53.605 base108c.avc 25.02.2008 12:13 43.481 krnengn.avc 22.02.2008 15:40 0 m4w153.tmp 22.02.2008 12:59 94.568 unp039.avc 22.02.2008 12:59 50.265 base142.avc 22.02.2008 11:35 413.696 VIEWTCP.EXE 21.02.2008 18:24 36.605 unp012.avc 21.02.2008 18:24 81.947 unp002.avc 21.02.2008 18:24 70.820 base162.avc 21.02.2008 15:34 39.936 Evaluation SLT 2 2008.doc 20.02.2008 16:09 50.710 base150.avc 20.02.2008 16:09 51.712 base107c.avc 20.02.2008 16:09 112.584 krn005.avc 20.02.2008 13:28 691 TWAIN.LOG 20.02.2008 13:28 156 Twunk001.MTX 20.02.2008 13:28 2 Twain001.Mtx 20.02.2008 13:28 0 Twunk002.MTX 19.02.2008 17:24 50.552 German.Age 19.02.2008 14:27 53.992 Czech.Age 19.02.2008 14:27 53.179 Tamil.Age 19.02.2008 14:27 93.752 Chinese.Age 19.02.2008 14:27 112.656 Icelandic.Age 19.02.2008 14:27 114.424 Finnish.Age 19.02.2008 14:27 117.566 Polish.Age 19.02.2008 14:26 118.721 French.Age 19.02.2008 14:26 117.611 Spanish.Age 19.02.2008 14:26 118.335 Spanishl.Age 19.02.2008 14:26 113.366 Romanian.Age 19.02.2008 14:26 125.907 Portuguese.Age 19.02.2008 14:26 124.977 Italian.Age 19.02.2008 14:09 14.461 German.con 19.02.2008 13:51 35.703 gen005.avc 19.02.2008 13:51 48.406 unp038.avc 19.02.2008 13:51 51.029 unp034.avc 19.02.2008 13:51 49.513 unp037.avc 19.02.2008 13:51 59.736 unp010.avc 19.02.2008 13:51 42.780 ext012c.avc 19.02.2008 13:51 52.986 base106c.avc 19.02.2008 13:51 52.622 base105c.avc 19.02.2008 11:26 354.592 spydb.old 19.02.2008 11:26 354.592 spydb.avs 19.02.2008 11:26 2.166.220 File1.sdb 19.02.2008 11:26 3.438.829 File2.sdb 19.02.2008 11:26 169.570 Spyware.sdb 19.02.2008 11:26 1.327.509 Cid.sdb 19.02.2008 11:26 1.474.894 Dir.sdb 18.02.2008 20:40 432.640 MWAVREG.EXE 17.02.2008 17:49 20.888 c415_appcompat.txt 17.02.2008 17:48 1.266 qcontmp25.vbs 16.02.2008 19:48 44.572 language.ini 16.02.2008 19:48 44.572 English.Age 16.02.2008 19:36 6.431 German.dow 16.02.2008 17:49 1.925 German.tcp 16.02.2008 16:26 8.115 English.lic 16.02.2008 16:26 8.115 license.txt 16.02.2008 13:23 31.898 2fc_appcompat.txt 16.02.2008 13:23 1.266 qcontmp24.vbs 15.02.2008 20:01 9.875 German.lic 15.02.2008 17:12 12.309 Italian.con 15.02.2008 12:37 16.384 ~DFD090.tmp 15.02.2008 03:28 49.133 base030.avc 15.02.2008 03:28 50.874 base104c.avc 15.02.2008 03:28 52.184 base101c.avc 14.02.2008 18:46 51.393 base103c.avc 14.02.2008 18:46 52.106 base102c.avc 14.02.2008 18:08 24.696 fac3_appcompat.txt 14.02.2008 18:07 1.266 qcontmp23.vbs 14.02.2008 17:04 188.928 DOWNLOAD.EXE 12.02.2008 19:28 50.535 base157.avc 12.02.2008 15:20 37.219 unp022.avc 12.02.2008 15:20 30.199 unp031.avc 12.02.2008 15:20 49.793 base145.avc 12.02.2008 15:20 51.722 base090c.avc 12.02.2008 10:02 50.136 base110.avc 12.02.2008 10:02 49.926 base152.avc 12.02.2008 10:02 52.828 base100c.avc 12.02.2008 10:02 372 krn003.avc 10.02.2008 17:56 52.856 base099c.avc 08.02.2008 18:08 38.362 ext011c.avc 08.02.2008 18:08 52.558 base088c.avc 08.02.2008 17:07 99.328 MWAVL.EXE 08.02.2008 12:37 23.004 7622_appcompat.txt 08.02.2008 12:37 1.266 qcontmp22.vbs 07.02.2008 15:10 60.979 unp023.avc 07.02.2008 15:10 66.159 unp016.avc 07.02.2008 15:10 53.983 base161.avc 07.02.2008 15:10 49.617 base126.avc 07.02.2008 15:10 47.690 base038.avc 07.02.2008 15:10 38.586 ext010c.avc 07.02.2008 15:10 51.832 base098c.avc 07.02.2008 15:10 51.553 base097c.avc 07.02.2008 15:10 53.619 base096c.avc 07.02.2008 15:10 51.382 base095c.avc 07.02.2008 15:10 138.105 krnunp.avc 06.02.2008 21:12 14.400 faristream.ppl 06.02.2008 21:12 14.912 farbuffer.ppl 06.02.2008 21:11 139.264 ScanningProcess.exe 06.02.2008 21:11 65.536 ikave.dll 06.02.2008 21:10 282.624 kave.dll 06.02.2008 12:57 5.433 Download.lan 06.02.2008 12:57 5.433 English.dow 04.02.2008 12:10 4.206.876 Helpdesk.wm 04.02.2008 12:09 16.384 ~DF1258.tmp 02.02.2008 16:03 25.120 5239_appcompat.txt 02.02.2008 16:03 1.266 qcontmp21.vbs 01.02.2008 13:13 12.216 avp.vnd 01.02.2008 13:13 34.769 unp018.avc 01.02.2008 13:13 49.724 base094c.avc 01.02.2008 13:13 8.423 krngen.avc |
|
05.03.2008, 19:45
| #11 | |
| | Trojaner - eScan und Silentrunner result- und jetzt? Hallo Mach bitte alle versteckten Dateien und Ordner sichtbar und dann lass diese Datei Zitat:
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Es könnte sich um etwas anderes wie ein kleiner Swizzor handeln  .Außerdem durchsuche bitte dein eScan log nach "Infected" sowie "tagged" und poste die Funde. MFG |
|
06.03.2008, 09:24
| #12 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Hallo... leider kann ich diese Datei, trotz dem "Sichtbar machen aller DAteien" nicht finden... hm... noch ne Idee?? |
|
06.03.2008, 09:31
| #13 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Habe meinen Computer nach der gxqlexh.exe suchen lassen, aber er hat nur welche im Papierkorb gefunden mit .dat am Ende. |
|
06.03.2008, 11:48
| #14 |
| | Trojaner - eScan und Silentrunner result- und jetzt? Habe im eScan Log folgendes gefunden: Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "spywaresecure Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken. Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken. ?? |
|
06.03.2008, 12:26
| #15 |
| | Trojaner - eScan und Silentrunner result- und jetzt? O-oh... ich scheine wirklich ein Problem zu haben, denn wenn ich eine mail schicke an eine Freundin bekomme ich folgende meldung zurück: Mail rejected by Windows Live Hotmail for policy reasons. A block has been placed against your IP address because we have received complaints concerning mail coming from that IP address. If you are not an email/network admin please contact your E-mail/Internet Service Provider for help. Email/network admins, we recommend enrolling in our Junk E-Mail Reporting Program (JMRP), a free program intended to help senders remove unwanted recipients from their e-mail list: http://postmaster.live.com (in reply to MAIL FROM command) Und jetzt? |
|
| Themen zu Trojaner - eScan und Silentrunner result- und jetzt? |
| .dll, acroiehelper.dll, adobe, antivir, avg, avgnt, avgnt.exe, avira, bho, browser, confused, ctfmon.exe, desktop, dll, drivers, dsl, einstellungen, explorer, fehler, finds, google, hosts-datei, internet, internet explorer, jusched.exe, malware, mehrere, plug-in, prozesse, registry, rundll, shortcut, shut down, silentrunner, software, temp, trojaner, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
