Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!

Savoir · 29.08.2008, 00:12

Hallo

Habe mich schon versucht darüber hier was zu finden über die trojanern aber vergeblich hoffe ihr könnt mir bitte helfen

Vorgeschichte:
durch irgendeine internet seite habe ich mir was eingefangen
was immer internetseiten geöffnet hat Achtung ihr rechner ist infiziert mit 5342 viren, ich sollte deren virusprogramm runterladen um die viren zu entfernen was ich nicht gemacht habe
bis dann meine freundin kam um mir zu helfen hat sie dann so ein programm instaliert während ich geschlafen habe und machte danach den rechner aus
als ich wieder kam und ihn anmachte gleich nach dem hochfahren lief dieses programm was sie instaliert hatte und scannte und ich habe es schnell unterbrochen und der scanner war schon bei ca "700" gewesen
desweiteren konnte ich das programm nicht deinstallieren es weigerte sich mit einer windows fehler meldung wo ich auf nicht seden drückte

ich komm nicht mehr auf den taskmanager drauf den versperrt er mir durch graue schriftart was ich nicht anklicken kann

die systemwiederherstellungspunkte wurden alle gelöscht

Das instaliere programm von meiner freundin hieß Antivirus XP 2008

Problem versucht zu verarbeiten:
Ich habe mein antivir upgedatet bin in abgesicherten modus und habe ihn erstmal laufen lassen er hat einiges gefunden 3 viren und 18 warnungen
habe die 3 in Quarantäne kopiert und anschliesend gelöscht
dachte das problem sei behoben fehlanzeige der Antivirus XP 2008 scannte wieder bis auf "400" viren bis ich ihn stoppen konnte
dann das gleiche nochmal abgesicherte modus antivir laufen lassen wieder 3 v und 18 warnungen und dann habe ich mit Tune up das instalierte programm gelöscht was funktionierte was dann nach einem neustart nicht mehr scannte aber die probleme sind immer noch da

jetzt öfnet sich ab und zu ein angepliches sicherheitsfenster von XP was auch echt aussieht allerdings auf englisch obwohl die spracheinstellung auf deutsch ist das echte von kp jetzt

das angebliche fenster was sich öffnet heist Windows Security Alert

und da standen schon 4 Trojaner als "Critical" Problem drin und zwar:

trojan-Downloader.WIn32.Agent.bq
trojan-clicker.Win32.Tiny.h
Trojan-Spy.HTML.Bankfraud.dq
Trojan-Spy.Win32.GreenScreen

was ich jedesmal gext hatte wenn es kahm

naja währe nett wenn ihr mir helfen könntet bis dahin erstmal danke für eure aufmerksamkeit

myrtille · 29.08.2008, 00:20

Hi

Antivirus XP 2008 ist ein Rogue, das heißt ein Programm, das vorgibt ein Antivirenprogramm zu sein, aber in Wirklichkeit ein Trojaner ist.
Dein Rechner ist nicht wirklich von den von Antivirus XP 2008 gefundenen Viren befallen, es will dich lediglich dazu bewegen Ihnen Geld zu überweisen.

Lade dir bitte Malwarebytes herunter und scanne damit deinen Rechner. Lass alle Funde entfernen, poste danach den Bericht von Malwarebytes und ein Log von HijackThis hier.

lg myrtille

Savoir · 29.08.2008, 18:22

hi danke für deine hilfe soweit ist wieder alles klar kann jetzt auch wieder auf den task manager zugreifen
ein systemwiederherstellung punkt wurde automatisch auch wieder erstellt soweit sieht alles wieder so aus wie vorher
danke dir soweit erstmal hier ist der log

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1094
Windows 5.1.2600 Service Pack 2

19:09:59 29.08.2008
mbam-log-08-29-2008 (19-09-59).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 120269
Laufzeit: 59 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 38
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 16
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Online Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Video Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Desktop\luzifer1125\qip8050.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6874BC31-F718-40FE-9F0B-CA731D118C9F}\RP563\A0094193.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Savoir · 29.08.2008, 18:31

hi soweit schauts alles ok sein taskmanager ist wieder verfügbar und es wurde schon ein systemwiederherstellungspunkt automatisch erstellt
aber beim posten dieses berichtes öffnete sich ein fenster dieses angebliche windows xp wirewall was ich oben geschrieben habe aber auf englisch wieder obwohl das echte auf deutsch eingestellt ist auf jedenfall sagte er ein trojaner namens
Trojan-downloader.win32.Agent.bq

poste gleich auch erstmal den log

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1094
Windows 5.1.2600 Service Pack 2

19:09:59 29.08.2008
mbam-log-08-29-2008 (19-09-59).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 120269
Laufzeit: 59 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 38
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 16
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Online Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Video Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Desktop\luzifer1125\qip8050.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6874BC31-F718-40FE-9F0B-CA731D118C9F}\RP563\A0094193.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Savoir · 29.08.2008, 18:32

hi soweit schauts alles ok sein taskmanager ist wieder verfügbar und es wurde schon ein systemwiederherstellungspunkt automatisch erstellt
aber beim posten dieses berichtes öffnete sich ein fenster dieses angebliche windows xp wirewall was ich oben geschrieben habe aber auf englisch wieder obwohl das echte auf deutsch eingestellt ist auf jedenfall sagte er ein trojaner namens
Trojan-downloader.win32.Agent.bq

den log will er nicht posten vielleicht zu lang oder so

Savoir · 29.08.2008, 19:02

habe dir 2 pn geschrieben weil ich hier nicht posten konnte hoffe jetzt geht es
uzusätzloch wurde noch von den angeblichen windows fenster der trojaner
Trojan-Spy.HTML.Bankfraud.bq angezeigt

myrtille · 29.08.2008, 19:28

Hi,

ich versteh das Problem nicht so ganz, du konntest nicht posten? Wieso nicht, bzw was war das Problem?

Offensichtlich sind noch Reste des Befalls auf deinem Rechner.

Mach daher bitte mal Folgendes:

filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Gmer

Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

lg myrtille

Savoir · 01.09.2008, 14:30

ok soweit erstmal alles erledigt

habe den filelist editor aktiviert und habe nur die datein geposten in den 30 tagen und bissel mehr

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\

31.08.2008 14:12 536.268.800 hiberfil.sys
31.08.2008 14:12 805.306.368 pagefile.sys
06.04.2008 13:02 60 PhyPath.ini
28.12.2007 15:39 211 boot.ini
28.12.2007 15:24 47.564 NTDETECT.COM
28.12.2007 15:24 251.184 ntldr
22.02.2007 22:33 0 MSDOS.SYS
22.02.2007 22:33 0 IO.SYS
22.02.2007 22:33 0 CONFIG.SYS
22.02.2007 22:33 0 AUTOEXEC.BAT
02.04.2003 14:00 4.952 bootfont.bin
11 Datei(en) 1.341.879.139 Bytes
0 Verzeichnis(se), 3.636.027.392 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\system32

31.08.2008 14:12 13.646 wpa.dbl
25.08.2008 00:48 86.016 rcfwbgxu.exe
14.08.2008 14:57 359.320 TZLog.log
26.07.2008 09:47 552 d3d8caps.dat
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\Prefetch

01.09.2008 14:11 11.540 FIND.EXE-0EC32F1E.pf
01.09.2008 14:11 11.360 CMD.EXE-087B4001.pf
01.09.2008 14:11 26.644 WINRAR.EXE-3588DFE8.pf
01.09.2008 14:11 29.654 AVWSC.EXE-2F6C3C95.pf
01.09.2008 14:10 4.166 RCFWBGXU.EXE-366D4AE5.pf
01.09.2008 13:57 52.852 DFRGNTFS.EXE-269967DF.pf
01.09.2008 13:57 16.744 DEFRAG.EXE-273F131E.pf
01.09.2008 13:57 400.362 Layout.ini
01.09.2008 13:42 27.658 WMIPRVSE.EXE-28F301A9.pf
01.09.2008 13:42 20.130 WUAUCLT.EXE-399A8E72.pf
01.09.2008 13:11 13.790 CALC.EXE-02CD573A.pf
01.09.2008 12:58 20.546 RUNDLL32.EXE-327ED30F.pf
01.09.2008 10:09 68.032 AVNOTIFY.EXE-22AE9451.pf
01.09.2008 10:09 63.942 UPDATE.EXE-13D57D76.pf
01.09.2008 10:09 16.866 PREUPD.EXE-358AA1C1.pf
01.09.2008 09:47 110.808 IEXPLORE.EXE-2CA9778D.pf
01.09.2008 09:29 15.172 RTWLAN.EXE-2CE8F751.pf
01.09.2008 09:14 22.784 LOGONUI.EXE-0AF22957.pf
01.09.2008 09:13 30.270 RUNDLL32.EXE-1831A4F3.pf
01.09.2008 09:13 23.304 CONTROL.EXE-013DBFB5.pf
01.09.2008 06:48 10.798 WSCNTFY.EXE-1B24F5EB.pf
31.08.2008 21:35 15.392 VERCLSID.EXE-3667BD89.pf
31.08.2008 21:29 20.240 GUARDGUI.EXE-1BD45C30.pf
31.08.2008 16:31 74.828 WINAMP.EXE-08C38ED9.pf
31.08.2008 16:13 74.708 ACRORD32.EXE-153330F0.pf
31.08.2008 15:19 76.514 QIP.EXE-071FCCCB.pf
31.08.2008 14:17 54.362 JUCHECK.EXE-275CF176.pf
31.08.2008 14:13 1.126.756 NTOSBOOT-B00DFAAD.pf
31.08.2008 06:55 27.850 TWARNMSG.EXE-211F4D99.pf
30.08.2008 10:41 28.422 RUNDLL32.EXE-2B1340EE.pf
30.08.2008 10:37 28.418 RUNDLL32.EXE-138095BD.pf
30.08.2008 10:10 76.022 DUMPREP.EXE-1B46F901.pf
30.08.2008 10:10 169.064 HPQSTE08.EXE-1E91DFAA.pf
29.08.2008 19:24 30.616 NOTEPAD.EXE-336351A9.pf
29.08.2008 19:20 41.186 RSTRUI.EXE-03C49A96.pf
29.08.2008 19:16 18.126 TASKMGR.EXE-20256C55.pf
29.08.2008 17:55 23.762 BLPHCASDJ0EA7V.SCR-3017CED8.pf
29.08.2008 17:40 23.530 REGSVR32.EXE-25EEFE2F.pf
29.08.2008 17:39 19.808 MBAM-SETUP.TMP-04DC2FCE.pf
29.08.2008 17:39 15.768 MBAM-SETUP.EXE-2C1B25B4.pf
27.08.2008 00:31 41.730 HPRBUPDATE.EXE-06271174.pf
26.08.2008 21:02 13.576 RUNDLL32.EXE-451FC2C0.pf
26.08.2008 18:05 8.240 JAVA.EXE-2851EA55.pf
25.08.2008 16:12 279.398 HELPSVC.EXE-2878DDA2.pf
44 Datei(en) 3.285.738 Bytes
0 Verzeichnis(se), 3.635.912.704 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS

01.09.2008 13:42 1.895.630 WindowsUpdate.log
31.08.2008 19:27 192 winamp.ini
31.08.2008 14:12 0 0.log
31.08.2008 14:12 2.048 bootstat.dat
30.08.2008 10:58 1.976 SchedLgU.Txt
29.08.2008 17:59 302.188 ntbtlog.txt
28.08.2008 21:05 554.761 setupapi.log
14.08.2008 14:58 1.374 imsins.log
14.08.2008 14:58 420.638 tsoc.log
14.08.2008 14:58 171.857 iis6.log
14.08.2008 14:58 212.115 ntdtcsetup.log
14.08.2008 14:58 46.174 ocmsn.log
14.08.2008 14:58 351.007 comsetup.log
14.08.2008 14:58 15.856 KB952954.log
14.08.2008 14:58 545.835 ocgen.log
14.08.2008 14:58 54.395 msgsocm.log
14.08.2008 14:58 1.085.988 FaxSetup.log
14.08.2008 14:58 1.374 imsins.BAK
14.08.2008 14:58 11.406 KB946648.log
14.08.2008 14:57 9.890 KB953839.log
14.08.2008 14:57 16.148 KB950974.log
14.08.2008 14:57 91.963 updspapi.log
14.08.2008 14:57 29.108 KB951072-v2.log
14.08.2008 14:57 10.930 KB952287.log
14.08.2008 14:57 10.918 KB951066.log
14.08.2008 14:57 20.344 KB953838.log
29.07.2008 15:01 116 NeroDigital.ini
10.07.2008 08:17 216 wiadebug.log
10.07.2008 08:12 16.873 KB951748.log
07.07.2008 22:23 50 wiaservc.log

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\tasks

31.08.2008 14:12 6 SA.DAT
23.08.2008 09:05 276 AppleSoftwareUpdate.job
22.08.2008 17:27 394 1-Klick-Wartung.job
07.03.2007 04:39 346 Symantec NetDetect.job
02.04.2003 14:00 65 desktop.ini
5 Datei(en) 1.087 Bytes
0 Verzeichnis(se), 3.635.900.416 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\temp

01.09.2008 09:29 767.245 hpqddsvc.log
31.08.2008 14:12 409 WGANotify.settings
31.08.2008 14:12 255 WGAErrLog.txt
04.03.2008 01:01 595.952 ProductContextD1400.log
03.03.2008 08:05 6.209 NetFxUpdate_v1.1.4322.log

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp

01.09.2008 14:11 120.214 filelist.txt
01.09.2008 14:11 22.486 x.ico
31.08.2008 14:17 99.262 jusched.log
31.08.2008 14:12 33.456 hpqddusr.log
31.08.2008 14:12 1.285 MAR9E.tmp
31.08.2008 14:12 1.342 MAR9D.tmp
31.08.2008 14:12 0 ~C.tmp
31.08.2008 14:12 0 JETE102.tmp
31.08.2008 06:52 1.285 MAR9C.tmp
31.08.2008 06:52 1.342 MAR9B.tmp
31.08.2008 06:52 0 ~B.tmp
30.08.2008 10:13 1.285 MAR9A.tmp
30.08.2008 10:13 1.342 MAR99.tmp
30.08.2008 10:13 0 ~A.tmp
30.08.2008 10:07 1.285 MAR98.tmp
30.08.2008 10:07 1.342 MAR97.tmp
30.08.2008 10:06 0 ~9.tmp
29.08.2008 19:15 1.285 MAR96.tmp
29.08.2008 19:15 1.342 MAR95.tmp
29.08.2008 19:15 0 ~4.tmp
29.08.2008 18:07 1.285 MAR94.tmp
29.08.2008 18:07 1.342 MAR93.tmp
29.08.2008 18:06 0 ~2.tmp
29.08.2008 17:47 0 .ttC2.tmp
29.08.2008 17:41 311.296 ~DFA563.tmp
29.08.2008 17:37 0 .ttBB.tmp
29.08.2008 17:27 0 .ttB5.tmp
29.08.2008 17:17 0 .ttA6.tmp
29.08.2008 17:17 1.285 MAR92.tmp
29.08.2008 17:17 1.342 MAR91.tmp
29.08.2008 17:16 0 ~8.tmp
29.08.2008 17:16 1.002 .tt6.tmp.vbs
29.08.2008 08:04 0 .ttAB.tmp
29.08.2008 07:54 0 .tt9D.tmp
29.08.2008 07:54 1.285 MAR90.tmp
29.08.2008 07:54 1.342 MAR8F.tmp
29.08.2008 07:54 0 ~7.tmp
29.08.2008 07:54 1.002 .tt5.tmp.vbs
29.08.2008 07:37 0 .ttAF.tmp
29.08.2008 07:27 0 .ttAA.tmp
29.08.2008 02:59 0 .ttA4.tmp
29.08.2008 02:49 0 .tt98.tmp
29.08.2008 02:49 1.285 MAR8E.tmp
29.08.2008 02:49 1.342 MAR8D.tmp
29.08.2008 02:49 0 ~6.tmp
29.08.2008 02:49 1.002 .tt4.tmp.vbs
29.08.2008 02:37 0 .ttD1.tmp
29.08.2008 02:27 0 .ttCF.tmp
29.08.2008 02:17 0 .ttCD.tmp
29.08.2008 02:07 0 .ttCB.tmp
29.08.2008 01:57 0 .ttC9.tmp
29.08.2008 01:47 0 .ttC7.tmp
29.08.2008 01:37 0 .ttC5.tmp
29.08.2008 01:27 0 .ttC3.tmp
29.08.2008 01:17 0 .ttC1.tmp
29.08.2008 01:07 0 .ttBC.tmp
29.08.2008 00:57 0 .ttBA.tmp
29.08.2008 00:47 0 .ttB7.tmp
29.08.2008 00:37 0 .ttB3.tmp
29.08.2008 00:27 0 .ttB0.tmp
29.08.2008 00:17 0 .ttAD.tmp
28.08.2008 21:54 0 .ttA8.tmp
28.08.2008 21:44 0 .ttA5.tmp
28.08.2008 21:34 0 .tt9F.tmp
28.08.2008 21:24 0 .tt9A.tmp
28.08.2008 21:14 0 .tt95.tmp
28.08.2008 21:14 1.285 MAR8C.tmp
28.08.2008 21:14 1.342 MAR8B.tmp
28.08.2008 21:14 0 ~5.tmp
28.08.2008 20:54 0 .ttA2.tmp
28.08.2008 20:53 1.285 MAR8A.tmp
28.08.2008 20:53 1.342 MAR89.tmp
28.08.2008 20:53 0 ~3.tmp
28.08.2008 15:47 0 .ttBE.tmp
28.08.2008 15:36 0 .ttB8.tmp
28.08.2008 15:26 0 .ttB4.tmp
28.08.2008 15:16 0 .ttB2.tmp
28.08.2008 15:06 0 .ttAE.tmp
28.08.2008 14:56 0 .ttAC.tmp
28.08.2008 14:46 0 .ttA9.tmp
28.08.2008 14:36 0 .ttA7.tmp
28.08.2008 14:26 0 .ttA3.tmp
28.08.2008 14:16 0 .ttA1.tmp
28.08.2008 14:06 0 .tt9E.tmp
28.08.2008 13:56 0 .tt9C.tmp
28.08.2008 13:46 0 .tt97.tmp
28.08.2008 13:46 0 .tt8F.tmp
28.08.2008 13:45 1.285 MAR88.tmp
28.08.2008 13:45 1.342 MAR87.tmp
28.08.2008 13:45 0 ~1.tmp
28.08.2008 11:32 0 .tt96.tmp
28.08.2008 11:22 0 .tt94.tmp
28.08.2008 11:21 0 .tt8C.tmp
28.08.2008 11:21 1.285 MAR86.tmp
28.08.2008 11:21 1.342 MAR85.tmp
28.08.2008 11:21 0 ~44.tmp
28.08.2008 11:17 0 .ttC0.tmp
28.08.2008 07:05 0 .ttBF.tmp
28.08.2008 00:38 0 .ttB6.tmp
28.08.2008 00:28 0 .tt9B.tmp
28.08.2008 00:18 0 .tt93.tmp
28.08.2008 00:08 0 .tt8E.tmp
27.08.2008 23:58 0 .tt8A.tmp
27.08.2008 23:58 1.285 MAR84.tmp
27.08.2008 23:58 1.342 MAR83.tmp
27.08.2008 23:58 0 ~43.tmp
27.08.2008 08:05 0 .ttA0.tmp
27.08.2008 07:28 0 .tt88.tmp
27.08.2008 07:28 1.285 MAR82.tmp
27.08.2008 07:28 1.342 MAR81.tmp
27.08.2008 07:28 0 ~42.tmp
27.08.2008 06:52 0 .tt91.tmp
27.08.2008 06:52 0 .tt84.tmp
27.08.2008 06:51 1.285 MAR80.tmp
27.08.2008 06:51 1.342 MAR7F.tmp
27.08.2008 06:51 0 ~41.tmp
27.08.2008 06:51 0 JETD849.tmp
27.08.2008 00:52 0 .tt99.tmp
27.08.2008 00:41 0 .tt92.tmp
27.08.2008 00:31 0 .tt90.tmp
26.08.2008 21:12 0 .tt8D.tmp
26.08.2008 21:02 0 .tt8B.tmp
26.08.2008 20:51 0 .tt89.tmp
26.08.2008 20:41 0 .tt85.tmp
26.08.2008 20:31 0 .tt82.tmp
26.08.2008 20:31 0 .tt7F.tmp
26.08.2008 20:31 1.285 MAR7E.tmp
26.08.2008 20:31 1.342 MAR7D.tmp
26.08.2008 20:31 0 ~40.tmp
26.08.2008 18:02 0 .tt87.tmp
26.08.2008 18:00 0 .tt7D.tmp
26.08.2008 18:00 1.285 MAR7C.tmp
26.08.2008 18:00 1.342 MAR7B.tmp
26.08.2008 18:00 0 ~3F.tmp
26.08.2008 15:42 0 .tt83.tmp
26.08.2008 15:32 0 .tt81.tmp
26.08.2008 15:22 0 .tt7E.tmp
26.08.2008 15:22 0 .tt7B.tmp
26.08.2008 15:21 1.285 MAR7A.tmp
26.08.2008 15:21 1.342 MAR79.tmp
26.08.2008 15:21 0 ~3E.tmp
26.08.2008 06:46 0 .tt86.tmp
26.08.2008 06:35 0 .tt7C.tmp
25.08.2008 13:21 1.285 MAR78.tmp
25.08.2008 13:21 1.342 MAR77.tmp
25.08.2008 13:21 0 ~3C.tmp
22.08.2008 14:51 1.285 MAR76.tmp
22.08.2008 14:51 1.342 MAR75.tmp
22.08.2008 07:23 1.285 MAR74.tmp
22.08.2008 07:23 1.342 MAR73.tmp
20.08.2008 00:28 1.285 MAR72.tmp
20.08.2008 00:28 1.342 MAR71.tmp
19.08.2008 07:03 1.285 MAR70.tmp
19.08.2008 07:03 1.342 MAR6F.tmp
18.08.2008 22:25 1.285 MAR6E.tmp
18.08.2008 22:25 1.342 MAR6D.tmp
15.08.2008 15:34 1.285 MAR6C.tmp
15.08.2008 15:34 1.342 MAR6B.tmp
15.08.2008 12:13 28.372 AAX6E.tmp
15.08.2008 09:24 1.285 MAR6A.tmp
15.08.2008 09:23 1.342 MAR69.tmp
14.08.2008 23:39 1.285 MAR68.tmp
14.08.2008 23:39 1.342 MAR67.tmp
14.08.2008 21:38 523.874 VGX69.tmp
14.08.2008 19:21 1.285 MAR66.tmp
14.08.2008 19:21 1.342 MAR65.tmp
13.08.2008 12:45 1.285 MAR64.tmp
13.08.2008 12:45 1.342 MAR63.tmp
13.08.2008 11:43 59.964 ~e5.0001
13.08.2008 11:42 1.285 MAR62.tmp
13.08.2008 11:42 1.342 MAR61.tmp
13.08.2008 07:03 1.285 MAR60.tmp
13.08.2008 07:03 1.342 MAR5F.tmp
08.08.2008 11:12 1.285 MAR5E.tmp
08.08.2008 11:12 1.342 MAR5D.tmp
07.08.2008 23:25 1.285 MAR5C.tmp
07.08.2008 23:25 1.342 MAR5B.tmp
30.07.2008 22:07 88 STS1F3.tmp
27.07.2008 07:02 1.285 MAR5A.tmp
27.07.2008 07:02 1.342 MAR59.tmp
26.07.2008 09:50 1.285 MAR58.tmp
26.07.2008 09:50 1.342 MAR57.tmp
24.07.2008 16:13 1.285 MAR56.tmp
24.07.2008 16:13 1.342 MAR55.tmp
24.07.2008 16:08 1.285 MAR54.tmp
24.07.2008 16:08 1.342 MAR53.tmp
21.07.2008 01:54 1.285 MAR52.tmp
21.07.2008 01:54 1.342 MAR51.tmp
19.07.2008 05:56 1.285 MAR50.tmp
19.07.2008 05:56 1.342 MAR4F.tmp
19.07.2008 05:37 1.285 MAR4E.tmp
19.07.2008 05:37 1.342 MAR4D.tmp
18.07.2008 21:09 1.248 java_install_reg.log
18.07.2008 14:21 1.285 MAR4C.tmp
18.07.2008 14:21 1.342 MAR4B.tmp
18.07.2008 06:45 1.285 MAR4A.tmp
18.07.2008 06:45 1.342 MAR49.tmp
16.07.2008 07:29 1.285 MAR48.tmp
16.07.2008 07:29 1.342 MAR47.tmp
15.07.2008 06:49 1.285 MAR46.tmp
15.07.2008 06:49 1.342 MAR45.tmp
11.07.2008 09:29 1.285 MAR44.tmp
11.07.2008 09:29 1.342 MAR43.tmp
11.07.2008 06:44 1.285 MAR42.tmp
11.07.2008 06:44 1.342 MAR41.tmp
10.07.2008 08:20 1.285 MAR40.tmp
10.07.2008 08:20 1.342 MAR3F.tmp
07.07.2008 00:50 1.285 MAR3E.tmp
07.07.2008 00:50 1.342 MAR3D.tmp
06.07.2008 12:14 1.285 MAR3C.tmp
06.07.2008 12:14 1.342 MAR3B.tmp
06.07.2008 11:03 1.285 MAR3A.tmp
06.07.2008 11:03 1.342 MAR39.tmp
04.07.2008 20:13 88 STS5A.tmp
03.07.2008 11:29 1.285 MAR38.tmp
03.07.2008 11:29 1.342 MAR37.tmp
02.07.2008 14:40 32.768 RMS5D.tmp
02.07.2008 14:40 32.768 RMS5E.tmp

Das erstmal zu filelist

Gmer:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-01 15:19:01
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF84FC818]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF84FC7D0]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF84F0A20]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84F12A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF84FC910]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF84FC794]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF84F12C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF84FC866]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF84FC0B0]

INT 0x37 ? FE04541C

---- User code sections - GMER 1.0.14 ----

.reloc C:\WINDOWS\Explorer.EXE[296] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0x5000, 0x62000060]
.reloc C:\WINDOWS\Explorer.EXE[296] C:\WINDOWS\Explorer.EXE entry point in ".reloc" section [0x010FF000]
.rsrc C:\WINDOWS\system32\svchost.exe[564] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\svchost.exe[564] C:\WINDOWS\system32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\system32\winlogon.exe[916] C:\WINDOWS\system32\winlogon.exe section is executable [0x01076000, 0xC000, 0x60000060]
.rsrc C:\WINDOWS\system32\winlogon.exe[916] C:\WINDOWS\system32\winlogon.exe entry point in ".rsrc" section [0x01081000]
.rsrc C:\WINDOWS\system32\services.exe[976] C:\WINDOWS\system32\services.exe section is executable [0x0101B000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\services.exe[976] C:\WINDOWS\system32\services.exe entry point in ".rsrc" section [0x0101C000]
.rsrc C:\WINDOWS\system32\svchost.exe[1164] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\svchost.exe[1164] C:\WINDOWS\system32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\system32\svchost.exe[1224] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\svchost.exe[1224] C:\WINDOWS\system32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\System32\svchost.exe[1372] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\System32\svchost.exe[1372] C:\WINDOWS\System32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\System32\svchost.exe[1464] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\System32\svchost.exe[1464] C:\WINDOWS\System32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\System32\svchost.exe[1708] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\System32\svchost.exe[1708] C:\WINDOWS\System32\svchost.exe entry point in ".rsrc" section [0x01006000]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 822E7938

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \Driver\Cdrom \Device\CdRom0 81FC5620
Device \FileSystem\Rdbss \Device\FsWrap 82009210
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 81FAD2B0
Device \Driver\atapi \Device\Ide\IdePort0 81FAD2B0
Device \Driver\atapi \Device\Ide\IdePort1 81FAD2B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 81FAD2B0
Device \FileSystem\Srv \Device\LanmanServer 82092E90
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82249DA8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82249DA8
Device \FileSystem\Npfs \Device\NamedPipe 82011C10
Device \FileSystem\Msfs \Device\Mailslot 8201BC00
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8201F4B0
Device \FileSystem\Cdfs \Cdfs 822BD030

---- Modules - GMER 1.0.14 ----

Module _________ F845A000-F8472000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0xC6 0x57 0x63 0xCA ...

---- EOF - GMER 1.0.14 ----

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 15:21:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,d6,d6,82,9f,50,16,8c,dc,b3,fb,ff,da,aa,fc,5a,a3,f5,..
"hj34z0"=hex:c6,57,63,ca,f1,01,7f,26,a1,65,e9,45,76,49,70,9a,26,c8,cf,5f,c8,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

myrtille · 01.09.2008, 20:21

Hi,

lade dir bitte den CCleaner herunter und bereinige dein System damit und führe anschließend folgendes durch:

Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\windows\system32\rcfwbgxu.exe

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste das Log von Avenger sowie ein neues Hijackthislog heir.

lg myrtille

Savoir · 03.09.2008, 20:31

ok habe soweit alles gemacht

der bericht von Avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\windows\system32\rcfwbgxu.exe" not found!
Deletion of file "C:\windows\system32\rcfwbgxu.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

was ist den das für ein programm so ne art not löscher oder so was
aso wo ich den cleaner am lafen hatte hatte sich beim scan 3 mal ein vds/agent gemeldet habe ihn 3 mal gelöscht

myrtille · 04.09.2008, 01:02

Hi,

ja das ist ne Art Löschprogramm, mit dem man bestimmte Sachen löschen kann.

Wo wurde der VBS/Agent gemeldet? In welchen Dateien?

Poste bitte ein neues Filelist.

lg myrtille

Savoir · 06.09.2008, 18:14

weis ich nicht mehr genau wo der war hier die neue filelist

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\

03.09.2008 21:24 536.268.800 hiberfil.sys
03.09.2008 21:24 805.306.368 pagefile.sys
03.09.2008 21:24 1.304 avenger.txt
06.04.2008 13:02 60 PhyPath.ini
28.12.2007 15:39 211 boot.ini

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\system32

03.09.2008 21:25 13.646 wpa.dbl
14.08.2008 14:57 359.320 TZLog.log
26.07.2008 09:47 552 d3d8caps.dat
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\Prefetch

06.09.2008 19:10 11.540 FIND.EXE-0EC32F1E.pf
06.09.2008 19:10 16.476 CMD.EXE-087B4001.pf
06.09.2008 19:10 29.540 AVWSC.EXE-2F6C3C95.pf
06.09.2008 19:09 17.374 NOTEPAD.EXE-336351A9.pf
06.09.2008 19:06 123.398 IEXPLORE.EXE-2CA9778D.pf
06.09.2008 18:56 15.430 DEFRAG.EXE-273F131E.pf
06.09.2008 18:56 38.844 DFRGNTFS.EXE-269967DF.pf
06.09.2008 18:56 450.146 Layout.ini
06.09.2008 18:50 28.796 WUAUCLT.EXE-399A8E72.pf
06.09.2008 16:48 20.240 GUARDGUI.EXE-1BD45C30.pf
06.09.2008 16:14 41.750 MBAM.EXE-11D8BBD8.pf
06.09.2008 16:09 16.700 VERCLSID.EXE-3667BD89.pf
06.09.2008 15:54 59.194 MSIEXEC.EXE-2F8A8CAE.pf
06.09.2008 15:50 11.694 SETUP.EXE-1291E7D2.pf
06.09.2008 15:49 4.234 NFS_UNINST.EXE-1528FEB8.pf
06.09.2008 15:47 2.806 EAUNINSTALL.EXE-13DFC594.pf
06.09.2008 15:47 21.222 EAUNINSTALL.EXE-003F86B8.pf
06.09.2008 15:46 23.156 REGSVR32.EXE-25EEFE2F.pf
06.09.2008 15:45 52.846 RUNDLL32.EXE-13404D23.pf
06.09.2008 15:06 54.776 SOFTWAREUPDATE.EXE-1E90DF1F.pf
06.09.2008 15:06 20.352 DLLHOST.EXE-205D880D.pf
06.09.2008 15:06 19.390 TASKMGR.EXE-20256C55.pf
06.09.2008 15:06 61.360 WMIPRVSE.EXE-28F301A9.pf
06.09.2008 15:05 15.930 RTWLAN.EXE-2CE8F751.pf
06.09.2008 15:05 21.294 LOGONUI.EXE-0AF22957.pf
06.09.2008 07:31 12.732 LEVELR-SETUP[1].EXE-1F8ACD0B.pf
05.09.2008 23:51 253.434 HELPSVC.EXE-2878DDA2.pf
05.09.2008 19:27 21.468 RUNDLL32.EXE-1480706C.pf
05.09.2008 19:26 68.170 AVNOTIFY.EXE-22AE9451.pf
05.09.2008 19:26 59.442 UPDATE.EXE-13D57D76.pf
05.09.2008 19:26 16.400 PREUPD.EXE-358AA1C1.pf
05.09.2008 19:25 56.492 WINAMP.EXE-08C38ED9.pf
05.09.2008 19:24 13.352 RUNDLL32.EXE-451FC2C0.pf
05.09.2008 18:40 27.966 FFMPEG.EXE-2DEC6F7B.pf
05.09.2008 18:39 22.454 FREEYOUTUBETOMP3CONVERTER.EXE-2777458B.pf
05.09.2008 17:17 62.434 DISKCLEANER.EXE-015A6E3D.pf
05.09.2008 17:15 74.690 REGISTRYCLEANER.EXE-2ACFEEF7.pf
05.09.2008 17:15 62.552 SYSTEMOPTIMIZER.EXE-191231CF.pf
05.09.2008 17:07 11.204 HPQUSGL.EXE-1D5E2061.pf
05.09.2008 17:04 29.380 DRWTSN32.EXE-2B4B52AC.pf
05.09.2008 17:04 37.966 DWWIN.EXE-30875ADC.pf
05.09.2008 16:56 17.202 RUNDLL32.EXE-44E53AFD.pf
05.09.2008 16:31 41.768 WINWORD.EXE-3395695A.pf
05.09.2008 16:17 28.864 RUNDLL32.EXE-1B2BD8E6.pf
05.09.2008 16:16 29.660 RUNDLL32.EXE-297CA014.pf
05.09.2008 16:04 18.570 RUNDLL32.EXE-17174144.pf
05.09.2008 15:12 21.240 NO23_RECORDER.EXE-1F568BAF.pf
05.09.2008 15:11 31.462 AUDACITY.EXE-37FCDC82.pf
05.09.2008 15:04 17.238 RUNDLL32.EXE-20EB5B98.pf
05.09.2008 15:04 19.410 RUNDLL32.EXE-188DF14E.pf
05.09.2008 14:08 16.304 FREEYOUTUBEDOWNLOAD.EXE-066EC66E.pf
05.09.2008 13:19 76.092 QIP.EXE-071FCCCB.pf
04.09.2008 23:50 73.760 ACRORD32.EXE-153330F0.pf
04.09.2008 19:53 13.790 CALC.EXE-02CD573A.pf
04.09.2008 18:04 19.750 NTVDM.EXE-1A10A423.pf
04.09.2008 01:40 9.304 QTTASK.EXE-2D7EEF34.pf
04.09.2008 01:12 24.612 RUNDLL32.EXE-37015476.pf
04.09.2008 01:12 14.800 RUNDLL32.EXE-26316641.pf
04.09.2008 01:11 24.510 RUNDLL32.EXE-224FB889.pf
04.09.2008 01:11 14.788 RUNDLL32.EXE-467DE29F.pf
03.09.2008 21:30 43.104 JUCHECK.EXE-275CF176.pf
03.09.2008 21:26 1.148.620 NTOSBOOT-B00DFAAD.pf
03.09.2008 21:21 15.164 AVENGER.EXE-01AAD49F.pf
03.09.2008 21:07 20.012 CCLEANER.EXE-065E2F3F.pf
03.09.2008 21:06 24.168 CCSETUP211.EXE-0A10F4BD.pf
03.09.2008 19:28 37.822 AVGNT.EXE-36CA4640.pf
03.09.2008 19:26 43.152 HPWUCLI.EXE-255A3051.pf
03.09.2008 01:29 16.556 RBSOLNUPDATEDEU.3.0.1.EXE-229654CC.pf
03.09.2008 01:29 52.120 RBSOLNUPDATE.EXE-2BF5E083.pf
03.09.2008 01:29 42.780 HPRBUPDATE.EXE-06271174.pf
02.09.2008 21:03 17.192 IMAPI.EXE-0BF740A4.pf
02.09.2008 21:01 58.042 AVSDVDPLAYER.EXE-2C271EF8.pf
01.09.2008 20:56 4.014 RCFWBGXU.EXE-366D4AE5.pf
01.09.2008 15:21 10.048 CATCHME.EXE-190910DF.pf
01.09.2008 14:47 21.484 GMER.EXE-14DB0D6D.pf
01.09.2008 14:46 31.816 WINRAR.EXE-3588DFE8.pf
01.09.2008 12:58 20.546 RUNDLL32.EXE-327ED30F.pf
01.09.2008 09:13 30.270 RUNDLL32.EXE-1831A4F3.pf
01.09.2008 09:13 23.304 CONTROL.EXE-013DBFB5.pf
01.09.2008 06:48 10.798 WSCNTFY.EXE-1B24F5EB.pf
31.08.2008 06:55 27.850 TWARNMSG.EXE-211F4D99.pf
30.08.2008 10:41 28.422 RUNDLL32.EXE-2B1340EE.pf
30.08.2008 10:37 28.418 RUNDLL32.EXE-138095BD.pf
30.08.2008 10:10 76.022 DUMPREP.EXE-1B46F901.pf
30.08.2008 10:10 169.064 HPQSTE08.EXE-1E91DFAA.pf
29.08.2008 19:20 41.186 RSTRUI.EXE-03C49A96.pf
29.08.2008 17:55 23.762 BLPHCASDJ0EA7V.SCR-3017CED8.pf
29.08.2008 17:39 19.808 MBAM-SETUP.TMP-04DC2FCE.pf
29.08.2008 17:39 15.768 MBAM-SETUP.EXE-2C1B25B4.pf
26.08.2008 18:05 8.240 JAVA.EXE-2851EA55.pf
90 Datei(en) 4.631.300 Bytes
0 Verzeichnis(se), 4.911.153.152 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS

06.09.2008 18:50 2.037.189 WindowsUpdate.log
06.09.2008 15:51 116 NeroDigital.ini
05.09.2008 19:26 192 winamp.ini
03.09.2008 21:24 0 0.log
03.09.2008 21:24 2.048 bootstat.dat
03.09.2008 21:22 3.414 SchedLgU.Txt
01.09.2008 14:47 250 gmer.ini
01.09.2008 14:47 80 gmer_uninstall.cmd
01.09.2008 14:47 884.736 gmer.dll
22.05.2008 19:54 3.038 mozver.dat
17.04.2008 21:13 811.008 gmer.exe
04.03.2008 01:01 155.632 HPHins15.dat
17.02.2008 13:02 6.104 ModemLog_Bluetooth DUN Modem.txt
17.02.2008 13:02 6.098 ModemLog_Bluetooth Fax Modem.txt

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\tasks

06.09.2008 15:06 276 AppleSoftwareUpdate.job
05.09.2008 17:18 394 1-Klick-Wartung.job
03.09.2008 21:24 6 SA.DAT
07.03.2007 04:39 346 Symantec NetDetect.job
02.04.2003 14:00 65 desktop.ini
5 Datei(en) 1.087 Bytes
0 Verzeichnis(se), 4.911.144.960 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\temp

06.09.2008 15:06 802.514 hpqddsvc.log
03.09.2008 21:25 409 WGANotify.settings
03.09.2008 21:24 255 WGAErrLog.txt
23.01.2008 18:04 31.480 Jazz.jpg
23.01.2008 18:04 62.211 Gold.png
23.01.2008 18:04 38.982 Bling.jpg
23.01.2008 18:03 42.904 Lava.png
23.01.2008 18:03 23.058 Traffic.jpg
23.01.2008 18:03 28.159 Wireclef.jpg
23.01.2008 17:59 34.181 Rock.jpg
09.12.2007 18:07 49.350 BUSHIDO.JPG
21.07.2007 06:30 16.247 Mein Baby.jpg
28.03.2007 13:50 51.060 hpzDE5ha.chm
28.03.2007 13:50 37.842 hpzDE5ha.hlp
02.08.2001 16:58 3.527 845.INF
02.08.2001 15:19 3.344 ICH3USB.INF
16 Datei(en) 1.225.523 Bytes
0 Verzeichnis(se), 4.911.144.960 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp

06.09.2008 19:10 112.625 filelist.txt
05.09.2008 17:03 88 STS1D9.tmp
03.09.2008 21:29 100.804 jusched.log
03.09.2008 21:25 34.377 hpqddusr.log
03.09.2008 21:25 0 ~A5.tmp
03.09.2008 21:25 1.285 MARA4.tmp
03.09.2008 21:25 1.342 MARA3.tmp
03.09.2008 20:19 1.664 java_install_reg.log
02.09.2008 20:27 1.285 MARA2.tmp
02.09.2008 20:27 1.342 MARA1.tmp
02.09.2008 20:27 0 ~E.tmp
01.09.2008 22:35 1.285 MARA0.tmp
01.09.2008 22:35 1.342 MAR9F.tmp
01.09.2008 22:35 0 ~D.tmp
31.08.2008 14:12 1.285 MAR9E.tmp
31.08.2008 14:12 1.342 MAR9D.tmp
31.08.2008 06:52 1.285 MAR9C.tmp
31.08.2008 06:52 1.342 MAR9B.tmp
30.08.2008 10:13 1.285 MAR9A.tmp
30.08.2008 10:13 1.342 MAR99.tmp
30.08.2008 10:07 1.285 MAR98.tmp
30.08.2008 10:07 1.342 MAR97.tmp
29.08.2008 19:15 1.285 MAR96.tmp
29.08.2008 19:15 1.342 MAR95.tmp

myrtille · 07.09.2008, 18:54

Hi,

das log sieht nicht schlecht uas.
Wie gehts dem Rechner?

lg myrtille

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!

Log-Analyse und Auswertung: Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!