Trojaner-Board - Bitte um Hilfe wegen infect

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Hilfe wegen infect (https://www.trojaner-board.de/24512-bitte-um-hilfe-wegen-infect.html)

Log3

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS

14.12.2005 20:19 1.411.064 WindowsUpdate.log
14.12.2005 20:13 981.389 setupapi.log
14.12.2005 20:13 0 0.log
14.12.2005 20:13 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
14.12.2005 20:12 2.048 bootstat.dat
14.12.2005 20:11 272.398 ntbtlog.txt
14.12.2005 20:11 228.635 setupact.log
14.12.2005 20:02 32.618 SchedLgU.Txt
14.12.2005 19:48 23.552 Thumbs.db
13.12.2005 17:34 95 winamp.ini
11.12.2005 15:35 50 wiaservc.log
11.12.2005 15:35 214 wiadebug.log
06.12.2005 18:46 17 Missing.ini
04.12.2005 18:01 60 CleaningLab.INI
04.12.2005 18:01 686 win.ini
03.12.2005 12:38 71 pex.INI
03.12.2005 12:38 147 Ulead32.ini
02.12.2005 14:20 430.241 wmsetup.log
01.12.2005 19:26 30 iedit.INI
12.11.2005 02:22 117.329 iis6.log
12.11.2005 02:22 279.087 comsetup.log
12.11.2005 02:22 181.533 ntdtcsetup.log
12.11.2005 02:22 349.653 tsoc.log
12.11.2005 02:22 39.922 ocmsn.log
12.11.2005 02:22 1.393 imsins.log
12.11.2005 02:22 11.810 KB896424.log
12.11.2005 02:22 545.585 ocgen.log
12.11.2005 02:22 46.466 msgsocm.log
12.11.2005 02:22 827.058 FaxSetup.log
12.11.2005 02:22 19.400 updspapi.log
26.10.2005 06:33 1.393 imsins.BAK
26.10.2005 06:33 21.003 KB901017.log
26.10.2005 06:33 23.373 KB902400.log
26.10.2005 06:33 14.056 KB896688.log
26.10.2005 06:32 13.591 KB905414.log
26.10.2005 06:32 13.392 KB900725.log
26.10.2005 06:32 11.234 KB904706.log
26.10.2005 06:32 11.879 KB905749.log
05.09.2005 17:25 236 wmsetup10.log
05

Log4

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

14.12.2005 20:33 0 sys.txt
14.12.2005 20:32 15.017 system.txt
14.12.2005 20:30 6.936 systemtemp.txt
14.12.2005 20:30 146.087 system32.txt
14.12.2005 20:13 5.776 ps_system_Zeit.txt
14.12.2005 20:12 536.399.872 hiberfil.sys
14.12.2005 20:12 805.306.368 pagefile.sys
14.12.2005 20:07 1.806 smitfiles.txt
06.12.2004 18:22 102 Platform.ini
30.09.2004 17:58 211 boot.ini
30.09.2004 17:51 47.564 NTDETECT.COM
30.09.2004 17:51 251.184 ntldr
20.09.2003 18:12 499 IPH.PH
20.09.2003 15:50 0 IO.SYS
20.09.2003 15:50 0 CONFIG.SYS
20.09.2003 15:50 0 AUTOEXEC.BAT
20.09.2003 15:50 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
18 Datei(en) 1.342.186.374 Bytes
0 Verzeichnis(se), 58.594.820.096 Bytes frei

Hallo Wildone,
ich glaube, es ist geschafft. Das Popup ist weg.
Jetzt habe ich noch das Problem, das Spybot folgende Datei nicht
löschen kann:

--- Search result list ---
Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, fixing failed)
HKEY_USERS\S-1-5-21-111699621-1356408258-4116266724-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-12-05 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-12-02 Includes\Cookies.sbi (*)
2005-12-02 Includes\Dialer.sbi (*)
2005-12-02 Includes\Hijackers.sbi (*)
2005-12-02 Includes\Keyloggers.sbi (*)
2005-12-02 Includes\Malware.sbi (*)
2005-12-02 Includes\PUPS.sbi (*)
2005-12-02 Includes\Revision.sbi (*)
2005-12-02 Includes\Security.sbi (*)
2005-12-02 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2005-12-02 Includes\Trojans.sbi (*)

Viele Grüsse
tukan39

Hallo,
da du nichts dafür kannst das sich hier zwei in die wolle bekommen haben, und du doch meine Anweisungen befolgt hast mache ich halt doch weiter, damit der Thread hoffentlich bald im Datennirvana verschwindet.

Erstmal löschst du die ganzen temporären Dateien mit Cleanup!

Dann besorgst du dir Killbox und löschst folgende Dateien on reboot (erst nach der letzten eingegebenen die Neustartaufforderung bejaen:
C:\WINDOWS\system32\ot(2).ico
C:\WINDOWS\system32\ts(2).ico
C:\WINDOWS\system32\svchosts(2).dll
C:\WINDOWS\system32\ncompat(2).tlb

Dann speicherst du die mcor.reg und Spyaxe.reg per Rechtsklick>>Ziel speichern unter auf dem Desktop, gehst in den abgesicherten Modus und fügst sie per Doppelklick der Registry hinzu.

Dann machst du noch zur Kontrolle einen Onlinescan bei Panda und berichtest was wo gefunden wurde.

Grüße Wildone

Hallo Wildone,
danke das Du Dich doch noch um mich kümmerst.
Ich habe alles so gemacht, wie Du geschrieben hast, sogar zweimal.
Smitfraud ist aber immer noch da. Nur mit Panda konnte ich nichts
machen, da immer ein Fehler beim Download auftritt.
Viele Grüsse
tukan39

Hallo,

also eigentlich sollte der Registrykey mit der Spyaxe.reg entfernt werden.
Du kannst aber auch über Start>>Ausführen "Regedit" eingeben und dann zu dem betreffenden Key gehen und ihn löschen.

Zu Panda, machst du den Scan mit dem IE? Akzeptierst du den Download des ActiveX Elements?

Grüße Jasager

Hallo Wildone,
ich habe glaube ich Mist gebaut. Ich habe etwas viel weggelöscht.
Jetzt ist das System zwar sauber, aber alles völlig durcheinander.
Ich habe nichts mehr in den Postfächern, unter eigenen Dateien steht nichts mehr usw..
Ich werde jetzt formatieren und das System neu aufsetzen. Diesmal werde ich aber die entsprechenden Vorkehrungen treffen, das mir sowas nicht mehr
so schnell passiert.
Ich schreibe Dir das nur, das Du Bescheid weisst, wenn ich mich nicht mehr melde. Außerdem möchte ich mich nochmal für Deine Hilfe bedanken.
Viele Grüße
tukan39