Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe Panda Online Findet Spyware !!!! (https://www.trojaner-board.de/25357-hilfe-panda-online-findet-spyware.html)

Sylvia66 04.01.2006 18:42
Hilfe Panda Online Findet Spyware !!!!
 
Bei mir findet Panda Online scan Spyware was muß ich jetzt tun ?
Poste vorab HTJ File und Scan bericht von Panda . Wäre schön wenn jemand da mal einen Blick drauf werfen könnte.

Code:
Logfile of HijackThis v1.99.1
Scan saved at 18:36:23, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\SYSTEM\AVPERSONAL\AVGUARD.EXE
C:\System\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\System\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\totalcmd\TOTALCMD.EXE
F:\Download\System\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.borussia.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://F:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\System\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: http://arcaonline.arcabit.com
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125218858645
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125218842372
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{082FCADC-6F1C-4367-9B1B-4907FA33238C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{14B3A684-356F-4C0A-AE4B-3796F6655182}: NameServer = 217.237.150.97 217.237.150.225
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\SYSTEM\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\System\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Code:
Ereignis                                Zustand                      Standort                                                                                                                                                                                                                                                       

Adware:adware/cws.searchmeup          Nicht desinfiziert            C:\WINDOWS\SYSTEM32\paytime.exe                                                                                                                                                                                                                               
Adware:adware/isearch                  Nicht desinfiziert            C:\WINDOWS\tool2.exe                                                                                                                                                                                                                                           
Adware:adware/secure32                Nicht desinfiziert            C:\WINDOWS\country.exe                                                                                                                                                                                                                                         
Adware:Adware Program                  Nicht desinfiziert            E:\System Volume Information\_restore{4B82509B-7BBE-47F2-BA6E-65DD0A283773}\RP651\A0129898.inf                                                                                                                                                                 
Spyware:Cookie/fe.lea.lycos            Nicht desinfiziert            F:\Backup\***\Cookies\novacec@fe.lea.lycos[1].txt                                                                                                                                                                                                         
Spyware:Cookie/Xiti                    Nicht desinfiziert            F:\Backup\***\Cookies\novacec@xiti[1].txt                                                                                                                                                                                                                 
Spyware:Cookie/YieldManager            Nicht desinfiziert            F:\Backup\***\Cookies\novacec@ad.yieldmanager[2].txt
Vielen Dank im vorraus
Gruß Sylvia

cacatoa 04.01.2006 21:29
Hi,
lade dir runter:
clearprog 1.4.1 final und
cw-shredder 2.19 sowie spybot S&D 1.4.
Dann clearprog laufen lassen (haken setzen bei "alles löschen", dann auf "löschen" clicken, wenn fertig, auf beenden (empfiehlt sich nach jeder I-Net-Sitzung!).
Dann Spybot S&D manuell (!) updaten.
Dann Systemwiederherstellung aus, Rechner aus, und im abgesicherten Modus wieder einschalten.
Dann cwshredder laufen lassen.
Im Anschluß Spybot S&D laufen lassen.
Dann neu booten (normal), Systemwiederherstellung wieder an und Panda drüberjagen.
Panda-Logfile und HJT-Logfile posten.
cacatoa

Sylvia66 06.01.2006 12:31
Hallo Cacatoa ,
vielen Dank für deine Mühen .Hier sind die Logs :
Code:
Logfile of HijackThis v1.99.1
Scan saved at 12:27:30, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\SYSTEM\AVPERSONAL\AVGUARD.EXE
C:\System\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\System\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\totalcmd\TOTALCMD.EXE
F:\Download\System\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.borussia.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://F:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\System\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: http://arcaonline.arcabit.com
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125218858645
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125218842372
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{082FCADC-6F1C-4367-9B1B-4907FA33238C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{14B3A684-356F-4C0A-AE4B-3796F6655182}: NameServer = 217.237.150.97 217.237.150.225
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\SYSTEM\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\System\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Code:
Ereignis                                                                        Zustand                      Standort                                                                                                                                                                                                                                                       

Adware:adware/cws.searchmeup                                                    Nicht desinfiziert            C:\WINDOWS\SYSTEM32\paytime.exe                                                                                                                                                                                                                               
Adware:adware/isearch                                                          Nicht desinfiziert            C:\WINDOWS\tool2.exe                                                                                                                                                                                                                                           
Adware:adware/secure32                                                          Nicht desinfiziert            C:\WINDOWS\country.exe                                                                                                                                                                                                                                         
Adware:Adware Program                                                          Nicht desinfiziert            E:\System Volume Information\_restore{4B82509B-7BBE-47F2-BA6E-65DD0A283773}\RP651\A0129898.inf                                                                                                                                                                 
Spyware:Cookie/fe.lea.lycos                                                    Nicht desinfiziert            F:\Backup\Novacec\Cookies\novacec@fe.lea.lycos[1].txt                                                                                                                                                                                                         
Spyware:Cookie/Xiti                                                            Nicht desinfiziert            F:\Backup\Novacec\Cookies\novacec@xiti[1].txt                                                                                                                                                                                                                 
Spyware:Cookie/YieldManager                                                    Nicht desinfiziert            F:\Backup\Novacec\Cookies\novacec@ad.yieldmanager[2].txt
Erwarte schon deine Antwort mit den nächsten Schritten .Gruß Sylvia

cacatoa 06.01.2006 13:36
Hi, Deine Systemwiederherstellung ist immer noch nicht leer! Wiederholen!
Manuell die cookies löschen.
Lade dir Killbox und lösche folgende Dateien on reboot, erst bei der letzten die Frage nach dem Neustart mit Ja beantworten:
C:\WINDOWS\country.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\SYSTEM32\paytime.exe
Dann sehen wir weiter.
Du kannst allerdings danach auch noch einen eScan laufen lassen und das Ergebnis der "find.bat" posten.
cacatoa

Sylvia66 07.01.2006 10:33
Hallo catacao,Meinst du diese Log Files von datfind.bat?
Code:
Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 780A-93F1

 Verzeichnis von C:\WINDOWS\system32

07.01.2006  10:22            29.204 nvapps.xml
07.01.2006  09:41            34.308 BASSMOD.dll
06.01.2006  10:35            1.406 Help.ico
06.01.2006  10:35            30.590 pavas.ico
06.01.2006  10:35            2.550 Uninstall.ico
04.01.2006  13:15            2.262 wpa.dbl
29.12.2005  03:54          280.064 gdi32.dll
25.12.2005  19:26            1.718 Open.ico
25.12.2005  19:26            9.470 Desktop.ico
25.12.2005  19:26            5.350 IE.ico
25.12.2005  19:26            1.718 Quick.ico
25.12.2005  19:26            1.406 AddQuit.ico
23.12.2005  15:30            39.992 perfc009.dat
23.12.2005  15:30            48.156 perfc007.dat
23.12.2005  15:30          316.594 perfh007.dat
23.12.2005  15:30          311.604 perfh009.dat
23.12.2005  15:30          723.566 PerfStringBackup.INI
18.12.2005  21:05                0 asfiles.txt
16.12.2005  09:43          630.784 ArcaOnline.dll
14.12.2005  19:27          492.544 WRLogonNtf.dll
14.12.2005  19:27            8.192 ssiefr.EXE
14.12.2005  19:27            17.920 wrlzma.dll
09.12.2005  01:21        2.723.680 MRT.exe
01.12.2005  04:31        1.492.480 shdocvw.dll
24.11.2005  00:58        3.013.632 mshtml.dll
24.11.2005  00:58        1.022.464 browseui.dll
19.11.2005  17:21            43.520 CmdLineExt03.dll
09.11.2005  21:28          115.768 FNTCACHE.DAT
05.11.2005  04:16          606.208 urlmon.dll
05.11.2005  04:16        1.056.256 danim.dll
21.10.2005  04:40          664.064 wininet.dll
21.10.2005  04:40          474.112 shlwapi.dll
21.10.2005  04:40          448.512 mshtmled.dll
21.10.2005  04:40          146.432 msrating.dll
21.10.2005  04:40          530.944 mstime.dll
21.10.2005  04:40            39.424 pngfilt.dll
21.10.2005  04:40          205.312 dxtrans.dll
21.10.2005  04:40          152.064 cdfview.dll
21.10.2005  04:40            55.808 extmgr.dll
21.10.2005  04:40            96.768 inseng.dll
21.10.2005  04:40          251.392 iepeers.dll
20.10.2005  23:25        1.094.144 esent.dll
18.10.2005  12:54            49.152 inetwh32.dll
18.10.2005  12:54        1.044.480 roboex32.dll
14.10.2005  13:16                28 mcheck.mhf
13.10.2005  00:11            15.584 spmsg.dll
06.10.2005  04:08        1.839.616 win32k.sys
Code:
Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 780A-93F1

 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

07.01.2006  10:22            1.236 jusched.log
06.01.2006  14:22            16.384 ~DFC4E2.tmp
              2 Datei(en)        17.620 Bytes
              0 Verzeichnis(se),  4.729.962.496 Bytes frei
Code:
Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 780A-93F1

 Verzeichnis von C:\WINDOWS

07.01.2006  10:25            1.154 wincmd.ini
07.01.2006  10:22                0 0.log
07.01.2006  10:21              159 wiadebug.log
07.01.2006  10:21            2.048 bootstat.dat
07.01.2006  10:20        1.488.159 WindowsUpdate.log
06.01.2006  16:47          614.888 ntbtlog.txt
06.01.2006  16:46                0 wiaservc.log
06.01.2006  16:46            32.622 SchedLgU.Txt
06.01.2006  10:35                32 pavsig.txt
05.01.2006  23:46              309 msgsocm.log
05.01.2006  23:46            6.183 FaxSetup.log
05.01.2006  23:46              311 tabletoc.log
05.01.2006  23:46            6.649 iis6.log
05.01.2006  23:46            1.265 ntdtcsetup.log
05.01.2006  23:46              425 MedCtrOC.log
05.01.2006  23:46            2.916 ocgen.log
05.01.2006  23:46            2.821 tsoc.log
05.01.2006  23:46            1.083 netfxocm.log
05.01.2006  23:46            2.090 comsetup.log
05.01.2006  23:46              342 ocmsn.log
05.01.2006  23:46            11.069 KB912919.log
05.01.2006  23:46            1.355 imsins.log
05.01.2006  23:46            1.870 msmqinst.log
05.01.2006  23:46                0 setupact.log
05.01.2006  23:46                0 setuperr.log
05.01.2006  23:46              505 updspapi.log
05.01.2006  15:39            4.875 KB905915.log
04.01.2006  23:24            2.163 setupapi.log
04.01.2006  13:34                0 hosts
04.01.2006  13:32                0 tool5.exe
04.01.2006  13:31                0 tool4.exe
04.01.2006  13:29                0 tool3.exe
04.01.2006  13:28                0 tool1.exe
04.01.2006  13:27                0 toolbar.exe
04.01.2006  13:24                0 secure32.html
04.01.2006  13:13                0 kl.exe
04.01.2006  13:12                0 uniq
21.12.2005  18:00              786 win.ini
16.12.2005  16:22              400 1.exe
14.12.2005  19:27          478.720 WRUninstall.dll
26.11.2005  16:38                69 NeroDigital.ini
19.11.2005  17:44              277 datarecs.Ini
11.09.2005  10:05            74.752 ST6UNST.EXE
11.09.2005  10:05          290.816 Setup1.exe
30.08.2005  17:51          316.640 WMSysPr9.prx
28.08.2005  09:55              400 ODBC.INI
28.08.2005  08:45                88 avrack.ini
27.08.2005  16:11                0 control.ini
27.08.2005  16:10          299.552 WMSysPrx.prx
27.08.2005  16:10            4.161 ODBCINST.INI
27.08.2005  16:10              749 WindowsShell.Manifest
27.08.2005  16:08                37 vbaddin.ini
27.08.2005  16:08                36 vb.ini
27.08.2005  15:56                0 Sti_Trace.log
27.08.2005  15:54              231 system.ini
17.08.2005  18:39            90.112 SOUNDMAN.EXE
12.08.2005  18:40          307.200 alcupd.exe
12.08.2005  17:35          212.992 alcrmv.exe
08.08.2005  01:25          532.992 opuc.dll
31.05.2005  06:53              545 UC.PIF
31.05.2005  06:53              545 RAR.PIF
31.05.2005  06:53              545 PKZIP.PIF
31.05.2005  06:53              545 PKUNZIP.PIF
31.05.2005  06:53              545 NOCLOSE.PIF
31.05.2005  06:53              545 ARJ.PIF
31.05.2005  06:53              545 LHA.PIF
27.05.2005  01:22            10.752 hh.exe
04.03.2005  14:10          106.496 bdoscandel.exe
01.03.2005  15:30              453 bdoscandellang.ini
04.08.2004  09:58          288.768 winhlp32.exe
04.08.2004  09:58            32.866 slrundll.exe
04.08.2004  09:58          153.600 regedit.exe
04.08.2004  09:58            70.144 notepad.exe
04.08.2004  09:57        1.035.264 explorer.exe
04.08.2004  09:57            50.688 twain_32.dll
13.08.2002  06:10          155.648 ssleay32.dll
13.08.2002  06:09          684.032 libeay32.dll
18.08.2001  14:00            65.954 Pr„riewind.bmp
18.08.2001  14:00            16.730 Feder.bmp
18.08.2001  14:00            48.680 winnt.bmp
18.08.2001  14:00                2 desktop.ini
18.08.2001  14:00            65.978 Seifenblase.bmp
18.08.2001  14:00            26.680 F„cher.bmp
18.08.2001  14:00            9.522 Zapotek.bmp
18.08.2001  14:00            48.680 winnt256.bmp
18.08.2001  14:00            1.272 Blaue Spitzen 16.bmp
18.08.2001  14:00            17.362 Rhododendron.bmp
18.08.2001  14:00            26.582 Granit.bmp
18.08.2001  14:00            17.336 Angler.bmp
18.08.2001  14:00            65.832 Santa Fe-Stuck.bmp
18.08.2001  14:00            17.062 Kaffeetasse.bmp
18.08.2001  13:00            15.872 TASKMAN.EXE
18.08.2001  12:00            1.405 msdfmap.ini
18.08.2001  12:00            25.600 twunk_32.exe
18.08.2001  12:00                80 explorer.scf
18.08.2001  12:00            94.800 twain.dll
18.08.2001  12:00            34.818 wmprfDEU.prx
18.08.2001  12:00            82.944 clock.avi
18.08.2001  12:00            18.944 vmmreg32.dll
18.08.2001  12:00              707 _default.pif
18.08.2001  12:00          257.568 winhelp.exe
18.08.2001  12:00            49.680 twunk_16.exe
17.11.1998  14:44          328.704 IsUn0407.exe
            103 Datei(en)      8.727.623 Bytes
              0 Verzeichnis(se),  4.729.962.496 Bytes frei
Code:
Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 780A-93F1

 Verzeichnis von C:\

07.01.2006  10:31                0 sys.txt
07.01.2006  10:31            5.271 system.txt
07.01.2006  10:30              343 systemtemp.txt
07.01.2006  10:27          101.959 system32.txt
07.01.2006  10:21      805.306.368 pagefile.sys
06.01.2006  17:48                0 23990098.$$$
23.12.2005  21:59              563 rapport 2.txt
23.12.2005  21:59              563 rapport.txt
21.12.2005  21:23            3.747 TDSLCheck.txt
23.10.2005  16:57            3.373 LGSInst.Log
30.08.2005  17:47              211 boot.ini
28.08.2005  23:11            47.564 NTDETECT.COM
28.08.2005  23:11          251.184 ntldr
28.08.2005  09:16                34 hcwclear.txt
28.08.2005  08:45            6.373 pltemp.ini
27.08.2005  16:11                0 MSDOS.SYS
27.08.2005  16:11                0 CONFIG.SYS
27.08.2005  16:11                0 AUTOEXEC.BAT
27.08.2005  16:11                0 IO.SYS
18.08.2001  12:00            4.952 bootfont.bin
              20 Datei(en)    805.732.505 Bytes
              0 Verzeichnis(se),  4.729.962.496 Bytes frei
Hoffe alles richtig gemacht zu Haben . Gruß Sylvia

cacatoa 07.01.2006 17:53
Hi,
ich meinte nicht die datfind.bat sondern die "find.bat" aus dem "eScan", den durchzuführen ich Dir empfohlen hatte. ;)
cacatoa

Sylvia66 07.01.2006 20:32
Hallo ich habs geschnackelt:
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Sun Dec 18 09:53:08 2005 => File C:\WINDOWS\system32\z14.exe infected by "Trojan-Downloader.Win32.Small.awa" Virus. Action Taken: File Deleted.
Sun Dec 18 09:53:23 2005 => File C:\WINDOWS\system32\cmd32.exe infected by "Trojan-Downloader.Win32.Delf.og" Virus. Action Taken: File Deleted.
Sun Dec 18 10:09:10 2005 => Scanning File C:\Dokumente und Einstellungen\Novacec\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SFBB201X\infected6xz[1].gif
Sun Dec 18 10:18:38 2005 => File C:\System Volume Information\_restore{1E326E3F-06F0-4B68-A36A-A0455D1CAA50}\RP1\A0000054.exe infected by "Trojan-Downloader.Win32.Small.awa" Virus. Action Taken: File Deleted.
Sun Dec 18 10:18:38 2005 => File C:\System Volume Information\_restore{1E326E3F-06F0-4B68-A36A-A0455D1CAA50}\RP1\A0000055.exe infected by "Trojan-Downloader.Win32.Delf.og" Virus. Action Taken: File Deleted.
Sun Dec 18 10:19:15 2005 => Scanning Folder: C:\System\AVPersonal\INFECTED\*.*
Sun Dec 18 10:19:56 2005 => File C:\boot.inx infected by "Trojan-Downloader.Win32.Delf.og" Virus. Action Taken: File Deleted.
Sun Dec 18 11:10:04 2005 => Total Number of Disinfected Files: 0
Fri Jan 06 17:16:50 2006 => File C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.120.v1.9.5.Build.3105.-.Trial_CRK-FFF.exe infected by "Trojan-Downloader.Win32.PassAlert.i" Virus. Action Taken: File Deleted.
Fri Jan 06 17:16:51 2006 => File C:\Programme\Alcohol Soft\Alcohol 120\run.exe infected by "Trojan-Downloader.Win32.PassAlert.i" Virus. Action Taken: File Deleted.
Fri Jan 06 17:19:02 2006 => File C:\System Volume Information\_restore{1E326E3F-06F0-4B68-A36A-A0455D1CAA50}\RP1\A0000004.EXE infected by "Backdoor.Win32.IRCBot.lp" Virus. Action Taken: File Renamed.
Fri Jan 06 17:19:04 2006 => File C:\System Volume Information\_restore{1E326E3F-06F0-4B68-A36A-A0455D1CAA50}\RP1\A0000046.exe infected by "Trojan-Downloader.Win32.PassAlert.i" Virus. Action Taken: File Deleted.
Fri Jan 06 17:19:04 2006 => File C:\System Volume Information\_restore{1E326E3F-06F0-4B68-A36A-A0455D1CAA50}\RP1\A0000047.exe infected by "Trojan-Downloader.Win32.PassAlert.i" Virus. Action Taken: File Deleted.
Fri Jan 06 17:19:41 2006 => Scanning Folder: C:\System\AVPersonal\INFECTED\*.*
Fri Jan 06 17:38:46 2006 => File F:\Download\Anwendungen\Alcohol.120.v1.9.5.Build.3105.-.Trial_CRK-FFF.exe infected by "Trojan-Downloader.Win32.PassAlert.i" Virus. Action Taken: File Deleted.
Fri Jan 06 17:38:46 2006 => File F:\Download\Anwendungen\run.exe infected by "Trojan-Downloader.Win32.PassAlert.i" Virus. Action Taken: File Deleted.
Fri Jan 06 17:48:45 2006 => Total Number of Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Sun Dec 18 10:18:34 2005 => File C:\Programme\DAEMON Tools\SetupDTSB.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.
Sun Dec 18 10:37:35 2005 => File D:\System Volume Information\_restore{4B82509B-7BBE-47F2-BA6E-65DD0A283773}\RP648\A0121153.dll tagged as not-a-virus:PSWTool.Win32.Hooker.a. No Action Taken.
Sun Dec 18 10:41:08 2005 => File F:\System Volume Information\_restore{4B82509B-7BBE-47F2-BA6E-65DD0A283773}\RP645\A0120823.exe tagged as not-a-virus:AdWare.Win32.SideSearch.g. No Action Taken.
Fri Jan 06 17:08:55 2006 => File C:\Dokumente und Einstellungen\Novacec\.housecall\Quarantine\A0120823.exe.bac_a03436 tagged as not-a-virus:AdWare.Win32.SideSearch.g. No Action Taken.
Fri Jan 06 17:31:42 2006 => File D:\System Volume Information\_restore{4B82509B-7BBE-47F2-BA6E-65DD0A283773}\RP648\A0121153.dll tagged as not-a-virus:PSWTool.Win32.Hooker.a. No Action Taken.
Fri Jan 06 17:34:33 2006 => File E:\System Volume Information\_restore{4B82509B-7BBE-47F2-BA6E-65DD0A283773}\RP651\A0129896.exe tagged as not-a-virus:AdWare.Win32.EShoper.a. No Action Taken.
Fri Jan 06 17:40:30 2006 => File F:\Download\Spiele\Fifa 06\FIFA06GPbyPiPoL.exe tagged as not-a-virus:AdWare.Win32.EShoper.a. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Sun Dec 18 11:10:04 2005 => Total Number of Virus(es) Found: 8
Fri Jan 06 17:48:45 2006 => Total Number of Virus(es) Found: 11
Sun Dec 18 11:10:04 2005 => Total Number of Errors: 3
Fri Jan 06 17:48:45 2006 => Total Number of Errors: 3
Sun Dec 18 11:10:05 2005 => Time Elapsed: 01:17:42
Fri Jan 06 17:48:45 2006 => Time Elapsed: 00:56:10
Sun Dec 18 11:10:04 2005 => Total Number of Files Scanned: 130669
Fri Jan 06 17:48:45 2006 => Total Number of Files Scanned: 84052
Sun Dec 18 09:51:22 2005 => Virus Database Date: 2005/12/18
Sun Dec 18 11:10:05 2005 => Virus Database Date: 2005/12/18
Sun Dec 18 13:35:39 2005 => Virus Database Date: 2005/12/18
Fri Jan 06 16:39:53 2006 => Virus Database Date: 2006/01/06
Fri Jan 06 16:49:55 2006 => Virus Database Date: 2006/01/06
Fri Jan 06 17:48:45 2006 => Virus Database Date: 2006/01/06
Sat Jan 07 10:20:03 2006 => Virus Database Date: 2006/01/06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~
Danke und Gruß Sylvia

cacatoa 08.01.2006 10:23
Hallo, Sylvia,
hast du die Vollversion von eScan, oder noch eine alte Version, die Malware löscht?
Weiterhin sehe ich aber, daß
a) clearprog nicht ausgeführt wurde (sonst wären keine temp internetfiles mehr da) und
b) die Systemwiederherstellung noch immer nicht ausgeschaltet war.
Jetzt frage ich: Warum?
Dann stellt sich mir die Überlegung, ob ich selbst zufrieden wäre, wenn ein Prog wie eScan eine von einem Backdoor-Trojaner infizierte Datei nur umbenennen würde.
Ich glaube nein, weil ich damit weiß, daß der Backdoor irgendwann mal aktiv war und ich nicht weiß, was an meinem System verändert wurde...
Somit würde ich das System neu aufsetzen, um möglichst große Sicherheit zu haben.
Außerdem frage ich dich, warum, glaubst Du, hattest Du so viel Zeugs auf dem Rechner.....
Ich bin gespannt auf Deine Entscheidung.
cacatoa

Sylvia66 08.01.2006 15:08
Hallo Catatoa,
ich entnehme deinem Post das es besser ist das System neu aufzusetzen,ich habe damit schon gerechnet. Zu deiner letzten Frage : Ich habe einen 11 Jahre alten Sohn der an meinem rechner schon mal sein Unwesen treibt.
Nach der Neuaufsetzung werde ich mich wieder melden. Gruß Sylvia


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19