Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Dldr.Swizzor.Gen - need help :( (https://www.trojaner-board.de/36147-tr-dldr-swizzor-gen-need-help.html)

Fele 08.02.2007 20:49
TR/Dldr.Swizzor.Gen - need help :(
 
Habe exakt das gleiche problem, mit diesem swizzor ... jedoch finde ich es komisch ... Habe den virus anscheinend schon lange drauf, aber es kam NIE eine meldung von antivir! Erst als ich es durchlaufen lies, hat er den Swizzor gefunden .. habe ihn gelöscht .. und seitdem findet er auch nichts mehr ... aber dennoch ist eine Internettelefonie absolut nicht möglich (also möglich schon, nur komme in skype dauernd abgehackt rüber, war vorher nicht so extrem!). genau wie in MSN (wo nicht mal geschreibsel ankommt bei mir) oder google Talk, obwohl alles richtig eingestellt ist!?

Daher vermute ich,d ass er doch noch irgendwie drauf ist ... hier mal der Log von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:31, on 08.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkSrv2K.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\rsvp.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {877334E8-2986-4B62-A4A1-BAE0C754E118} - C:\WINDOWS\system32\shgina32.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: WhoisAssistant - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} - C:\Programme\WhoisAssistant\WhoisAssistantDirect.exe (file missing)
O9 - Extra 'Tools' menuitem: &WhoisAssistant starten - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} - C:\Programme\WhoisAssistant\WhoisAssistantDirect.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141015843046
O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} - http://www.ewg-alzey.de/webcam/webeye.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CB23F3D-370B-4A08-A8E4-4976A2469765}: NameServer = 217.234.151.255,217.237.150.255
O17 - HKLM\System\CCS\Services\Tcpip\..\{B76EE609-A900-43F0-B3F7-D36FFACFDCAB}: NameServer = 217.237.151.225,217.237.150.255
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Labs Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: RA Directory Server (DS) - Unknown owner - C:\Dokumente und Einstellungen\Fele\Eigene Dateien\ds\ds.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Syntek DC-112X Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkSrv2K.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ich hoffe, ihr könnt mir helfen ...

Mfg

Fele

Sunny 08.02.2007 23:08
Hallo.

Arbeite das hier ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\system32\dlcfcoms.exe
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Sunny

Fele 09.02.2007 02:43
Habe alles befolgt, jedoch hat mir das scannen etwas zu lange gedauert, habe ca. 1 Stunde scannen lassen und da war er noch lange nicht fertig. Da ich um 7 raus muss, hab ich erstmal abgebrochen, er hat auf jeden fall seeeehr viel gefunden und gelöscht, unter anderem auch diesen swizzor da.

Aber genug mit dem gelaber...

1.

er fand auf der Webseite KEINE Viren, somit hat sich das kopieren glaub ich erledigt lol

2.

02/09/07 00:47:00 [Info]: BlackLight Engine 1.0.55 initialized
02/09/07 00:47:00 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/09/07 00:47:00 [Note]: 7019 4
02/09/07 00:47:00 [Note]: 7005 0
02/09/07 00:47:00 [Note]: 7006 0
02/09/07 00:47:00 [Note]: 7011 1948
02/09/07 00:47:00 [Note]: 7026 0
02/09/07 00:47:01 [Note]: 7026 0
02/09/07 00:47:05 [Note]: FSRAW library version 1.7.1021
02/09/07 00:53:09 [Note]: 2000 1012
02/09/07 00:53:09 [Note]: 2000 1012
02/09/07 00:53:09 [Note]: 2000 1012
02/09/07 00:53:09 [Note]: 7007 0

3.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri Feb 09 01:17:28 2007 => Deleting Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net
Fri Feb 09 01:12:20 2007 => Virus-Datenbank Datum: 2/3/2007
Fri Feb 09 01:13:52 2007 => Virus-Datenbank Datum: 2/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Feb 09 01:17:25 2007 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Einträge entfernt.
Fri Feb 09 01:17:26 2007 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Einträge entfernt.
Fri Feb 09 01:17:32 2007 => System found infected with zipitpro Spyware/Adware (unace.dll)! Action taken: Einträge entfernt.
Fri Feb 09 01:17:57 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Einträge entfernt.
Fri Feb 09 01:17:57 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Feb 09 01:20:55 2007 => Scanne Datei C:\Dev-Cpp\include\boost\parameter\aux_\tagged_argument.hpp
Fri Feb 09 01:16:04 2007 => File C:\WINDOWS\system32\shgina32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Feb 09 01:29:19 2007 => File C:\Dokumente und Einstellungen\Fele\Anwendungsdaten\Thecoal\aenjgslf.exe markiert als "not-a-virus:AdWare.Win32.Lop.bb". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Feb 09 01:29:19 2007 => File C:\Dokumente und Einstellungen\Fele\Anwendungsdaten\Thecoal\fqwidvcz.exe markiert als "not-a-virus:AdWare.Win32.Lop.bb". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Feb 09 01:36:28 2007 => File C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\BSINSTALLDE.exe markiert als "not-a-virus:AdWare.Win32.180Solutions.ao". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Feb 09 01:36:34 2007 => Datei C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\ca41_setup.exe markiert als not-a-virus:PSWTool.Win32.Cain.284. Keine Aktion vorgenommen.
Fri Feb 09 01:37:52 2007 => Datei C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\EtherDetect_setup.exe markiert als not-a-virus:NetTool.Win32.EtherDetect. Keine Aktion vorgenommen.
Fri Feb 09 02:02:51 2007 => Datei C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\radmin22de.exe markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Fri Feb 09 02:02:53 2007 => File C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\s2k.7.1.plus\setup.exe markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Feb 09 02:02:53 2007 => File C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\s2k.7.1.plus.zip markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Feb 09 01:17:32 2007 => Offending file found: C:\WINDOWS\system32\unace.dll
Fri Feb 09 01:17:57 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Fri Feb 09 01:17:57 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Fri Feb 09 01:17:32 2007 => Offending Folder found: C:\Programme\cain
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Fri Feb 09 01:17:28 2007 => Offending Key found: HKLM\Software\magnet !!!
Fri Feb 09 01:17:28 2007 => Offending Key found: HKCU\Software\cain !!!
Fri Feb 09 01:17:28 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Fri Feb 09 01:17:29 2007 => Offending Key found: HKCU\\magnet !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Feb 09 01:15:48 2007 => Specherüberprüfung: Aktiviert
Fri Feb 09 01:15:48 2007 => Registry Überprüfung: Aktiviert
Fri Feb 09 01:15:48 2007 => System-Ordner Überprüfung: Deaktiviert
Fri Feb 09 01:15:48 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Feb 09 01:15:48 2007 => Überprüfung der Dienste: Aktiviert
Fri Feb 09 01:15:48 2007 => Überprüfung der Festplatten: Deaktiviert
Fri Feb 09 01:15:48 2007 => Überprüfung aller Festplatten :Aktiviert

(Punkt 3, wie oben schon erwähnt, nicht vollständig ... Fortsetzung folgt noch ^^)

Sunny 09.02.2007 10:54
Zitat:
1. er fand auf der Webseite KEINE Viren, somit hat sich das kopieren glaub ich erledigt lol
Nix "lol", auch wenn kein Virus/Trojaner gefunden wurde, war für mich die Checksumme als auch die Größenangabe WICHTIG!
Poste also nochmal das Ergebnis.

Sunny

Fele 09.02.2007 22:51
Complete scanning result of "dlcfcoms.exe", received in VirusTotal at 02.09.2007, 22:40:57 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.36 02.09.2007 no virus found
Authentium 4.93.8 02.09.2007 no virus found
Avast 4.7.936.0 02.09.2007 no virus found
AVG 386 02.09.2007 no virus found
BitDefender 7.2 02.09.2007 no virus found
CAT-QuickHeal 9.00 02.09.2007 no virus found
ClamAV devel-20060426 02.09.2007 no virus found
DrWeb 4.33 02.09.2007 no virus found
eSafe 7.0.14.0 02.09.2007 no virus found
eTrust-Vet 30.4.3382 02.09.2007 no virus found
Ewido 4.0 02.09.2007 no virus found
Fortinet 2.85.0.0 02.09.2007 no virus found
F-Prot 4.2.1.29 02.09.2007 no virus found
F-Secure 6.70.13030.0 02.09.2007 no virus found
Ikarus T3.1.0.31 02.09.2007 no virus found
Kaspersky 4.0.2.24 02.09.2007 no virus found
McAfee 4960 02.09.2007 no virus found
Microsoft 1.2204 02.09.2007 no virus found
NOD32v2 2048 02.09.2007 no virus found
Norman 5.80.02 02.09.2007 no virus found
Panda 9.0.0.4 02.09.2007 no virus found
Prevx1 V2 02.09.2007 no virus found
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.09.2007 no virus found
Symantec 10 02.09.2007 no virus found
TheHacker 6.1.6.055 02.09.2007 no virus found
UNA 1.83 02.09.2007 no virus found
VBA32 3.11.2 02.09.2007 no virus found
VirusBuster 4.3.19:9 02.09.2007 no virus found

Aditional Information
File size: 491520 bytes
MD5: 0d8df70ecf1f96e894df07bc86ec63bd
SHA1: 5528a981e8e8c435b01f0067dd0c528d2b0b220d

Sunny 09.02.2007 23:39
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Fele 10.02.2007 19:52
Log aus Option 1:


SmitFraudFix v2.141

Scan done at 19:49:53,20, 10.02.2007
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Fele


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Fele\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End





Log aus Option 2:


SmitFraudFix v2.141

Scan done at 20:09:01,07, 10.02.2007
Run from C:\Dokumente und Einstellungen\Fele\Eigene Dateien\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Option 3 wurde auch durchgeführt, jedoch hat er davon keinen log erstellt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131