Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Agent und Co. (https://www.trojaner-board.de/38276-tr-agent-co.html)

Steffen. 23.04.2007 17:50
TR/Agent und Co.
 
Hoi!

Hab hier das Problem das mir immer wieder Pop-Ups kommen und das System teilweise extrem lahmt wenn ich z.B. in der RocketDock auf ein Symbol klicke.
Das System wurde mittlerweile zweimal formatiert aber scheint hartnäckiger zu sein als erwartet. Benutze WindowsXP Professional mit SP2. Geh nicht ins Netz bevor kein Avira AntiVir installiert ist. Bin für jeden Ratschlag dankbar :(
Hier bereits einige Ergebnisse von Tests.

aktuelles Log von Hijack.
Code:
Logfile of HijackThis v1.99.1
Scan saved at 18:51:26, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\CTHELPER.EXE
D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\TRAYSSER.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
D:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
D:\Programme\RocketDock\RocketDock.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
D:\PROGRA~1\eScan\MAILSCAN.EXE
C:\WINDOWS\system32\HPZipm12.exe
D:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
D:\PROGRA~1\eScan\AvpM.exe
D:\PROGRA~1\eScan\vista\ScanningProcess.exe
D:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\Programme\Winamp\winamp.exe
F:\Tools\Vollversionen\Multimedia Player oder Videobearbeitung\Media Player Classic\mplayerc.exe
C:\WINDOWS\system32\divxsm.exe
F:\Tools\Vollversionen\Systemtools und Virenscanner\Hijack This\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [RCSystem] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "D:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] D:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - D:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Und hier das Filelist Log.
Code:
----- Root -----------------------------
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\

22.04.2007  22:44                43 filelist.txt
22.04.2007  22:34    2.145.386.496 pagefile.sys
22.04.2007  19:55                0 IO.SYS
22.04.2007  19:55                0 MSDOS.SYS
22.04.2007  19:55                0 CONFIG.SYS
22.04.2007  19:55                0 AUTOEXEC.BAT

 
----- Windows --------------------------
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\WINDOWS

22.04.2007  22:34                0 0.log
22.04.2007  22:34            2.048 bootstat.dat
22.04.2007  22:33            7.267 WindowsUpdate.log
22.04.2007  22:31          183.808 NDNuninstall7_48.exe
22.04.2007  22:31            1.165 mozver.dat
22.04.2007  22:28            50.688 NDNuninstall6_38.exe
22.04.2007  22:26              888 SchedLgU.Txt
22.04.2007  22:23          477.740 setupapi.log
22.04.2007  21:49                32 wininit.ini
22.04.2007  20:51                50 wiaservc.log
22.04.2007  20:51              509 wiadebug.log
22.04.2007  20:51                0 Sti_Trace.log
22.04.2007  20:48            1.348 regopt.log
22.04.2007  20:48              231 system.ini
22.04.2007  20:25            75.807 DirectX.log
22.04.2007  20:21            68.483 Omega Drivers v3.8.330.log
22.04.2007  20:21                0 nsreg.dat
22.04.2007  20:18          451.072 Radeon Omega Drivers v3.8.330 Uninstall.exe
22.04.2007  20:14                0 AS_Debug.txt
22.04.2007  20:13            64.570 ydi.log
22.04.2007  20:11            25.354 Ascd_log.ini
22.04.2007  20:05            14.516 wmsetup.log
22.04.2007  20:05          316.640 WMSysPr9.prx
22.04.2007  20:03            25.178 Ascd_tmp.ini
22.04.2007  19:59              829 OEWABLog.txt
22.04.2007  19:59          834.838 setuplog.txt
22.04.2007  19:57            8.192 REGLOCS.OLD
22.04.2007  19:56            48.530 iis6.log
22.04.2007  19:56            15.868 comsetup.log
22.04.2007  19:56            4.382 imsins.log
22.04.2007  19:56            1.252 tabletoc.log
22.04.2007  19:56            7.948 ntdtcsetup.log
22.04.2007  19:56              885 ocmsn.log
22.04.2007  19:56            10.187 tsoc.log
22.04.2007  19:56          186.820 setupact.log
22.04.2007  19:56              630 setuperr.log
22.04.2007  19:55                0 control.ini
22.04.2007  19:55              477 win.ini
22.04.2007  19:55            4.161 ODBCINST.INI
22.04.2007  19:54              749 WindowsShell.Manifest
22.04.2007  19:53            1.487 MedCtrOC.log
22.04.2007  19:53            14.732 ocgen.log
22.04.2007  19:53              871 msgsocm.log
22.04.2007  19:53            11.538 FaxSetup.log
22.04.2007  19:53            1.023 sessmgr.setup.log
22.04.2007  19:53            2.790 netfxocm.log
22.04.2007  19:52                36 vb.ini
22.04.2007  19:52                37 vbaddin.ini
22.04.2007  19:52              133 DtcInstall.log
22.04.2007  19:52            10.188 msmqinst.log
22.04.2007  19:51              200 cmsetacl.log
 
----- System  ---
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\WINDOWS\system

07.06.2005  20:58          765.952 CRLDS3D.DLL
04.08.2004  00:58          146.944 WINSPOOL.DRV
04.08.2004  00:37            69.632 MMSYSTEM.DLL
 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\WINDOWS\system32

22.04.2007  22:28            8.464 sporder.dll
22.04.2007  22:26        2.040.976 FNTCACHE.DAT
22.04.2007  22:25            64.900 DVCState-{00000001-00000000-00000001-00001102-00000005-00211102}.rfx
22.04.2007  22:25            1.080 settingsbkup.sfm
22.04.2007  22:25            1.080 settings.sfm
22.04.2007  22:25            55.184 BMXStateBkp-{00000001-00000000-00000001-00001102-00000005-00211102}.rfx
22.04.2007  22:25            55.184 BMXState-{00000001-00000000-00000001-00001102-00000005-00211102}.rfx
22.04.2007  20:51                0 h323log.txt
22.04.2007  20:19          413.696 wrap_oal.dll
22.04.2007  20:19            86.016 OpenAL32.dll
22.04.2007  20:16          311.604 perfh009.dat
22.04.2007  20:16          316.594 perfh007.dat
22.04.2007  20:16            39.992 perfc009.dat
22.04.2007  20:16            48.156 perfc007.dat
22.04.2007  20:16          723.744 PerfStringBackup.INI
22.04.2007  19:59            2.206 wpa.dbl
22.04.2007  19:56              426 $winnt$.inf
22.04.2007  19:55            2.951 CONFIG.NT
22.04.2007  19:55            16.832 amcompat.tlb
22.04.2007  19:55            23.392 nscompat.tlb
22.04.2007  19:54              488 logonui.exe.manifest
22.04.2007  19:54              488 WindowsLogon.manifest
22.04.2007  19:54              749 cdplayer.exe.manifest
22.04.2007  19:54              749 nwc.cpl.manifest
22.04.2007  19:54              749 ncpa.cpl.manifest
22.04.2007  19:54              749 wuaucpl.cpl.manifest
22.04.2007  19:54              749 sapi.cpl.manifest
22.04.2007  19:53            21.740 emptyregdb.dat
30.03.2007  15:44          261.480 xactengine2_7.dll
30.03.2007  15:43            81.768 xinput1_3.dll
15.03.2007  16:57          443.752 d3dx10_33.dll
 
----- Prefetch -------------------------
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\WINDOWS\Prefetch

22.04.2007  22:44            10.552 CMD.EXE-087B4001.pf
22.04.2007  22:44            81.404 MSIEXEC.EXE-2F8A8CAE.pf
22.04.2007  22:44            73.608 WMIPRVSE.EXE-28F301A9.pf
22.04.2007  22:39            48.922 AVSCAN.EXE-1702C14B.pf
22.04.2007  22:36            89.306 REGSVR32.EXE-25EEFE2F.pf
22.04.2007  22:36            17.202 AVGNT.EXE-34DB0DF2.pf
22.04.2007  22:36        1.654.118 NTOSBOOT-B00DFAAD.pf
22.04.2007  22:36            49.758 AVGUARD.EXE-081AFD34.pf
22.04.2007  22:01            86.358 CONSOLC.EXE-1FFA336E.pf
22.04.2007  21:54            73.748 RUNDLL32.EXE-2576181F.pf
22.04.2007  20:55            14.146 RUNDLL32.EXE-451FC2C0.pf
22.04.2007  20:55            56.058 NOTIMAN.EXE-1DA0C05D.pf
22.04.2007  20:54            56.680 SNDVOL32.EXE-383480B7.pf
22.04.2007  20:54            74.696 THXCONSOLE.EXE-2F6B8ED5.pf
22.04.2007  20:54            58.156 CONTROL.EXE-013DBFB5.pf
22.04.2007  20:53            22.262 CTREGSVR.EXE-2055720C.pf
22.04.2007  20:36            8.328 WSCNTFY.EXE-1B24F5EB.pf
22.04.2007  20:28            24.122 WUAUCLT.EXE-399A8E72.pf
22.04.2007  20:28            20.070 RUNONCE.EXE-2803F297.pf
22.04.2007  20:24          105.866 FIREFOX.EXE-28BE8AE1.pf
22.04.2007  20:21            4.418 ATI2SGAG.EXE-034D00DE.pf
22.04.2007  20:21            17.048 SETUP.EXE-0269ABCC.pf
22.04.2007  20:20            49.200 FIREFOX SETUP 2.0.0.3.EXE-01D9CE26.pf
22.04.2007  20:20            35.174 SETUP.EXE-2B77B3D1.pf
22.04.2007  20:20            6.320 READREG.EXE-0D71C4B9.pf
22.04.2007  20:20            13.324 REGEDIT.EXE-1B606482.pf
22.04.2007  20:20            61.842 IKERNEL.EXE-092EF074.pf
22.04.2007  20:20            62.908 SETUP.EXE-35ECC31B.pf
22.04.2007  20:19            10.666 CTAUDCS.EXE-286B9B9A.pf
22.04.2007  20:19            18.316 CTXFISPI.EXE-13A6C573.pf
22.04.2007  20:19            17.934 CTXFIHLP.EXE-1CFA348E.pf
22.04.2007  20:19            5.028 CTHWACCL.EXE-33710735.pf
22.04.2007  20:19            10.696 CTXFIREG.EXE-085D2F82.pf
22.04.2007  20:19            16.574 CTHELPER.EXE-0D7EC0DB.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-437C3A1D.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-1655DF58.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-1586E753.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-330B8C85.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-2586AB1A.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-2B8B23D4.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-3775BF93.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-29F0DE28.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-2FF556E2.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-2A0DDD9A.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-4A250B28.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-1449EFD1.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-2855CE4C.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-36A962EB.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-285569AC.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-3A47DF99.pf
22.04.2007  20:19            14.700 RUNDLL32.EXE-1C980510.pf
22.04.2007  20:19            14.712 RUNDLL32.EXE-20056AF4.pf
22.04.2007  20:19            12.712 RUNDLL32.EXE-2C703AED.pf
22.04.2007  20:19            12.712 RUNDLL32.EXE-14EC1EE8.pf
22.04.2007  20:19            12.712 RUNDLL32.EXE-4ABAF25B.pf
22.04.2007  20:19            14.404 OALINST.EXE-2111CBDE.pf
22.04.2007  20:19            7.756 ENLOCSTR.EXE-14BE93E6.pf
22.04.2007  20:19            14.716 REGPLIB.EXE-334114F0.pf
22.04.2007  20:19            16.476 KILLAPPS.EXE-09769CD4.pf
22.04.2007  20:19            10.890 SETUP.EXE-12AFDAF0.pf
22.04.2007  20:19            58.036 CTZAPXX.EXE-2569D150.pf
22.04.2007  20:19            47.512 SETUP.EXE-241AEFE4.pf
22.04.2007  20:18            32.406 IRSETUP.EXE-392E8421.pf
22.04.2007  20:18            50.038 OMEGA 7.1.EXE-142BE1CD.pf
22.04.2007  20:18            52.794 SBXF_PCDRV_LB_2_09_0007.EXE-001BBF55.pf
22.04.2007  20:16            30.000 WMIADAP.EXE-2DF425B2.pf
22.04.2007  20:16            16.084 IMAPI.EXE-0BF740A4.pf
22.04.2007  20:15            68.494 SVCHOST.EXE-3530F672.pf
22.04.2007  20:14            39.540 ASUSSETUP.EXE-323A12BD.pf
22.04.2007  20:14            21.408 ASUSSETUP.EXE-1D4E4BB9.pf
22.04.2007  20:14            24.766 RUNDLL32.EXE-2341BBC5.pf
22.04.2007  20:14            14.078 RUNDLL32.EXE-232C337F.pf
22.04.2007  20:14            18.740 REGFLASH.EXE-12E014E2.pf
22.04.2007  20:14            62.380 BINDMANAGER.EXE-0E7E2174.pf
22.04.2007  20:14            11.128 RUNDLL32.EXE-268BFF96.pf
22.04.2007  20:14            44.688 SETUP.EXE-09466E83.pf
22.04.2007  20:14            20.066 INETREG.EXE-25F41121.pf
22.04.2007  20:14            20.024 IDRIVER.EXE-2E776D3F.pf
22.04.2007  20:14            44.388 INSTALLU.EXE-011EBAB2.pf
22.04.2007  20:14            14.078 RUNDLL32.EXE-1E9576F9.pf
22.04.2007  20:10            10.456 SETUP.EXE-19C78B06.pf
22.04.2007  20:10            7.382 ASUSSETUP.EXE-16715FFF.pf
22.04.2007  20:09            12.324 INSTALL.EXE-04ED05F6.pf
22.04.2007  20:08            17.922 CTLAUNCH.EXE-3148614B.pf
22.04.2007  20:08            9.554 CTPBSEQ.EXE-05E01313.pf
22.04.2007  20:08            38.030 SETUP.EXE-3B71A8D5.pf
22.04.2007  20:07            5.064 CTHWACCL.EXE-16812316.pf
22.04.2007  20:06            9.844 CTZAPXX.EXE-1081B9CD.pf
22.04.2007  20:06            10.092 SETUP.EXE-148B2573.pf
22.04.2007  20:06            18.372 CTREGSVU.EXE-00EB22EA.pf
22.04.2007  20:05            12.760 LOGAGENT.EXE-027AF92B.pf
22.04.2007  20:04            30.020 WMFDIST95.EXE-02506157.pf
22.04.2007  20:04            6.306 WMFDIST95WP.EXE-31DE9B41.pf
22.04.2007  20:04            9.628 DRMUPGDS.EXE-00832A1D.pf
22.04.2007  20:04            55.014 WMSETSDK.EXE-33CEFB1A.pf
22.04.2007  20:04            39.630 SETUP.EXE-232901BB.pf
22.04.2007  20:03            13.746 INTRO.EXE-00DE6C1B.pf
22.04.2007  20:03            10.856 DEMO32.EXE-11923B2E.pf
22.04.2007  20:03            22.956 SELECT.EXE-101692F1.pf
22.04.2007  20:03            39.024 ASACPIINS.EXE-07C851E4.pf
22.04.2007  20:03            9.818 ASUSSETUP.EXE-2A678DD6.pf
22.04.2007  20:03            7.788 ASSETUP.EXE-36D9FE2D.pf
22.04.2007  20:03            10.356 SETUP.EXE-393E66AE.pf
22.04.2007  20:03            9.868 START.EXE-042E9A09.pf
22.04.2007  20:02            29.602 SCHED.EXE-35555958.pf
22.04.2007  20:02            15.780 RUNDLL32.EXE-498C0309.pf
22.04.2007  20:02            11.116 GRPCONV.EXE-111CD845.pf
22.04.2007  20:02            15.878 RUNDLL32.EXE-13E8E5C6.pf
22.04.2007  20:02            24.218 SETUP.EXE-04172DEC.pf
22.04.2007  20:01            67.652 ANTIVIR_WORKSTATION_WIN7U_DE_-0CCD0ACF.pf
22.04.2007  20:01            13.260 RUNDLL32.EXE-2C42B2F4.pf
22.04.2007  19:59            13.846 CTFMON.EXE-0E17969B.pf
22.04.2007  19:59            12.144 RUNDLL32.EXE-49F747DB.pf
22.04.2007  19:59            19.532 SHMGRATE.EXE-1BA69E68.pf
22.04.2007  19:59            24.032 RUNDLL32.EXE-286A7F8C.pf
22.04.2007  19:59            48.548 SETUP50.EXE-0CDEF78F.pf
22.04.2007  19:59            38.254 RUNDLL32.EXE-2AF77CC9.pf
22.04.2007  19:59            24.350 UNREGMP2.EXE-07CACB61.pf
22.04.2007  19:59            38.136 RUNDLL32.EXE-4499C56E.pf
22.04.2007  19:59            14.272 RUNDLL32.EXE-470F11BD.pf
22.04.2007  19:59            14.014 RUNDLL32.EXE-169CA248.pf
22.04.2007  19:59            51.508 IE4UINIT.EXE-169A5A39.pf
22.04.2007  19:59            20.096 EXPLORER.EXE-082F38A9.pf
22.04.2007  19:59            12.690 USERINIT.EXE-30B18140.pf
22.04.2007  19:58            14.614 ALG.EXE-0F138680.pf
22.04.2007  19:58            16.298 MSOOBE.EXE-30411B02.pf
22.04.2007  19:58            1.162 SERVICES.EXE-2F433351.pf
22.04.2007  19:58            5.014 LSASS.EXE-20DB6D1B.pf
22.04.2007  19:58            10.554 SPOOLSV.EXE-282F76A7.pf
 
----- Tasks ----------------------------
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\WINDOWS\tasks

22.04.2007  22:34                6 SA.DAT
22.04.2007  21:00              400 1-Klick-Wartung.job
 
----- Windows/Temp -----------------------
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\WINDOWS\Temp

22.04.2007  22:35                0 UpdE.tmp
22.04.2007  22:34                0 Upd4.tmp
22.04.2007  20:27                0 Upd1.tmp
 
----- Temp -----------------------------
 Datentr„ger in Laufwerk C: ist Windows & Co
 Volumeseriennummer: 246C-D27D

 Verzeichnis von C:\DOKUME~1\Steffen\LOKALE~1\Temp

22.04.2007  20:51              836 QTInstallCode.log
22.04.2007  20:51            3.885 qtplugin.log
22.04.2007  20:35            41.184 ~DFA7F6.tmp
22.04.2007  20:19            72.539 CTZapLog.txt
22.04.2007  20:18              173 VerChk.txt
22.04.2007  20:07            58.732 CTZapTest.txt

Sunny 23.04.2007 17:56
Hallo und http://www.world-of-smilies.com/wos_...hilder1020.gif im Trojaner Board!


Da sind gleich mehrere Sachen auf deinem System, aber ich denke das kriegen wir wieder weg.

Außerdem bist du mein Testkaninchen für meine Anleitung zur Entfernung von New.Net. Sorry .. :teufel3:

Daher folgendes:


Deinstalliere die DEALIO-Toolbar über Start -> Systemsteuerung -> Software

Dann lies dir diese Anleitung und arbeite sie ab:

Entfernung New.Net

Sollten noch Fragen sein bitte melden. ;)

Zusätzlich bitte nach der Bereinigung ein neues Hijacklog posten.

Gruß
Sunny

Steffen. 23.04.2007 18:21
Also ob ich Versuchskaninchen bin oder nicht ist egal, hauptsache ich bekomme das Teil weg ^^

Das Dealio Teil ist nicht zu finden. Das New.Net Ding hab ich mit der Uninstaller Datei deinstalliert.

Hier ist das neue HiJack Log
Code:
Logfile of HijackThis v1.99.1
Scan saved at 19:21:24, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\CTHELPER.EXE
D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
D:\Programme\RocketDock\RocketDock.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
D:\PROGRA~1\eScan\TRAYSSER.EXE
D:\PROGRA~1\eScan\MAILSCAN.EXE
D:\PROGRA~1\eScan\avpm.exe
D:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
D:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\PROGRA~1\eScan\vista\ScanningProcess.exe
D:\PROGRA~1\eScan\AvpM.exe
D:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Tools\Vollversionen\Systemtools und Virenscanner\Hijack This\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [RCSystem] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "D:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] D:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - D:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Sunny 23.04.2007 18:36
Wunderbar, hat alles funktioniert, sowohl dein Zutun als auch meine Anleitung. :daumenhoc

Das Hijacklog sieht auch wieder clean aus, und sofern keine weiteren Probleme mehr bestehen, kann ich dich als "geheilt" entlassen. ;)

Sunny

Steffen. 23.04.2007 19:52
Würde dir jetzt auch zustimmen, wenn das Problem mit der langsamen RocketDock und das PopUp Problem nicht mehr vorhanden wären.
Jedoch sind die PopUp´s immer noch sehr stark vorhanden. War grad 20 Minuten nicht am Rechner und hatte 8 Internet Explorer Fenster mit der Base (die mit der Handyflat) Seite auf.
Ist echt schrecklich. Kaum mache ich den Firefox auf und surfe durch ein paar Seiten kommt so ein Teil. Jetzt grad auch schon wieder während ich das schreibe.
Hatte grad mal im abgesicherten Modus ein Virenscan durchgeführt. Ohne Erfolg. Dort ging übrigens die RocketDock ohne Probleme.
Ach ja, das Problem der RocketDock äußert sich in einer Verzögerung bis die Ordner geöffnet werden.

Sunny 23.04.2007 19:59
Allso dann nochmal von vorne: :heulen:


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Sunny

Steffen. 23.04.2007 20:08
SmitFraud
Code:
SmitFraudFix v2.171

Scan done at 21:03:10,48, 23.04.2007
Run from C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1      localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
eScan läuft jetzt grad 14 Minuten und hat bereits 7 Viren gefunden und ist immer noch beim ersten Laufwerk.

Steffen. 23.04.2007 21:12
Hier das Log von eScan.
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
    Version    REG_SZ    9.1.9
Mon Apr 23 21:12:38 2007 => Virus-Datenbank Datum: 4/23/2007
Mon Apr 23 21:14:17 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Mon Apr 23 21:15:23 2007 => System found infected with windupdates Spyware/Adware (iesetup.exe)! Action taken: Keine Aktion vorgenommen.
Mon Apr 23 21:15:25 2007 => System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Mon Apr 23 21:18:27 2007 => Datei C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Thunderbird\Profiles\9f1uzn6y.default\mx.freenet-1.de\Inbox//[From "ForumBase Foren" <admins@forumbase.de>][Date Sun, 16 Jan 2005 14:57:06 +0100 (CET)]/text//[From webmaster@ewock.de (ewock.de)][Date ... infiziert von "Email-Worm.Win32.Sober.p" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 23 21:14:48 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 21:14:49 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 21:24:30 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 21:24:31 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 23 21:15:23 2007 => Offending file found: C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\temp\7zs32c.tmp\update\iesetup.exe
Mon Apr 23 21:15:25 2007 => Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 21:18:54 2007 => C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Thunderbird\Profiles\9f1uzn6y.default\mx.freenet-1.de\Sent nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
    DataBasePath    REG_EXPAND_SZ    %SystemRoot%\System32\drivers\etc
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Mon Apr 23 21:14:22 2007 => Specherüberprüfung: Aktiviert
Mon Apr 23 21:14:22 2007 => Registry Überprüfung: Aktiviert
Mon Apr 23 21:14:22 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung aller Festplatten :Aktiviert
F-Secure Blacklight hat nichts gefunden.

Code:
04/23/07 22:15:37 [Info]: BlackLight Engine 1.0.61 initialized
04/23/07 22:15:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/23/07 22:15:37 [Note]: 7019 4
04/23/07 22:15:37 [Note]: 7005 0
04/23/07 22:15:40 [Note]: 7006 0
04/23/07 22:15:40 [Note]: 7011 340
04/23/07 22:15:41 [Note]: 7026 0
04/23/07 22:15:41 [Note]: 7026 0
04/23/07 22:15:41 [Note]: FSRAW library version 1.7.1021
04/23/07 22:19:32 [Note]: 7007 0

Steffen. 24.04.2007 17:15
push...............


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131