Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? (https://www.trojaner-board.de/53320-verlangsamen-programmen-laden-internetseiten-trojaner.html)

salsera1 01.06.2008 20:44
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???
 
Hallo liebes Trojaner-Board,

hoffe, ihr könnt mir weiterhelfen...

Ich bin leider überhaupt kein Computerspezialist, habe aber einige Probleme die mich vermuten lassen, dass sich ein Trojaner bei mir eingeschlichen hat.

1. viele Programme laufen langsamer
2. Internetseiten lassen sich oft nur langsam laden
3. manchmal kommt es vor, dass mein Bildschirm komplett schwarz wird, nach ein paar Sekunden und Tastaturbetätigung erscheint das Bild wieder
4. im Taskmanager laufen (auch wenn ich wenige Programme geöffnet habe) sehr viele Prozesse, manche doppelt

Ich weiß leider nicht, welche der Prozesse man ohne Bedenken beenden kann und hoffe stark auf eure Hilfe!


Hier das logfile:

#
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:28, on 01.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 5027 bytes
#
Falls ihr etwas Auffälliges entdeckt, sagt mir bitte wie ich das endgültig entfernen kann. (Bitte ganz einfach und deutlich erklärt - thnx!)

DANKE

nochdigger 01.06.2008 20:59
Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Dateien
(scheinen zusammen zu gehören)
Zitat:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\SYSTEM32\fsmgmt.dll
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

salsera1 02.06.2008 08:09
Hallo und vielen Dank erstmal...

so wie es aussieht, sind die beiden Dateien wirklich extremst gefährlich...

Ich poste dir hier die Ergebnisse (den Abschnitt mit den ERgebnissen der Antivirenprogramme wolltest du hier nicht, nur das Letzte mit der Dateigröße sowie die MD5 und SHA1 Angaben, oder?)

für die DAtei C:\WINDOWS\system32\secpol.exe:

Code:
File size: 17408 bytes
MD5...: 02b1d6643a5f10d9df72f144ecd09ebd
SHA1..: 01b902e86af83a5c7945c4097dbe7e123cc1f00a
SHA256: 1bc68edbf47ae8bc972844e4f86c518fae7a4db975b65850731a0b9e362096f3
SHA512: 798ae91001c04b08c921af2caf54fea461df77b12b9c4edb710301f5d5fb7196
7859d7c39325c967bfea1bd3e689405c03133892b8e90985e5f3bf48f40f14a0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40fa50
timedatestamp.....: 0x4806459b (Wed Apr 16 18:29:47 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x4000 0x3c00 7.86 d0d8ebd008dfbe8b525b2941beb27770
.rsrc 0x10000 0x1000 0x600 3.00 8179fe75b92d6fe6e986f747de826e73

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6F392D49002C43D4448B005F761F6700BC524DB7
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
und für die C:\WINDOWS\SYSTEM32\fsmgmt.dll:

Code:
File size: 47616 bytes
MD5...: 528a89874681b02415164f95f23fc9eb
SHA1..: 9afb39786865b726d8d87fbe5435f99ee0c42c1f
SHA256: ca55cd391bf72fdf81595d211a1b6993091cd0ab956d1efd9baa448647738464
SHA512: 6db6addc2961cc7f072d8d75706722542a8e946a555003b277eb5b490aca7b5f
9ab4a87ed28b35b6610593611b74e7c7b6082afaf45a5f6a10b76d84ab38e51d
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41d114
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xb000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xc000 0x1000 0x400 3.39 083b5e2942a180f969ff0011124ae11b
teq314dn 0xd000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xe000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x13000 0xb000 0xa1d6 7.98 b670eae9345b03ae5585e5787c471b57
ia364n7w 0x1e000 0x1000 0x1000 0.08 7bc52eff8140e6291fb9c7d005ac4526

( 0 imports )

( 0 exports )
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1740C81700B472FEBAC100060735BB00F5370B30
packers (Kaspersky): Execryptor
Wie soll ich jetzt am Besten vorgehen, um die Dateien endgültig zu beseitigen? Und sind die restlichen Dateien unbedenklich gewesen?

Vielen Dank für die Hilfe,

Liebe Grüße

blow-in 02.06.2008 11:49
Hallo Salsera
Du solltest eigentlich auch die Meldungen der einzelnen Virenprogramme posten und zusätlich die SHA und MD5.
Es ist interresant um welchen Schädling es sich handelt, damit man sagen kann mit welchen Progi dagegen vorgegangen werden muss.

salsera1 02.06.2008 11:53
Hallo,

ich hab noch ne Frage:

ich möchte die Dateien mit Hijack fixen, die Datei secpol.exe wird aber in einer Zeile mit einer anderen Datei (userinit.exe), die mir unbedenklich erscheint angezeigt. Wenn ich das Häkchen davor mache, wird dann diese Datei mitgelöscht?

So sieht der Eintrag aus:

F2 - REG: system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\secpol.exe,

Bitte gebt mir Bescheid, wie ich das am Besten handhabe... möchte nichts löschen, was man noch braucht...

Danke!

salsera1 02.06.2008 12:04
Hallo,


Zitat:
Zitat von blow-in (Beitrag 342561)
Hallo Salsera
Du solltest eigentlich auch die Meldungen der einzelnen Virenprogramme posten und zusätlich die SHA und MD5.
Es ist interresant um welchen Schädling es sich handelt, damit man sagen kann mit welchen Progi dagegen vorgegangen werden muss.
das hab ich leider falsch verstanden... sorry... Die Datei secpol.exe habe ich schon gelöscht, weswegen ich die Datei nicht nocheinmal durchlaufen lassen kann. Nur tritt sie bei hijack noch immer auf weil ich das noch nicht "gefixt" habe, da ich mir unsicher war (siehe vorheriger Eintrag)

Für die fsmgmt.dll Datei poste ich dir das Ergebnis nocheinmal:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.5.30.1        2008.06.02        -
AntiVir        7.8.0.26        2008.06.02        TR/Crypt.FKM.Gen
Authentium        5.1.0.4        2008.06.01        W32/Downloader.F.gen!Eldorado
Avast        4.8.1195.0        2008.06.02        -
AVG        7.5.0.516        2008.06.02        Win32/CryptExe.A
BitDefender        7.2        2008.06.02        DeepScan:Generic.PWS.Games.3.662AD07A
CAT-QuickHeal        9.50        2008.05.31        TrojanPSW.WOW.ast
ClamAV        0.92.1        2008.06.02        Trojan.WoW-448
DrWeb        4.44.0.09170        2008.06.02        -
eSafe        7.0.15.0        2008.06.01        -
eTrust-Vet        31.4.5837        2008.05.30        Win32/VMalum.CPDV
Ewido        4.0        2008.06.02        -
F-Prot        4.4.4.56        2008.06.01        W32/Downloader.F.gen!Eldorado
F-Secure        6.70.13260.0        2008.06.02        Trojan-PSW.Win32.WOW.ast
Fortinet        3.14.0.0        2008.06.02        W32/Heuri.AST!tr.pws
GData        2.0.7306.1023        2008.06.02        Trojan-PSW.Win32.WOW.ast
Ikarus        T3.1.1.26.0        2008.06.02        Trojan-PWS.Win32.WOW.aic
Kaspersky        7.0.0.125        2008.06.02        Trojan-PSW.Win32.WOW.ast
McAfee        5307        2008.05.30        PWS-WoW.dll
Microsoft        1.3520        2008.06.02        -
NOD32v2        3151        2008.06.02        a variant of Win32/PSW.WOW.NDJ
Norman        5.80.02        2008.05.30        W32/Wow.DFG
Panda        9.0.0.4        2008.06.02        Trj/WoW.HV
Prevx1        V2        2008.06.02        Malicious Software
Rising        20.47.01.00        2008.06.02        Trojan.PSW.Win32.GamesOnline.tz
Sophos        4.29.0        2008.06.02        Mal/Heuri-E
Sunbelt        3.0.1139.1        2008.05.29        Trojan.Crypt.FKM.Gen
Symantec        10        2008.06.02        Infostealer.Gampass
TheHacker        6.2.92.331        2008.06.02        Trojan/PSW.WOW.ast
VBA32        3.12.6.6        2008.06.01        Trojan-PSW.Win32.WOW.ast
VirusBuster        4.3.26:9        2008.06.01        Packed/Execryptor
Webwasher-Gateway        6.6.2        2008.06.02        Trojan.Crypt.FKM.Gen
weitere Informationen
File size: 46080 bytes
MD5...: f12f3f78bb400b61d08210444be5124e
SHA1..: 7a6ba78ecd8f092455d52494bb057d3465658407
SHA256: 12dc54aa0c9ae2304317365a91a5010cc518181fc27cd1c230031002943418fd
SHA512: 00bc3f7095f10d98c9af0624e3a8133e6bad3caeba3206750b5054b46dd00023
695464cc0f1e91f0c9799bc1733d047bfe41bd6b9096f845fae2faaab436ede2
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41bb08
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x1000 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b
teq314dn 0xc000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xd000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x12000 0xa000 0x9bca 7.98 1f0ca7963893af5beac309d009acb9d8
ia364n7w 0x1c000 0x1000 0x1000 0.08 341e662bbca72c30fc72beb1a86f676f

( 0 imports )

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DB4BF152004E5263B4910063FC4DFC00C885BF09
packers (Kaspersky): Execryptor
Was rätst du mir?

LG salsera

blow-in 02.06.2008 12:18
Wenn du schon etwas gelöscht hast, ist es nicht verkehrt, wenn du ein neues HJT-Log zeigen würdest.
Zur weiteren Entfernung muss dir dann aber @Nochdigger weiterhelfen.

salsera1 02.06.2008 12:27
Okay,
hier mein neues HJT-Log:

[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:54, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 6 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4912 bytes
[\code]

Dann hoffe ich mal auf die Hilfe von @Nochdigger...

blow-in 02.06.2008 13:27
Also die Datei
Zitat:
C:\WINDOWS\system32\secpol.exe
Scheint ja noch vorhanden zu sein.
Gehe zu Virustotal und kopiere dort den o.g. phad direkt hinein und lade sie hoch.

salsera1 02.06.2008 15:01
Nein, das funktioniert leider nicht. Die Datei wird nicht gefunden und kann daher auch nicht übertragen werden.

Die Einzige ähnliche Datei, die ich noch finde ist C:\WINDOWS\system32\secopol.msc

nochdigger 02.06.2008 16:11
Hallo

Zitat:
Die Einzige ähnliche Datei, die ich noch finde ist C:\WINDOWS\system32\secopol.msc
lass sie bitte auch auswerten, wie zuletzt;) ich will ja wissen um was es sich handelt.


Versuchen wir mal die Entfernung

deaktiviere zuerst bitte die Sytemwiederherstellung
Systemwiederherstellung

- wechsel anschließend in den abgesicherten Modus (beim start F8 drücken)
- starte Regedit (Start -> Ausführen -> - Regedit - eintippen -> Enter )
- suche diesen Schlüssel
Zitat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
und im rechten Fenster diesen Schlüssel
Zitat:
Userinit = "%System%\userinit.exe,C:\system32\secpol.exe"
klick den Schlüssel im rechten Fenster mit der rechten Maustaste an und wähle " Ändern "
Lösche nur diesen Pfad
Zitat:
C:\system32\secpol.exe
dann beende Regedit.
Suche nach dieser Datei
Zitat:
C:\system32\secpol.exe
und lösche sie, anschließend leere den Mülleimer.
Deinstalliere bei der Gelegenheit bitte gleich alle alten Javaversionen.


Wechsel in den normalen Modus von Windows und erstelle einen eigenen Ordner für Hijackthis, dann entpacke das Programm dorthinein und erstelle ein frisches Log.

Führe ein Update deines Antivirenprogramms durch und mache einen Fullscan, dann berichte bitte.

Führe bitte auch einen Onlinescan durch z.B. hier
Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland
Free Virus Scan - Kaspersky Lab
BitDefender Online Scanner - Free Online Virus Scan
F-Secure Support pages: F-Secure Online Virus Scanner

MFG

salsera1 02.06.2008 19:23
Hi,

Zitat:
Zitat von nochdigger (Beitrag 342597)
lass sie bitte auch auswerten, wie zuletzt;) ich will ja wissen um was es sich handelt.
Das hatte ich schon gemacht, hat aber nichts ergeben. ;-)



Zitat:
Zitat von nochdigger (Beitrag 342597)
Suche nach dieser Datei

und lösche sie, anschließend leere den Mülleimer.
Hab alles gemacht, wie du gesagt hast, aber bei diesem Punkt gibt es wieder das Problem, dass sich die Datei nicht finden lässt... Ist sie dann doch nicht ganz eliminiert?


Zitat:
Zitat von nochdigger (Beitrag 342597)
Führe ein Update deines Antivirenprogramms durch und mache einen Fullscan, dann berichte bitte.
Mein Antivirenprogramm hat einige Dateien erkannt, die ich in den Container verschoben habe. Sind diese somit ausgeschaltet?
Die Dateien:
C:WINDOWS\system32\kavo.exe
C:WINDOWS\system32\kavo0.dll
C:WINDOWS\system32\kavo1.dll

Den Online Scan werde ich später durchführen und berichten.

Das neue Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18:01, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 7 für HiJackThis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 8 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\Tanja\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4800 bytes
LG

nochdigger 03.06.2008 04:53
Moin

Zitat:
erstelle einen eigenen Ordner für Hijackthis, dann entpacke das Programm dorthinein und erstelle ein frisches Log.
Warum nicht?

Zitat:
Das hatte ich schon gemacht, hat aber nichts ergeben. ;-)
Zitat:
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde.
Warum nicht?
Wie groß war die Datei?

Lies die Anweisungen bitte etwas genauer....

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
MFG

salsera1 03.06.2008 12:36
Hallo,

Zitat:
Zitat von nochdigger (Beitrag 342681)
Warum nicht?
Wie groß war die Datei?
Hab die Datei secopol.msc nochmal auswerten lassen:
Code:
File size: 35715 bytes
MD5...: 2c4c54226a02fcd16960a62e5199a8fa
SHA1..: 570d59d54d826a2b5bd10693d02b4ed16a8340e2
SHA256: b9b6c2f0dcc46d9d6c5fd9b1417c273c3bfe71e89b37845dfcdb372ce3b4101b
SHA512: baf011023c6ef5580d8dd7d7e6722c19966cec17f0f1b3678f51e0843da092fd
5be052e9758def06557de74409c0a08ce1bb96198d7592af611f2fa727a037ca
PEiD..: -
PEInfo: -

Zitat:
Zitat von nochdigger (Beitrag 342681)
Führe bitte auch einen Onlinescan durch
Onlinescan mit Kaspersky Lab ergab 2 gefundene Viren:
C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\Eigene Musik\der ewige gartner.mp3 Infected: Trojan-Downloader.WMA.Wimad.n

C:\Programme\Alwil Software\Avast4\DATA\moved\NewServer[3].dll.vir Infected: Trojan-PSW.Win32.WOW.atw

Die Auswertungen der beiden Dateien ergaben:

1.
Code:
AhnLab-V3        2008.5.30.1        2008.06.03        -
AntiVir        7.8.0.26        2008.06.03        TR/Dldr.WMA.Wimad.N
Authentium        5.1.0.4        2008.06.02        -
Avast        4.8.1195.0        2008.06.03        -
AVG        7.5.0.516        2008.06.03        Downloader.Wimad.E
BitDefender        7.2        2008.06.03        Trojan.Downloader.WMA.Wimad.N
CAT-QuickHeal        9.50        2008.06.02        -
ClamAV        0.92.1        2008.06.03        -
DrWeb        4.44.0.09170        2008.06.03        Trojan.Click.18899
eSafe        7.0.15.0        2008.06.02        -
eTrust-Vet        31.4.5845        2008.06.03        -
Ewido        4.0        2008.06.02        Downloader.Wimad.n
F-Prot        4.4.4.56        2008.06.02        -
F-Secure        6.70.13260.0        2008.06.03        Trojan-Downloader.WMA.Wimad.n
Fortinet        3.14.0.0        2008.06.03        -
GData        2.0.7306.1023        2008.06.03        Trojan-Downloader.WMA.Wimad.n
Ikarus        T3.1.1.26.0        2008.06.03        -
Kaspersky        7.0.0.125        2008.06.03        Trojan-Downloader.WMA.Wimad.n
McAfee        5308        2008.06.02        Downloader-UA.h
Microsoft        1.3604        2008.06.03        TrojanDownloader:ASX/Wimad.gen!A
NOD32v2        3153        2008.06.03        WMA/TrojanDownloader.Wimad.N
Norman        5.80.02        2008.06.02        -
Panda        9.0.0.4        2008.06.02        -
Prevx1        V2        2008.06.03        -
Rising        20.47.12.00        2008.06.03        -
Sophos        4.29.0        2008.06.03        Troj/Wimad-E
Sunbelt        3.0.1143.1        2008.06.03        -
Symantec        10        2008.06.03        Trojan.Wimad
TheHacker        6.2.92.332        2008.06.03        -
VBA32        3.12.6.7        2008.06.03        -
VirusBuster        4.3.26:9        2008.06.02        -
Webwasher-Gateway        6.6.2        2008.06.03        Trojan.Dldr.WMA.Wimad.N
weitere Informationen
File size: 3545425 bytes
MD5...: afa3ae52fde53166f217e95c0a92cfaf
SHA1..: 7f767736133978b4595686663ec492bfc767a694
SHA256: d0c044a1e6b38b96ad3a376cbb7a37846ad0f56148211784127ba305de010a6b
SHA512: 0ff9e87786eff1f2fad922e16f7b759a53a73677b9741216d034fe547b894eaf
da4e8dd10c832c597d0df5d7d2e4481942b95ab3e5f87853610faf4ff95ece93
PEiD..: -
PEInfo: -
und
2.
Code:
AhnLab-V3        2008.5.30.1        2008.06.03        -
AntiVir        7.8.0.26        2008.06.03        TR/Crypt.FKM.Gen
Authentium        5.1.0.4        2008.06.02        W32/Downloader.F.gen!Eldorado
Avast        4.8.1195.0        2008.06.03        Win32:Trojan-gen {Other}
AVG        7.5.0.516        2008.06.03        Win32/CryptExe.A
BitDefender        7.2        2008.06.03        DeepScan:Generic.PWS.Games.3.0C13211C
CAT-QuickHeal        9.50        2008.06.02        TrojanPSW.WOW.atw
ClamAV        0.92.1        2008.06.03        Trojan.WoW-380
DrWeb        4.44.0.09170        2008.06.03        -
eSafe        7.0.15.0        2008.06.02        Suspicious File
eTrust-Vet        31.4.5845        2008.06.03        -
Ewido        4.0        2008.06.02        -
F-Prot        4.4.4.56        2008.06.02        W32/Downloader.F.gen!Eldorado
F-Secure        6.70.13260.0        2008.06.03        Trojan-PSW.Win32.WOW.atw
Fortinet        3.14.0.0        2008.06.03        W32/WOW.ATW!tr.pws
GData        2.0.7306.1023        2008.06.03        Trojan-PSW.Win32.WOW.atw
Ikarus        T3.1.1.26.0        2008.06.03        Trojan-PWS.Win32.WOW.aic
Kaspersky        7.0.0.125        2008.06.03        Trojan-PSW.Win32.WOW.atw
McAfee        5308        2008.06.02        PWS-WoW.dll
Microsoft        1.3604        2008.06.03        -
NOD32v2        3153        2008.06.03        probably a variant of Win32/PSW.WOW.NDJ
Norman        5.80.02        2008.06.02        W32/OnLineGames.AWTA
Panda        9.0.0.4        2008.06.02        Trj/WoW.HV
Prevx1        V2        2008.06.03        Malicious Software
Rising        20.47.12.00        2008.06.03        Trojan.PSW.Win32.WoWar.aot
Sophos        4.29.0        2008.06.03        Mal/Heuri-E
Sunbelt        3.0.1143.1        2008.06.03        Trojan-PSW.Win32.WOW.atw
Symantec        10        2008.06.03        Infostealer
TheHacker        6.2.92.332        2008.06.03        Trojan/PSW.WOW.atw
VBA32        3.12.6.7        2008.06.03        Trojan-PSW.Win32.WOW.atw
VirusBuster        4.3.26:9        2008.06.02        Packed/Execryptor
Webwasher-Gateway        6.6.2        2008.06.03        Trojan.Crypt.FKM.Gen
weitere Informationen
File size: 46592 bytes
MD5...: e656563809bd5946621dd5d4df586eb4
SHA1..: 85084c5c72a542c7bb34bed0ac42bb5e064c3ba1
SHA256: 406d68b5bb6408ab4cf364c9bf422f920f7b45754b0ff4e1ee939316f8711d25
SHA512: 82fac0928d91e980b8fbffcd569e934abef21ad9db4639aff7cdda1e9cff98ac
95dfd69187dabc23b79d252f3a8b4fa3a2057aa40f0e4b97003c8fda53ee3423
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41bc58
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x1000 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b
teq314dn 0xc000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xd000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x12000 0xa000 0x9d1a 7.98 344d699d7031e8c230b1da8a72efdfa5
ia364n7w 0x1c000 0x1000 0x1000 0.08 79bda4f329869c7347861fc5d26f6eb5

( 0 imports )

( 0 exports )
Wie soll ich vorgehen, um die Dateien loszuwerden???

Zitat:
Zitat von nochdigger (Beitrag 342681)

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:[indent]- ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
- Silentrunners
Ergebnis für F-Secure Blacklight waren keine versteckten Prozesse und Dateien.
Das Logfile für Silentrunner:
Code:
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS]
"Rainlendar2" = "C:\Programme\Rainlendar2\Rainlendar2.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"HUAWEI E220 UTIL" = "C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe" ["TODO: <***>" (unwritable string)]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" ["HP"]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                  \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                  \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                  \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
  -> {HKLM...CLSID} = "avast"
                  \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
  -> {HKLM...CLSID} = "Shell Extension for CDRW"
                  \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software, Karlsbad, Germany"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                  \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                  \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                  \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\XXXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmypics.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

IviDVDEventHandler\
"Provider" = "InterVideo WinDVD"
"InvokeProgID" = "Ivi.MediaFile"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\Ivi.MediaFile\shell\play\command\(Default) = "C:\Programme\InterVideo\WinDVD\WinDVD.exe %1" ["InterVideo Inc."]

NeroAutoPlayInCDAutorunEmptyCD\
"Provider" = "InCD"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "InCDAutorunEmptyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\InCDAutorunEmptyCD\command\(Default) = "C:\Programme\Ahead\InCD\InCDL.exe" ["AHEAD Software"]

PSASE30ImportPicturesOnArrival\
"Provider" = "Adobe Photoshop Album Starter Edition"
"InvokeProgID" = "PSASE30.autoplay"
"InvokeVerb" = "launch"
HKLM\SOFTWARE\Classes\PSASE30.autoplay\shell\launch\command\(Default) = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\psaproxy.exe"  -v  %1\" ["Adobe Systems Incorporated"]


Startup items in "XXXX" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe" [null data]
"Ralink Wireless Utility" -> shortcut to: "C:\Programme\RALINK\Common\RaUI.exe -s" ["Ralink Technology, Corp."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["AHEAD Software"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
hpzlnt09\Driver = "hpzlnt09.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
PDF Port\Driver = "C:\WINDOWS\system32\pdfports.dll" [null data]


---------- (launch time: 2008-06-03 12:51:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 73 seconds, including 24 seconds for message boxes)

salsera1 03.06.2008 12:38
2. Teil der Nachricht:


Zitat:
Zitat von nochdigger (Beitrag 342681)
Und mach bitte ein Filelist:
Hier die ERgebnisse:

Verzeichnis von C:\
Code:
03.06.2008  09:41      502.845.440 hiberfil.sys
03.06.2008  09:41      754.974.720 pagefile.sys
03.06.2008  00:30              268 sqmdata11.sqm
03.06.2008  00:30              244 sqmnoopt11.sqm
02.06.2008  18:10              211 boot.ini
01.04.2008  13:58              268 sqmdata10.sqm
Verzeichnis von C:\WINDOWS\system32
Code:
03.06.2008  00:19          215.264 FNTCACHE.DAT
02.06.2008  18:26            3.002 CONFIG.NT
02.06.2008  09:07            47.616  fsmgmt.dll
01.06.2008  20:31            47.616  fsmgmt.dll.tmp
20.05.2008  00:00            13.646 wpa.dbl
16.05.2008  01:24        1.152.888 aswBoot.exe
16.05.2008  01:12            95.608 AvastSS.scr
30.03.2008  11:06          400.798 perfh009.dat
Verzeichnis von C:\WINDOWS
Code:
03.06.2008  12:51        1.372.125 WindowsUpdate.log
03.06.2008  09:41                0 0.log
03.06.2008  09:41              159 wiadebug.log
03.06.2008  09:41                50 wiaservc.log
03.06.2008  09:41            2.048 bootstat.dat
03.06.2008  00:56            32.536 SchedLgU.Txt
02.06.2008  20:31              736 win.ini
02.06.2008  19:39          464.260 setupapi.log
02.06.2008  18:10              227 system.ini
31.05.2008  22:57              525 setupact.log
31.05.2008  22:51            54.156 QTFont.qfn
27.05.2008  21:58            29.418 wmsetup.log
22.05.2008  23:19          205.396 comsetup.log
22.05.2008  23:19          675.206 iis6.log
22.05.2008  23:19          283.870 tsoc.log
22.05.2008  23:19            1.374 imsins.log
22.05.2008  23:19            31.100 tabletoc.log
22.05.2008  23:19          124.797 ntdtcsetup.log
22.05.2008  23:19            34.327 ocmsn.log
22.05.2008  23:19            10.837 KB948881.log
22.05.2008  23:19            42.794 MedCtrOC.log
22.05.2008  23:19          108.809 netfxocm.log
22.05.2008  23:19          294.460 ocgen.log
22.05.2008  23:19            31.070 msgsocm.log
22.05.2008  23:19          618.889 FaxSetup.log
22.05.2008  23:19          190.686 msmqinst.log
22.05.2008  23:19            1.374 imsins.BAK
22.05.2008  23:19            19.629 KB947864.log
22.05.2008  23:19            30.467 updspapi.log
22.05.2008  23:17            12.440 KB941693.log
22.05.2008  23:17            12.243 KB948590.log
22.05.2008  23:17            12.930 KB944338.log
22.05.2008  23:17            12.126 KB945553.log
22.05.2008  23:17            13.791 KB950749.log
22.05.2008  23:05            1.409 QTFont.for
30.03.2008  14:10            13.946 ModemLog_HUAWEI Mobile Connect - 3G Modem #5.txt
Verzeichnis von C:\WINDOWS\tasks
Code:
03.06.2008  09:41                6 SA.DAT
02.04.2003  21:00                65 desktop.ini
              2 Datei(en)            71 Bytes
              0 Verzeichnis(se),    823.758.848 Bytes frei
Verzeichnis von C:\WINDOWS\temp
Code:
02.06.2008  18:29            16.384 Perflib_Perfdata_4d0.dat
01.06.2008  20:07            16.384 Perflib_Perfdata_4c8.dat
29.05.2008  16:46            16.384 Perflib_Perfdata_478.dat
28.05.2008  20:49            16.384 Perflib_Perfdata_4b0.dat
27.05.2008  20:35            16.384 Perflib_Perfdata_4a8.dat
26.05.2008  18:05            16.384 Perflib_Perfdata_460.dat
25.05.2008  22:07            16.384 Perflib_Perfdata_458.dat
02.05.2008  15:13            16.384 Perflib_Perfdata_4bc.dat
29.04.2008  09:14            16.384 Perflib_Perfdata_47c.dat
Verzeichnis von C:\DOKUME~1\Tanja\LOKALE~1\Temp
Code:
03.06.2008  13:04          115.558 filelist.txt
03.06.2008  10:01              923 java_install_sp.log
03.06.2008  10:01            8.262 jinstall.cfg
03.06.2008  10:01          382.352 tmp-2.xpi
03.06.2008  10:01          382.352 tmp-1.xpi
03.06.2008  09:49          382.352 tmp.xpi
02.06.2008  18:17          185.431 jusched.log
02.06.2008  18:17            8.097 java_install_reg.log
01.06.2008  20:56          726.472 Uninstaller.exe
01.06.2008  09:24                0 og410.tmp
31.05.2008  22:36        11.222.116 fla57.tmp
31.05.2008  22:04        12.592.545 fla45.tmp
31.05.2008  21:49        12.958.563 fla44.tmp
31.05.2008  21:32        12.784.273 fla40.tmp
29.05.2008  18:04              512 ~DFDB4E.tmp
29.05.2008  18:04          180.224 ~DFDB2B.tmp
29.05.2008  18:04              512 ~DFAC88.tmp
29.05.2008  18:04          180.224 ~DFAC71.tmp
29.05.2008  16:48            1.877 title_mailtour_rb.gif
29.05.2008  16:16              512 ~DFFCBF.tmp
29.05.2008  16:16          180.224 ~DFFC6C.tmp
29.05.2008  16:16              512 ~DFD872.tmp
29.05.2008  16:16          180.224 ~DFD839.tmp
28.05.2008  13:45            16.384 ~DF4F8B.tmp
28.05.2008  13:45              512 ~DF2C8A.tmp
28.05.2008  13:45              512 ~DF289D.tmp
28.05.2008  09:39              512 ~DF7DBA.tmp
28.05.2008  09:39          163.840 ~DF7DA6.tmp
28.05.2008  09:39              512 ~DF6D44.tmp
28.05.2008  09:39          163.840 ~DF6D11.tmp
27.05.2008  21:57            12.818 control.xml
27.05.2008  11:17                0 wa815.tmp
24.05.2008  16:26                0 5q012.tmp
23.05.2008  19:10                0 wam19.tmp
22.05.2008  23:03            1.262 QTInstallCode.log
22.05.2008  23:03            3.875 qtplugin.log
20.05.2008  08:29              512 ~DFD0CB.tmp
20.05.2008  08:29          163.840 ~DFD0B9.tmp
20.05.2008  08:29              512 ~DFC069.tmp
20.05.2008  08:29          163.840 ~DFC057.tmp
04.05.2008  08:45              512 ~DFCF0F.tmp
04.05.2008  08:45          163.840 ~DFCEAB.tmp
04.05.2008  08:45          163.840 ~DFAD47.tmp
04.05.2008  08:45              512 ~DFAD59.tmp
03.05.2008  09:10              512 ~DF101C.tmp
03.05.2008  09:10          163.840 ~DFFEE.tmp
03.05.2008  09:10              512 ~DFF216.tmp
03.05.2008  09:10          163.840 ~DFF1F8.tmp
01.05.2008  11:01              512 ~DFE47C.tmp
01.05.2008  11:01              512 ~DFE426.tmp
01.05.2008  11:01            2.564 ~WRS0003.tmp

Verzeichnis von C:\WINDOWS\Prefetch
Code:
03.06.2008  13:04            11.008 FIND.EXE-0EC32F1E.pf
03.06.2008  13:04            10.926 CMD.EXE-087B4001.pf
03.06.2008  13:04            15.680 EXPLORER.EXE-082F38A9.pf
03.06.2008  13:02            82.366 FIREFOX.EXE-17EE503B.pf
03.06.2008  13:01            15.340 VERCLSID.EXE-3667BD89.pf
03.06.2008  12:58            16.040 NOTEPAD.EXE-336351A9.pf
03.06.2008  12:58            46.236 WMIPRVSE.EXE-28F301A9.pf
03.06.2008  12:58            53.554 HIJACKTHIS.EXE-0C708D65.pf
03.06.2008  12:51            29.722 WSCRIPT.EXE-32960AB9.pf
03.06.2008  12:50          128.918 WINWORD.EXE-3395695A.pf
03.06.2008  12:41            51.312 WUAUCLT.EXE-399A8E72.pf
03.06.2008  12:16            13.914 FSBL.EXE-32A64B6B.pf
03.06.2008  12:14            20.140 ASHWEBSV.EXE-091EF0CF.pf
03.06.2008  12:14            21.628 ASHMAISV.EXE-24E25810.pf
03.06.2008  12:14            61.176 ASHSIMPL.EXE-007287FE.pf
03.06.2008  12:12            71.584 ASHAVAST.EXE-0274A551.pf
03.06.2008  12:02          116.504 SSMYPICS.SCR-01C62024.pf
03.06.2008  11:17            70.550 FIREFOX.EXE-201B1937.pf
03.06.2008  10:21            56.070 DFRGNTFS.EXE-269967DF.pf
03.06.2008  10:21            32.452 DEFRAG.EXE-273F131E.pf
03.06.2008  10:21          335.142 Layout.ini
03.06.2008  10:05            9.802 WSCNTFY.EXE-1B24F5EB.pf
03.06.2008  10:04            32.686 WLLOGINPROXY.EXE-33926225.pf
03.06.2008  10:04          105.644 IEXPLORE.EXE-2CA9778D.pf
03.06.2008  10:01          117.922 MSIEXEC.EXE-2F8A8CAE.pf
03.06.2008  10:01            13.790 MSIC.TMP-00451821.pf
03.06.2008  10:01            31.306 XPIINSTALL.EXE-27333DDC.pf
03.06.2008  09:46            15.704 HPZENG09.EXE-21FF5F4F.pf
03.06.2008  09:45            7.668 HPZSTW09.EXE-198F12E2.pf
03.06.2008  09:45            15.184 HPZSTC09.EXE-3AFDDA16.pf
03.06.2008  09:45            81.422 AVAST.SETUP-2B043760.pf
03.06.2008  09:43        1.023.214 NTOSBOOT-B00DFAAD.pf
03.06.2008  00:56            47.836 LOGONUI.EXE-0AF22957.pf
03.06.2008  00:41            18.374 TASKMGR.EXE-20256C55.pf
03.06.2008  00:32            49.220 USNSVC.EXE-1CEFA315.pf
03.06.2008  00:30            70.732 MSNMSGR.EXE-3ACF7E89.pf
02.06.2008  20:32            10.014 MSOHTMED.EXE-14B8D6FE.pf
02.06.2008  20:27            5.456 OSE.EXE-313A091F.pf
02.06.2008  20:20            27.368 ASHCHEST.EXE-057D57A0.pf
02.06.2008  18:17            51.550 JAVAW.EXE-387B3A3F.pf
02.06.2008  17:57            57.660 MSCONFIG.EXE-35E4DAE9.pf
02.06.2008  17:43            28.026 RUNDLL32.EXE-147710F4.pf
02.06.2008  16:16            81.678 SKYPE.EXE-21F19BC8.pf
02.06.2008  16:06            95.228 EXCEL.EXE-0DC93B7A.pf
02.06.2008  13:14            79.732 POWERPNT.EXE-28A8DBA4.pf
01.06.2008  22:51          256.734 HELPSVC.EXE-2878DDA2.pf
01.06.2008  20:56            72.820 GOOGLEUPDATER.EXE-36CE3796.pf
01.06.2008  10:08            12.182 RUNDLL32.EXE-451FC2C0.pf
01.06.2008  09:08            67.824 ACRORD32INFO.EXE-19D979CC.pf
01.06.2008  09:03            65.654 ACRORD32.EXE-153330F0.pf
31.05.2008  22:50            90.046 VLC.EXE-0AE7B60A.pf
              51 Datei(en)      3.902.738 Bytes
              0 Verzeichnis(se),    823.767.040 Bytes frei
Bezüglich den Ordner Hijackthis, den hatte ich schon seit Beginn erstellt, das aktuelle Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:49, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 9 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4908 bytes
So, ich hoffe dass ich jetzt deine Anweisungen richtig befolgt habe... ;-)

Bin gespannt auf deine Anleitung, wie ich meine "Problemkinder" beseitigen kann?

LG Salsera


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:15 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131