Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   habe ein trojaner wo am anfang von systemstart kommt (https://www.trojaner-board.de/77917-habe-trojaner-anfang-systemstart-kommt.html)

Smokiejr 30.09.2009 06:26
habe ein trojaner wo am anfang von systemstart kommt
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:05:12, on 30.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Virtual CD v9\System\VC9SecS.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Virtual CD v9\System\VC9Play.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Virtual CD v9\System\VC9Tray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe
O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\system32:mscrm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe

--
End of file - 4902 byte

In der C:\WINDOWS\system32:mscrm.exe habe ich ein TR/Agent.uckr
wo ich per google über bzw. nix finde über den virus hoffe auf baldigst lösung den wegzubekommen ohne win neu draufspielen

MFG Smokiejr

kira 30.09.2009 06:41
Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
C:\WINDOWS\system32:mscrm.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow

Smokiejr 30.09.2009 07:08
Code:
----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\

30.09.2009  07:45                43 filelist.txt
30.09.2009  06:56      805.306.368 pagefile.sys
26.09.2009  11:23                0 CONFIG.SYS
26.09.2009  11:23                0 IO.SYS
26.09.2009  11:23                0 MSDOS.SYS
26.09.2009  11:23                0 AUTOEXEC.BAT
26.09.2009  11:18              211 boot.ini

              10 Datei(en)    805.610.322 Bytes
              0 Verzeichnis(se), 109.004.288.000 Bytes frei
 
----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\WINDOWS

30.09.2009  07:02            61.494 WindowsUpdate.log
30.09.2009  06:57                0 0.log
30.09.2009  06:56                50 wiaservc.log
30.09.2009  06:56              159 wiadebug.log
30.09.2009  06:56            2.048 bootstat.dat
30.09.2009  06:40            5.546 SchedLgU.Txt
29.09.2009  10:42            54.759 DirectX.log
29.09.2009  10:12          334.845 setupapi.log
27.09.2009  14:26            2.980 wmsetup.log
27.09.2009  14:26                29 encore_launcher.ini
27.09.2009  13:51            2.648 hhdrvi.log
27.09.2009  13:43          103.981 hpoins08.dat
27.09.2009  07:27              400 ODBC.INI
26.09.2009  18:20            7.075 avmadd321.log
26.09.2009  18:20            4.518 avminstcli.log
26.09.2009  18:20            5.037 avmsetup.log
26.09.2009  18:20            2.473 avmadd32.log
26.09.2009  18:20            33.448 avmacc.log
26.09.2009  18:20            12.172 avmfwlanci.log
26.09.2009  18:18            3.924 avminstcli1.log
26.09.2009  12:17                0 Sti_Trace.log
26.09.2009  12:15            1.368 regopt.log
26.09.2009  12:15              231 system.ini
26.09.2009  12:11            1.454 COM+.log
26.09.2009  11:52                0 nsreg.dat
26.09.2009  11:39                0 ativpsrm.bin
26.09.2009  11:27              829 OEWABLog.txt
26.09.2009  11:27          749.883 setuplog.txt
26.09.2009  11:27                52 oobeact.log
26.09.2009  11:27            8.192 REGLOCS.OLD
26.09.2009  11:25            1.439 MedCtrOC.log
26.09.2009  11:25            1.605 ehOCGen.log
26.09.2009  11:25            48.412 iis6.log
26.09.2009  11:25            16.124 comsetup.log
26.09.2009  11:25            8.001 ntdtcsetup.log
26.09.2009  11:25            10.187 tsoc.log
26.09.2009  11:25            4.382 imsins.log
26.09.2009  11:25            1.330 tabletoc.log
26.09.2009  11:25              885 ocmsn.log
26.09.2009  11:25          199.132 setupact.log
26.09.2009  11:25            1.252 setuperr.log
26.09.2009  11:23                0 control.ini
26.09.2009  11:23              477 win.ini
26.09.2009  11:23          316.640 WMSysPr9.prx
26.09.2009  11:23            4.161 ODBCINST.INI
26.09.2009  11:22              749 WindowsShell.Manifest
26.09.2009  11:20            5.934 plusoc.log
26.09.2009  11:20            14.732 ocgen.log
26.09.2009  11:20              871 msgsocm.log
26.09.2009  11:20            11.558 FaxSetup.log
26.09.2009  11:20            1.023 sessmgr.setup.log
26.09.2009  11:20            2.477 netfxocm.log
26.09.2009  11:20                37 vbaddin.ini
26.09.2009  11:20                36 vb.ini
26.09.2009  11:20              133 DtcInstall.log
26.09.2009  11:20            10.166 msmqinst.log
26.09.2009  11:18              200 cmsetacl.log
26.06.2009  23:38            18.440 atiogl.xml



            100 Datei(en)      7.336.144 Bytes
              0 Verzeichnis(se), 109.004.279.808 Bytes frei
 
----- System  ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\WINDOWS\system


              25 Datei(en)        929.787 Bytes
              0 Verzeichnis(se), 109.004.279.808 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\WINDOWS\system32

29.09.2009  16:36          190.144 PnkBstrB.xtr
29.09.2009  16:36          190.144 PnkBstrB.exe
28.09.2009  14:23            75.064 PnkBstrA.exe
27.09.2009  08:21          113.376 FNTCACHE.DAT
26.09.2009  17:57            62.344 perfc009.dat
26.09.2009  17:57          401.064 perfh009.dat
26.09.2009  17:57          415.470 perfh007.dat
26.09.2009  17:57            74.996 perfc007.dat
26.09.2009  17:57          966.250 PerfStringBackup.INI
26.09.2009  12:18                0 h323log.txt
26.09.2009  11:27            2.206 wpa.dbl
26.09.2009  11:25              340 $winnt$.inf
26.09.2009  11:23            2.951 CONFIG.NT
26.09.2009  11:23            16.832 amcompat.tlb
26.09.2009  11:23            23.392 nscompat.tlb
26.09.2009  11:22              488 WindowsLogon.manifest
26.09.2009  11:22              488 logonui.exe.manifest
26.09.2009  11:22              749 nwc.cpl.manifest
26.09.2009  11:22              749 cdplayer.exe.manifest
26.09.2009  11:22              749 wuaucpl.cpl.manifest
26.09.2009  11:22              749 ncpa.cpl.manifest
26.09.2009  11:22              749 sapi.cpl.manifest
26.09.2009  11:20            21.740 emptyregdb.dat
05.09.2009  01:54            94.208 QuickTimeVR.qtx
05.09.2009  01:54            69.632 QuickTime.qts
15.07.2009  04:29          446.464 ATIDEMGX.dll
15.07.2009  04:27          336.896 ati2dvag.dll
15.07.2009  04:10          204.800 atipdlxx.dll
15.07.2009  04:10          155.648 Oemdspif.dll
15.07.2009  04:10            26.112 Ati2mdxx.exe
15.07.2009  04:10            43.520 ati2edxx.dll
15.07.2009  04:09          155.648 ati2evxx.dll
15.07.2009  04:08          602.112 ati2evxx.exe
15.07.2009  04:06            53.248 ATIDDC.DLL
15.07.2009  04:00          311.296 atiiiexx.dll
15.07.2009  03:58        3.281.408 ati3duag.dll
15.07.2009  03:48        12.693.504 atioglxx.dll
15.07.2009  03:44        2.053.888 ativvaxx.dll
15.07.2009  03:43          241.920 ativvaxx.cap
15.07.2009  03:43          887.724 ativva6x.dat
15.07.2009  03:43                3 ativva5x.dat
15.07.2009  03:27            49.664 amdpcom32.dll
15.07.2009  03:27            49.664 atimpc32.dll
15.07.2009  03:23          561.152 atikvmag.dll
15.07.2009  03:22            45.056 aticalrt.dll
15.07.2009  03:22            45.056 aticalcl.dll
15.07.2009  03:21          159.744 atiadlxx.dll
15.07.2009  03:20        3.289.088 aticaldd.dll
15.07.2009  03:20            17.408 atitvo32.dll
15.07.2009  03:18          376.832 atiok3x2.dll
15.07.2009  03:14          614.400 ati2cqag.dll
14.07.2009  21:05          593.920 ati2sgag.exe
24.06.2009  15:39        1.003.520 VSFilter.dll
10.06.2009  18:54          197.655 atiicdxx.dat
04.06.2009  23:37            7.167 atifglpf.xml
11.05.2009  23:35          118.784 atibtmon.exe
16.03.2009  14:18          517.448 XAudio2_4.dll
16.03.2009  14:18            69.448 XAPOFX1_3.dll
16.03.2009  14:18          235.352 xactengine3_4.dll
16.03.2009  14:18            22.360 X3DAudio1_6.dll
09.03.2009  15:27          453.456 d3dx10_41.dll
09.03.2009  15:27        4.178.264 D3DX9_41.dll
09.03.2009  15:27        1.846.632 D3DCompiler_41.dll
18.02.2009  19:55          294.912 ATIODE.exe
17.02.2009  18:14          483.328 actskn45.ocx
03.02.2009  22:52            45.056 ATIODCLI.exe
19.12.2008  17:26        2.625.536 ffdshow.ax
19.12.2008  16:15        4.338.246 libavcodec.dll
17.12.2008  18:41          884.237 ff_x264.dll
17.12.2008  18:22            93.184 ff_wmv9.dll
17.12.2008  18:22            57.344 ff_vfw.dll
17.12.2008  18:17          239.247 ff_theora.dll
17.12.2008  17:59          560.802 libmplayer.dll
11.12.2008  12:27              547 ffdshow.ax.manifest
11.12.2008  12:27              547 ff_vfw.dll.manifest





            2040 Datei(en)    479.722.715 Bytes
              0 Verzeichnis(se), 109.004.079.104 Bytes frei
 
----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\WINDOWS\Prefetch

30.09.2009  07:45            10.058 FIND.EXE-0EC32F1E.pf
30.09.2009  07:45            9.976 CMD.EXE-087B4001.pf
30.09.2009  07:44            39.564 WINRAR.EXE-3588DFE8.pf
30.09.2009  07:40            81.760 WMPLAYER.EXE-09969338.pf
30.09.2009  07:39            33.736 AVWSC.EXE-24612965.pf
30.09.2009  07:33            14.748 WDE8G1ET.EXE-04255995.pf
30.09.2009  07:23            54.810 AVCENTER.EXE-1D2DB8A2.pf
30.09.2009  07:05            16.408 NOTEPAD.EXE-336351A9.pf
30.09.2009  07:05            53.854 WMIPRVSE.EXE-28F301A9.pf
30.09.2009  07:04            20.146 HIJACKTHIS.EXE-39024128.pf
30.09.2009  07:04            25.832 HJTINSTALL202.EXE-266F65F6.pf
30.09.2009  07:01            79.602 FIREFOX.EXE-1D57670A.pf
30.09.2009  07:01            16.752 CTFMON.EXE-0E17969B.pf
30.09.2009  07:01            16.498 OSA.EXE-0082CBE3.pf
30.09.2009  07:01            96.080 AVNOTIFY.EXE-31D7686A.pf
30.09.2009  06:59            18.084 IMAPI.EXE-0BF740A4.pf
30.09.2009  06:59            21.256 SWEETIM.EXE-02A0E17E.pf
30.09.2009  06:59            11.562 WLANGUI.EXE-0299A31C.pf
30.09.2009  06:59            9.664 SOUNDMAN.EXE-19745A34.pf
30.09.2009  06:59            39.926 USERINIT.EXE-30B18140.pf
30.09.2009  06:59            33.880 WSCNTFY.EXE-1B24F5EB.pf
30.09.2009  06:59            50.904 AVGNT.EXE-39CD89BF.pf
30.09.2009  06:59            89.852 EXPLORER.EXE-082F38A9.pf
30.09.2009  06:59            78.924 CCC.EXE-1B087988.pf
30.09.2009  06:59            8.872 CLISTART.EXE-025897C5.pf
30.09.2009  06:59            7.250 QTTASK.EXE-2D7EEF34.pf
30.09.2009  06:58        1.160.638 NTOSBOOT-B00DFAAD.pf
30.09.2009  06:40            17.372 LOGONUI.EXE-0AF22957.pf
30.09.2009  06:37            15.592 LOGON.SCR-151EFAEA.pf
30.09.2009  06:27            58.702 WOW.EXE-0D329EAB.pf
30.09.2009  06:00            11.964 RUNDLL32.EXE-451FC2C0.pf
30.09.2009  05:55            16.576 GUARDGUI.EXE-147E0160.pf
30.09.2009  05:55            33.744 VC9TRAY.EXE-23A93CC0.pf
30.09.2009  05:55            40.736 VC9PLAY.EXE-092BECBA.pf
29.09.2009  22:14            40.010 BEARSHARE.EXE-20AA2406.pf
29.09.2009  22:14            11.330 LAUNCHER.EXE-1161C91F.pf
29.09.2009  22:14            34.382 GLJB.TMP-04A50129.pf
29.09.2009  22:13            13.906 UPDATEINST.EXE-2DCB5627.pf
29.09.2009  22:12            12.636 GLB9.TMP-1EE44D2E.pf
29.09.2009  22:12            14.342 NSZ8.TMP.EXE-07B3C9F6.pf
29.09.2009  22:12            55.476 NSL4.TMP.EXE-29358B51.pf
29.09.2009  22:12            49.434 BEARSHAREV8DE.EXE-01335A0E.pf
29.09.2009  19:46            75.684 USENEXT.EXE-04543AEB.pf
29.09.2009  19:45            41.302 WUAUCLT.EXE-399A8E72.pf
29.09.2009  16:38            95.880 VLC.EXE-29851A71.pf
29.09.2009  16:37            32.590 DWWIN.EXE-30875ADC.pf
29.09.2009  16:37            37.274 DUMPREP.EXE-1B46F901.pf
29.09.2009  16:36            26.458 PNKBSTRB.EXE-21412697.pf
29.09.2009  15:54            63.480 IW3MP.EXE-0BE9E8FF.pf
29.09.2009  15:51            15.840 REGEDIT.EXE-1B606482.pf
29.09.2009  15:47            18.410 TASKMGR.EXE-20256C55.pf
29.09.2009  15:45            15.256 XPTRAINER.EXE-094D8661.pf
29.09.2009  14:40            90.700 PWSERVER.EXE-2700170D.pf
29.09.2009  14:39          107.610 PWCLIENT.EXE-1CE97B7C.pf
29.09.2009  14:39            77.844 PARAWORLD.EXE-392C08A6.pf
29.09.2009  14:23            67.490 XEBENCODER.EXE-1C7F798C.pf
29.09.2009  14:21            23.990 DVDNAVEXT.EXE-26D0278A.pf
29.09.2009  14:20            55.522 RATDVDSETUP-0.78.1444.EXE-18EF2DCD.pf
29.09.2009  14:14            56.074 WMPLAYER.EXE-09969332.pf
29.09.2009  14:14            52.558 UPDATE.EXE-3398FCD6.pf
29.09.2009  10:57            6.404 IEXPLORE.EXE-2CA9778D.pf
29.09.2009  10:48            13.946 COD4 XP GENERATOR.EXE-315B63B2.pf
29.09.2009  10:42            6.788 DRVSETUP.EXE-30901E83.pf
29.09.2009  10:42            5.496 DXDLLREG.EXE-01D4C309.pf
29.09.2009  10:41            54.756 DXSETUP.EXE-357AB99A.pf
29.09.2009  10:37            81.668 WINWORD.EXE-259486DA.pf
29.09.2009  10:37            36.914 SET4.TMP-0B243B30.pf
29.09.2009  10:37            13.550 SETUP.EXE-0F40F254.pf
29.09.2009  10:37            18.128 PWAUTORUN.EXE-1D0B9F0F.pf
29.09.2009  10:18            14.762 PBSETUP.EXE-313E6CA1.pf
29.09.2009  10:12            15.112 RUNDLL32.EXE-2CCBF127.pf
29.09.2009  08:01          338.616 Layout.ini
29.09.2009  05:34            60.574 WOW.EXE-2A6B29DC.pf
29.09.2009  05:30            23.868 DRWTSN32.EXE-2B4B52AC.pf
29.09.2009  05:14            22.884 RUNDLL32.EXE-2D5307B9.pf
28.09.2009  19:07          139.784 ICQ.EXE-15A4C655.pf
28.09.2009  19:02            11.352 ~E5.0001-37C48A99.pf
28.09.2009  19:02            32.530 IW3SP.EXE-29592920.pf
28.09.2009  18:40            72.572 SPYBOTSD.EXE-1D495A65.pf
28.09.2009  18:40            13.400 TEATIMER166.EXE-26780E18.pf
28.09.2009  18:40            35.682 TEATIMER166.TMP-259DDA39.pf
28.09.2009  18:40            13.618 ADVCHECK164.EXE-3A08387D.pf
28.09.2009  18:40            26.946 ADVCHECK164.TMP-1E803640.pf
28.09.2009  18:40            21.264 UPDATE.EXE-334BAC79.pf
28.09.2009  18:40            62.934 SDUPDATE.EXE-30CF90C0.pf
28.09.2009  18:39            32.954 SPYBOTSD_INCLUDES.EXE-0E07A90B.pf
28.09.2009  18:38            21.108 SPYBOTSD162.TMP-2196D22D.pf
28.09.2009  18:38            15.456 SPYBOTSD162.EXE-396ABC45.pf
28.09.2009  18:34            7.054 CONTROL.EXE-013DBFB5.pf
28.09.2009  14:24            10.746 PNKBSTRA.EXE-188A67A9.pf
28.09.2009  14:23            17.040 RUNDLL32.EXE-14C62612.pf
28.09.2009  14:21            23.180 TWOWORLDS_RADEON.EXE-17A73818.pf
28.09.2009  14:21            24.000 TWOWORLDS.EXE-0E9EE509.pf
28.09.2009  13:40            21.944 WOW-EMUHACKER3.09.EXE-21727A0B.pf
28.09.2009  13:22            22.536 UNINSTALL.EXE-15278D8E.pf
28.09.2009  13:22            55.716 WRAR390D.EXE-0D1A091A.pf
28.09.2009  13:19            14.484 RUNDLL32.EXE-2A9B0890.pf
28.09.2009  09:14            52.376 CLIENT.EXE-2BAC3BC1.pf
28.09.2009  09:14            65.066 CLIENTUPDATE.EXE-2DFD3BE4.pf
28.09.2009  09:14            23.074 LAUNCHER.EXE-0A5E0F84.pf
28.09.2009  09:11            15.338 RUNDLL32.EXE-25C40596.pf
28.09.2009  09:11            27.454 RUNDLL32.EXE-2576181F.pf
28.09.2009  09:05            56.940 HELPHOST.EXE-247D2792.pf
28.09.2009  09:05            24.360 HELPSVC.EXE-2878DDA2.pf
28.09.2009  09:05            60.542 HELPCTR.EXE-3862B6F5.pf
27.09.2009  18:34            28.300 SUFFERING.EXE-21B4110A.pf
27.09.2009  18:32            15.202 CANCELAUTOPLAY.EXE-2083CAB1.pf
27.09.2009  18:32            38.122 BURNINGSTUDIO9.EXE-0B4C5D99.pf
27.09.2009  18:31            13.976 RUNDLL32.EXE-327DBD40.pf
27.09.2009  18:24            10.322 ASHDRIVERSETUP.EXE-2B3AF56D.pf
27.09.2009  18:22            14.632 ASHAMPOO_BURNING_STUDIO_9_9.1-2DB770CD.pf
27.09.2009  18:22            10.978 KEYGEN.EXE-29D52FD2.pf
27.09.2009  18:22            18.104 ASHAMPOO_BURNING_STUDIO_9_9.1-2B7C30E7.pf
27.09.2009  14:26            65.978 MSIEXEC.EXE-2F8A8CAE.pf
27.09.2009  13:51            54.116 REGSVR32.EXE-25EEFE2F.pf
27.09.2009  13:50            18.254 RUNONCE.EXE-2803F297.pf
27.09.2009  13:43            21.712 SETUP.EXE-1B725E2A.pf
27.09.2009  13:42            66.626 SVCHOST.EXE-3530F672.pf
27.09.2009  13:39            12.834 HPZPNP01.EXE-15FFEF74.pf
27.09.2009  13:39            11.116 GRPCONV.EXE-111CD845.pf
27.09.2009  13:39            51.478 HPZSHL01.EXE-1FE03326.pf
27.09.2009  13:39            12.290 HPZNOP01.EXE-1123FF94.pf
27.09.2009  13:39            12.630 HPZPSC01.EXE-203846BC.pf
27.09.2009  13:39            11.744 HPZCDL01.EXE-3A99FD67.pf
27.09.2009  13:38            61.340 CDA_DRIVERONLY_NONNETWORK_DEU-00D7ECD1.pf
26.09.2009  18:25            31.754 WMIPRVSE.EXE-0E69CB0B.pf
26.09.2009  18:20            18.324 RUNONCE.EXE-246F7E39.pf
            127 Datei(en)      5.815.548 Bytes
              0 Verzeichnis(se), 109.004.152.832 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\WINDOWS\tasks

30.09.2009  06:56                6 SA.DAT

              2 Datei(en)            71 Bytes
              0 Verzeichnis(se), 109.004.156.928 Bytes frei
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\WINDOWS\Temp

27.09.2009  13:42            7.696 HPZIDI000.log
27.09.2009  13:42            1.852 HPZIDS.log
27.09.2009  13:42              352 servic000.log
27.09.2009  13:39              589 CIO_NDCS.log
26.09.2009  11:38            16.384 Perflib_Perfdata_40c.dat

              50 Datei(en)    38.223.065 Bytes
              0 Verzeichnis(se), 109.004.156.928 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B095-7C6A

 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

30.09.2009  07:44              549 filelist.zip
30.09.2009  07:01                0 etilqs_jXxOfcs7SvbrDTSi4DPo
29.09.2009  22:12                0 nsz8.tmp
29.09.2009  14:39            43.762 xebcore.log
29.09.2009  10:42              232 _isdelet.ini
29.09.2009  07:37                0 etilqs_j3fZNklUicVbHJR6yZPs
28.09.2009  19:02            72.192 ~e5.0001
27.09.2009  14:26                0 ~73.tmp
27.09.2009  13:43            11.611 HPZset000.log
27.09.2009  13:43            1.161 hpzmsi005.log
27.09.2009  13:43            1.754 hpzmsi004.log
27.09.2009  13:43              190 hpoMSI_QFolder.log
27.09.2009  13:43            1.154 hpzrcv003.log
27.09.2009  13:43            1.045 hpzmsi003.log
27.09.2009  13:43            1.154 hpzrcv002.log
27.09.2009  13:43            3.065 hpzfwx000.log
27.09.2009  13:43              795 hpzwis001.log
27.09.2009  13:43            1.505 hpzrcv001.log
27.09.2009  13:43            1.154 hpzrcv000.log
27.09.2009  13:43              850 HPZset001.log
27.09.2009  13:43            1.277 hpzmsi002.log
27.09.2009  13:43            2.062 hpzprl003.log
27.09.2009  13:43            1.864 hpzmsi001.log
27.09.2009  13:43              190 hpoMSI_Scan.log
27.09.2009  13:43              798 _add_ds.log
27.09.2009  13:42            1.755 hpzmsi000.log
27.09.2009  13:42              190 hpoMSI_AiO_Scan_LOG.txt
27.09.2009  13:42            1.591 hpzarp000.log
27.09.2009  13:42            10.347 hpzdui000.log
27.09.2009  13:39            1.203 hpzpnp001.log
27.09.2009  13:39              844 hpzwrp001.log
27.09.2009  13:39            3.181 hpzprl002.log
27.09.2009  13:39            1.197 hpzprl001.log
27.09.2009  13:39            1.593 hpzprl000.log
27.09.2009  13:39            1.202 hpzshl001.log
27.09.2009  13:39              841 hpzwrp000.log
27.09.2009  13:39              776 hpzwis000.log
27.09.2009  13:39            1.004 hpznop002.log
27.09.2009  13:39            1.022 hpznop001.log
27.09.2009  13:39            7.417 hpzchk000.log
27.09.2009  13:39            1.576 hpzopt000.log
27.09.2009  13:39              812 hpzgat000.log
27.09.2009  13:39            1.291 hpzpsc001.log
27.09.2009  13:39              742 hpznop000.log
27.09.2009  13:39            1.140 hpzcdl000.log
27.09.2009  13:39            81.791 hpzshl000.log
27.09.2009  13:38            1.055 hpzpsc000.log
27.09.2009  13:38            2.525 hpzwup000.log
27.09.2009  13:38            1.429 hpzrei000.log
27.09.2009  13:38              664 hpzpnp000.log
27.09.2009  07:27        12.168.626 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt
27.09.2009  07:25            45.702 offcln10.log
27.09.2009  07:22            3.238 Office XP Professional mit FrontPage Setup(0001).txt
26.09.2009  16:14            1.317 QTInstallCode.log
26.09.2009  16:14            3.886 qtplugin.log
26.09.2009  16:06                0 sim39.tmp
26.09.2009  16:04                0 sim37.tmp
26.09.2009  16:03                0 sim36.tmp
26.09.2009  16:02                0 sim35.tmp
26.09.2009  15:58                0 sim33.tmp
26.09.2009  12:02            22.574 dd_netfx20UI4318.txt
26.09.2009  12:01        5.073.542 dd_netfx20MSI4318.txt
26.09.2009  12:00            5.144 ASPNETSetup_00000.log
26.09.2009  11:57            2.326 dotNetFx.log
26.09.2009  11:57            7.228 ASPNETSetup.log
26.09.2009  11:50            11.470 dd_vcredistUI3C48.txt
26.09.2009  11:50          515.086 dd_vcredistMSI3C48.txt
26.09.2009  11:35            4.533 plf6B.tmp
26.09.2009  11:34          114.688 c1ac.rra
20.04.2009  01:03            56.568 BearShare user license agreement.txt
13.04.2009  07:29            47.104 GLF12.tmp

              73 Datei(en)    18.537.304 Bytes
              0 Verzeichnis(se), 109.004.152.832 Bytes frei
Code:
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Apple Application Support
Apple Software Update
Ashampoo Burning Studio 9.12
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!WLAN
CCleaner (remove only)
ConvertXtoDVD 3.8.0.193f
HijackThis 2.0.2
HP PSC & OfficeJet 6.1.A
ICQ6.5
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5.3)
ParaWorld
QuickTime
ratDVD 0.78.1444
Realtek AC'97 Audio
Spybot - Search & Destroy
SweetIM for Messenger 2.7
SweetIM Toolbar for Internet Explorer 3.4
The Suffering
ULi PCI 10-100 Fast Ethernet Controller Driver
ULi PCI to AGP Controller Driver
UseNeXT
Virtual CD v9
VLC media player 1.0.2
WinRAR
XP Codec Pack
wenn ich die datei finden würde, aber habe alles so gesagt mit haken weg etc. aber finde selbst über suche die datei nicht und avira hat sie als Zugriff verweigern gestellt und habe normal über explorer geschaut aber selbst in system32 ordner nix gefunden.

Smokiejr 01.10.2009 17:07
habe spywaredoctor drauf geladen und der findet ein eintrag in der registry von der datei und da macht er nicht mehr weiter.

kira 01.10.2009 18:13
Zitat:
Zitat von Smokiejr (Beitrag 469782)
habe spywaredoctor drauf geladen
- war unnötig! Kannst damit gar nix entfernen, wenn auch etwas findet! Dazu musst ihn kaufen...
- sollst Du lieber die Anweisungen vollständig abarbeiten, satt herumzubasteln;)--> Punkt 4. fehlt noch - http://www.trojaner-board.de/77917-h...tml#post469400
- Spybot - Search & Destroy als Spyprogramm reicht schon aus!

- Nicht empfehlenswert, ich würde gleich deinstallieren /wenn Du ein sauberes System bevorzugst):
Code:
SweetIM for Messenger 2.7
SweetIM Toolbar for Internet Explorer 3.4

Smokiejr 02.10.2009 05:39
das ist ja das problem ich finde die datei nicht auf meinen rechner habe den haken weg von "geschützte systemdateien ausblenden" und "alle dateien und ordner anzeigen" das ausgewählt selbst unter suche nix gefunden. habe nochmal gegooglet nach der mscrm.exe habe das hier gefunden http://www.prevx.com/filenames/18173...MSCRM.EXE.html

Smokiejr 02.10.2009 06:47
Habe es jetzt so gemacht bei antivir auf löschen, es wa ein rootkit trojaner, registry einträge davon gelöscht mit prevx nochmal gescannt ist weg. Daher hat sich das erledigt

kira 02.10.2009 20:34
hi

Zitat:
Zitat von Smokiejr (Beitrag 469969)
Habe es jetzt so gemacht bei antivir auf löschen, es wa ein rootkit trojaner, registry einträge davon gelöscht mit prevx nochmal gescannt ist weg. Daher hat sich das erledigt
wenn Du machst was Du willst...warum hast Du hier im Forum um Rat gefragt:confused:
Rootkit gefunden? na dann wünsch Dir alles Gute...

gruß
Coverflow

Smokiejr 04.10.2009 05:55
wenn es doch nicht so klappt mit datei suchen und finden dann muss man was anderes probieren und habe halt das prog dann gefunden und des hat mir gesagt hier rootkit und reg einträge 2. Daher habe ich selbstjustiz mit den troy gemacht ausserdem dauert es hier zu lange bis jemand was schreibt

kira 04.10.2009 08:58
hi

Was ist ein Rootkit? (Professionelle Erklärung von Kaspersky - bitte unbedingt lesen!:
(englisch etwa: „Administratorenbausatz“; root ist unter unixoiden und unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken)
Wie übertragen sich Rootkits?
Ein Rootkit dient vor allem dazu, Objekte im System wie bösartige Dateien von Benutzern und Virenscannern zu verstecken . So können Angreifer ihren Schadcode aus dem Internet gezielt regelmäßig nachzuladen bis dein PC geht nach Einschalten sofort aus!
kann Dir nur eins sagen:
"Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die komplette Neuinstallation."

gruß
Coverflow

Smokiejr 04.10.2009 18:50
danke, für die antwort, nehme meinen satz auch zurück am ende letzten eintrag.
werde ich demnächst in angriff nehmen das windoof runterzuhauen.:snyper:

kira 04.10.2009 23:54
Kluge Entscheidung:)

Anleitung: Neuaufsetzen des Systems + Absicherung

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
Zitat:
Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -
Lesestoff:
wünsch Dir alles Gute:)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19