Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wurde von einem Trojaner infiziert. Bitte um Hilfe (https://www.trojaner-board.de/43125-wurde-trojaner-infiziert-bitte-um-hilfe.html)

MeisterM 06.09.2007 20:57
Wurde von einem Trojaner infiziert. Bitte um Hilfe
 
Hallo,
mein Rechner wurde wahrscheinlich von einem Trojaner infiziert.
Ich hab mir Antvir installiert, nachdem ich lange Zeit Avast! benutzt habe. Nach der Installation kommt bei jedem Programmstart eine Alarmmeldung von Antivir, dass die Datei "cbxuvur.dll" im Windows/System32-Ordner wahrscheinlich infiziert ist. Antivir kann die Datei nicht entfernen bzw. reparieren, auch nicht im abgesicherten Modus, bei deaktivierter Systemwiederherstellung.
Da ich von der Materie nicht allzuviel Ahnung hab, wende ich mich an euch. Meine aktuelle HJT-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:52, on 06.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\PackethSvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\winC42.tmp.exe
O4 - HKLM\..\Run: [wjebadqt] rundll32.exe "C:\Programme\wjebadqt\glcpsbaj.dll",Init
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [testlessbibfast] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Surf Test Less\VcSpam.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Awei] "C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb
O4 - HKCU\..\Run: [Rgipdr] C:\WINDOWS\?racle\?canregw.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163198250435
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFE3094D-C440-4BB8-9590-839832B2DB4C}: NameServer = 217.237.150.51 217.237.148.22
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

--
End of file - 5271 bytes

Desweiteren hab ich die infizierte Datei noch bei Virustotal.com auswerten lassen. Es folg deren Analysebericht:

Datei cbxuvur.dll empfangen 2007.09.06 20:43:09 (CET)

Ergebnis: 17/32 (53.13%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.5.0 2007.09.06 -
AntiVir 7.6.0.5 2007.09.06 TR/Vundo.Gen
Authentium 4.93.8 2007.09.06 -
Avast 4.7.1029.0 2007.09.06 -
AVG 7.5.0.485 2007.09.06 Adware Generic2.OYD
BitDefender 7.2 2007.09.06 Trojan.Vundo.DMV
CAT-QuickHeal 9.00 2007.09.06 -
ClamAV 0.91.2 2007.09.06 -
DrWeb 4.33 2007.09.06 Trojan.Virtumod.206
eSafe 7.0.15.0 2007.09.04 Suspicious Trojan/Worm
eTrust-Vet 31.1.5114 2007.09.06 Win32/Vundo!generic
Ewido 4.0 2007.09.06 -
FileAdvisor 1 2007.09.06 -
Fortinet 3.11.0.0 2007.09.06 -
F-Prot 4.3.2.48 2007.09.06 -
F-Secure 6.70.13030.0 2007.09.06 -
Ikarus T3.1.1.12 2007.09.06 not-a-virus:AdWare.Win32.Virtumonde.jp
Kaspersky 4.0.2.24 2007.09.06 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5114 2007.09.06 -
Microsoft 1.2803 2007.09.06 -
NOD32v2 2510 2007.09.06 -
Norman 5.80.02 2007.09.06 W32/Virtumonde.dam
Panda 9.0.0.4 2007.09.06 Suspicious file
Prevx1 V2 2007.09.06 Generic.Malware
Rising 19.39.32.00 2007.09.06 -
Sophos 4.21.0 2007.09.06 Virtumundo
Sunbelt 2.2.907.0 2007.09.06 VIPRE.Suspicious
Symantec 10 2007.09.06 Adware.VirtuMonde
TheHacker 6.1.9.179 2007.09.06 Adware/Virtumonde.jp
VBA32 3.12.2.4 2007.09.06 -
VirusBuster 4.3.26:9 2007.09.06 Adware.Vundo.P.Gen
Webwasher-Gateway 6.0.1 2007.09.06 Trojan.Vundo.Gen

weitere Informationen
File size: 43542 bytes
MD5: 4a67e680c457c3b08780f5264d7cd266
SHA1: 0a5185821afa9c67fac1e592b0ee2457ec204cb8
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=53C6E0011655169EAAE7003489002A00D5A9D028
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics

Ich hoffe ihr könnt mir helfen,
Mfg MeisterM

KarlKarl 06.09.2007 21:18
Hi,

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Virustotal kennst Du ja schon, hier gleich noch ein paar Dateien zum Scannen:
  • C:\Programme\wjebadqt\glcpsbaj.dll
  • C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Surf Test Less\VcSpam.exe
  • mgrs.exe (vermutrlich in c:\windows oder c:\windows\system32)
  • C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.e xe
  • C:\WINDOWS\?racle\?canregw.exe
  • C:\WINDOWS\TEMP\winC42.tmp.exe
Bei den Namen, die Fragezeichen enthalten, solltest Du davon ausgehen, dass anstelle der Fragezeichen andere Zeichen stehen, die Dateinamen enthalten da Zeichen, die Hijackthis nicht darstellen kann, z.B. kyrillische.

Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab.

Gruß, Karl

MeisterM 09.09.2007 18:57
Also, ich habe diese Ordneroptionen gändert. Danach hab ich mich daran gemacht, die aufgelisteten Dateien zu suchen. Leider konnt ich sie nicht an Virustotal senden, da ich bzw. die Windows Suche, sie, oder die enthaltenden Ordner nicht gefunden habe. Die beiden Ausnahme bilden die Datei "winC42.tmp", die aber von Virustotal nicht akzeptiert wurde, da sie 0 Kb groß ist und "mgrs.exe" zu der aber nur die ähnliche Datei "mgrs.dll" existiert, die zu Anitvir gehört. Die Virustotal Analyse dieser Datei konnte keinen Virus feststellen.

Als nächstes habe ich diese Filelist erstellt. Das hat sofort funktioniert, jdeoch ist die Datei trotz Kürzungen so groß, dass der Thread sie nicht annimmt und ich sie auch nicht als Attachment anhängen kann. Deshalb mach ich alles einzeln:
Code:
----- Root -----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\

09.09.2007  18:24            12.782 check_LSA7.txt
09.09.2007  18:24      268.013.568 hiberfil.sys
09.09.2007  18:24      419.430.400 pagefile.sys
06.09.2007  20:17              242 boot.ini
20.02.2007  14:45              475 rapport.txt

              14 Datei(en)    687.924.561 Bytes
              0 Verzeichnis(se), 17.148.964.864 Bytes frei
Code:
----- System32 -------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\system32

09.09.2007  19:10            6.138 sstwa.ini2
09.09.2007  18:26            1.158 wpa.dbl
06.09.2007  22:05          249.768 TZLog.log
06.09.2007  18:19            2.953 CONFIG.NT
06.09.2007  18:15            6.448 sstwa.tmp
06.09.2007  18:10          244.832 awtss.dll
06.09.2007  18:06                12 gtv_sd.bin
06.09.2007  18:06                92 sznf.ascii
06.09.2007  18:05                2 wcpsvtr.exe
06.09.2007  18:05                4 fuamfu32.ini
06.09.2007  18:05                13 din.ip
06.09.2007  18:05            15.360 drvhavr.dll
06.09.2007  18:05            43.542 cbxuvur.dll
06.09.2007  15:47            60.928 claq.dll
03.08.2007  06:34        16.789.464 MRT.exe
30.07.2007  19:20            30.040 wuaucpl.cpl.mui
30.07.2007  19:20            30.040 wuapi.dll.mui
30.07.2007  19:19        1.712.984 wuaueng.dll
30.07.2007  19:19          549.720 wuapi.dll
30.07.2007  19:19          325.976 wucltui.dll
30.07.2007  19:19          203.096 wuweb.dll
30.07.2007  19:19          216.408 wuaucpl.cpl
30.07.2007  19:19            92.504 cdm.dll
30.07.2007  19:19            53.080 wuauclt.exe
30.07.2007  19:19            43.352 wups2.dll
30.07.2007  19:18            34.136 wucltui.dll.mui
30.07.2007  19:18            33.624 wups.dll
30.07.2007  19:18            20.824 wuaueng.dll.mui
18.07.2007  14:42            60.416 tzchange.exe
12.07.2007  20:58            58.596 perfc009.dat
12.07.2007  20:58          392.296 perfh009.dat
12.07.2007  20:58          405.118 perfh007.dat
12.07.2007  20:58            70.580 perfc007.dat
12.07.2007  20:58          898.756 PerfStringBackup.INI
05.07.2007  16:59            99.048 FNTCACHE.DAT
26.06.2007  16:09          664.576 wininet.dll
26.06.2007  08:08        1.104.896 msxml3.dll
19.06.2007  15:31          282.112 gdi32.dll
14.06.2007  20:09        3.079.680 mshtml.dll
14.06.2007  20:09          617.472 urlmon.dll
14.06.2007  20:09            39.424 pngfilt.dll
14.06.2007  20:09          474.624 shlwapi.dll
14.06.2007  20:09        1.494.528 shdocvw.dll
14.06.2007  20:09          449.024 mshtmled.dll
14.06.2007  20:09          532.480 mstime.dll
14.06.2007  20:09          146.432 msrating.dll
14.06.2007  20:09          152.064 cdfview.dll
14.06.2007  20:09            96.768 inseng.dll
14.06.2007  20:09          251.392 iepeers.dll
14.06.2007  20:09            55.808 extmgr.dll
14.06.2007  20:09        1.023.488 browseui.dll
14.06.2007  20:09        1.056.256 danim.dll
14.06.2007  20:09          205.312 dxtrans.dll
14.06.2007  20:09            16.384 jsproxy.dll
14.06.2007  20:09          357.888 dxtmsft.dll
14.06.2007  16:24          123.904 xpsp3res.dll
17.05.2007  13:28          549.376 oleaut32.dll
16.05.2007  17:11          683.520 inetcomm.dll
08.05.2007  15:03        1.275.392 msxml4.dll
30.04.2007  02:22        4.734.976 wmp.dll
25.04.2007  16:22          144.896 schannel.dll
18.04.2007  18:13        2.854.400 msi.dll
16.04.2007  17:53        1.058.304 kernel32.dll
13.04.2007  03:21          271.360 mscoree.dll
02.04.2007  07:58          546.304 hhctrl.ocx

            2020 Datei(en)    397.346.010 Bytes
              0 Verzeichnis(se), 17.148.825.600 Bytes frei
Code:
----- Prefetch -------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\Prefetch

09.09.2007  19:10            10.912 FIND.EXE-0EC32F1E.pf
09.09.2007  19:10            12.052 CMD.EXE-087B4001.pf
09.09.2007  19:10            17.746 VERCLSID.EXE-3667BD89.pf
09.09.2007  19:10            17.040 GUARDGUI.EXE-1BD45C30.pf
09.09.2007  18:56            99.056 EXPLORER.EXE-082F38A9.pf
09.09.2007  18:50          111.328 FIREFOX.EXE-1D57670A.pf
09.09.2007  18:47            15.856 TASKMGR.EXE-20256C55.pf
09.09.2007  18:44            44.790 MSHTA.EXE-331DF029.pf
09.09.2007  18:43            14.690 RUNDLL32.EXE-19F507BE.pf
09.09.2007  18:41            15.458 WINHLP32.EXE-2C18E975.pf
09.09.2007  18:33            31.752 WMIPRVSE.EXE-28F301A9.pf
09.09.2007  18:33            17.328 RUNDLL32.EXE-1B7D821A.pf
09.09.2007  18:32            19.404 REGSVR32.EXE-25EEFE2F.pf
09.09.2007  18:28            18.034 WMIAPSRV.EXE-1E2270A5.pf
09.09.2007  18:28            13.382 NOTEPAD.EXE-336351A9.pf
09.09.2007  18:28            14.024 VASERV.EXE-05E057DD.pf
09.09.2007  18:28            13.044 CAPICTRL.EXE-2768600B.pf
09.09.2007  18:28            49.868 ?CANREGW.EXE-2100F0EB.pf
09.09.2007  18:28            18.144 TEATIMER.EXE-38E505A8.pf
09.09.2007  18:27            33.434 RUNDLL32.EXE-2F76EEDF.pf
09.09.2007  18:27            72.698 AVGNT.EXE-36CA4640.pf
09.09.2007  18:27            54.510 QTTASK.EXE-2D7EEF34.pf
09.09.2007  18:27            12.866 BJPSMAIN.EXE-13BB334D.pf
09.09.2007  18:27            13.612 RUNDLL32.EXE-383267D7.pf
09.09.2007  18:27            21.952 RUNDLL32.EXE-1EFB9777.pf
09.09.2007  18:27            13.784 LXSUPMON.EXE-043C97EB.pf
09.09.2007  18:27            56.694 IMAPI.EXE-0BF740A4.pf
09.09.2007  18:27        1.075.580 NTOSBOOT-B00DFAAD.pf
09.09.2007  14:29            7.456 WSCNTFY.EXE-1B24F5EB.pf
09.09.2007  14:29            52.844 LOGONUI.EXE-0AF22957.pf
09.09.2007  14:29            15.544 RUNDLL32.EXE-1C05E32B.pf
09.09.2007  14:24            78.766 IEXPLORE.EXE-2CA9778D.pf
09.09.2007  14:11            46.486 RUNDLL32.EXE-1831A4F3.pf
09.09.2007  14:11            20.274 CONTROL.EXE-013DBFB5.pf
09.09.2007  14:10            52.270 WGATRAY.EXE-0ED38BED.pf
09.09.2007  14:10            47.132 USERINIT.EXE-30B18140.pf
09.09.2007  14:10            10.166 WINLOGON.EXE-32C57D49.pf
09.09.2007  14:10            8.034 CSRSS.EXE-12B63473.pf
09.09.2007  14:05          298.344 Layout.ini
09.09.2007  14:01            6.344 LOGON.SCR-151EFAEA.pf
09.09.2007  13:50            11.858 YQVGGGFM.EXE-2A7C5668.pf
09.09.2007  11:34            16.004 RUNDLL32.EXE-2FF0653C.pf
09.09.2007  11:32            11.632 RUNDLL32.EXE-15DF0867.pf
08.09.2007  22:47            56.566 WUAUCLT.EXE-399A8E72.pf
08.09.2007  22:46            11.924 GUTHSPDB.EXE-0BA0AD52.pf
08.09.2007  22:30            12.324 GVMMKYPQ.EXE-015F320D.pf
08.09.2007  21:51            64.644 DFRGNTFS.EXE-269967DF.pf
08.09.2007  21:51            15.952 DEFRAG.EXE-273F131E.pf
08.09.2007  21:04            57.132 EINRICHTUNG.EXE-114B73D0.pf
08.09.2007  20:22            56.630 AVCENTER.EXE-37584419.pf
08.09.2007  20:16            54.218 UPDATE.EXE-13D57D76.pf
08.09.2007  20:16            17.812 PREUPD.EXE-358AA1C1.pf
08.09.2007  20:15            62.998 MSIEXEC.EXE-2F8A8CAE.pf
06.09.2007  22:51            71.334 DUMPREP.EXE-1B46F901.pf
05.09.2007  22:05            61.152 HELPSVC.EXE-2878DDA2.pf
03.09.2007  20:56            10.998 RUNDLL32.EXE-451FC2C0.pf
              56 Datei(en)      3.145.876 Bytes
              0 Verzeichnis(se), 17.148.850.176 Bytes frei
Code:
----- Windows --------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS

09.09.2007  18:26        1.780.807 WindowsUpdate.log
09.09.2007  18:25                0 0.log
09.09.2007  18:25              159 wiadebug.log
09.09.2007  18:25                50 wiaservc.log
09.09.2007  18:24            2.048 bootstat.dat
09.09.2007  14:29            32.172 SchedLgU.Txt
09.09.2007  11:34            3.814 ModemLog_Lucent Win Modem.txt
06.09.2007  22:06          126.860 iis6.log
06.09.2007  22:06            1.355 imsins.log
06.09.2007  22:06          335.667 tsoc.log
06.09.2007  22:06            45.459 ocmsn.log
06.09.2007  22:06          179.075 ntdtcsetup.log
06.09.2007  22:06          285.220 comsetup.log
06.09.2007  22:06            25.413 KB933360.log
06.09.2007  22:06          450.672 ocgen.log
06.09.2007  22:06            42.465 msgsocm.log
06.09.2007  22:06          818.599 FaxSetup.log
06.09.2007  22:05            1.601 setupapi.log
06.09.2007  20:17              271 system.ini
06.09.2007  20:17              674 win.ini
06.09.2007  17:55              487 Capictrl.INI
06.09.2007  17:40        1.042.591 setupapi.log.0.old
06.09.2007  17:32            6.637 setupact.log
06.09.2007  17:25                59 WINPHONE.INI
18.08.2007  16:24            1.374 imsins.BAK
18.08.2007  16:24            10.396 KB936021.log
18.08.2007  15:22            15.638 KB938828.log
18.08.2007  15:22            37.235 updspapi.log
18.08.2007  15:22            15.008 KB921503.log
18.08.2007  15:22            14.809 KB938829.log
18.08.2007  15:22            15.354 KB938127.log
18.08.2007  15:22            19.766 KB937143.log
17.08.2007  18:15            31.230 spupdsvc.log
16.08.2007  21:42            6.589 KB936782.log
16.08.2007  21:42            28.838 wmsetup.log
16.08.2007  17:30          284.656 msxml4-KB936181-enu.LOG
22.07.2007  00:35            20.669 KB936357.log
17.07.2007  17:28            25.713 CSTBox.INI
14.07.2007  08:36            24.986 KB933566.log
12.07.2007  20:59            12.537 KB929123.log
12.07.2007  20:54            11.784 KB935840.log
12.07.2007  20:54            11.771 KB935839.log
13.06.2007  15:21        1.036.288 explorer.exe
01.06.2007  22:43            3.190 tm.ini
01.06.2007  22:36              124 tdf.dii
24.05.2007  15:06            10.290 KB927891.log
24.05.2007  15:06            13.197 KB931768.log
21.05.2007  18:25            10.440 KB930916.log
12.05.2007  21:55            46.996 KB923689.log
12.05.2007  20:03                69 NeroDigital.ini
12.05.2007  19:20          316.640 WMSysPr9.prx
12.05.2007  19:17            27.091 Directx.log
11.05.2007  14:04            1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
11.05.2007  13:54              436 nsw.log
15.04.2007  10:49            13.622 KB930178.log
15.04.2007  10:49            13.355 KB932168.log
14.04.2007  17:58            12.319 KB931261.log
14.04.2007  10:05            12.458 KB931784.log
14.04.2007  10:05            6.455 KB935448.log
04.04.2007  09:27            12.338 KB925902.log

            292 Datei(en)    577.934.258 Bytes
              0 Verzeichnis(se), 17.148.833.792 Bytes frei
Code:
----- Tasks ----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\tasks

09.09.2007  19:00              270 ACFDBA22902A3002.job
09.09.2007  18:24                6 SA.DAT
18.08.2001  12:00                65 desktop.ini
              3 Datei(en)            341 Bytes
              0 Verzeichnis(se), 17.148.833.792 Bytes frei
Der Abschnitt wintemp ist echt riesig, daher nur ein Ausschnitt. Aufgefallen ist dabei, dass die meisten Einträge innerhalb der letzten 3Wochen enstanden sind und immer "win....tmp" Dateien betreffen, die 0 Kb groß sind:

Code:
----- Wintemp --------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\temp

09.09.2007  18:26              409 WGANotify.settings
09.09.2007  18:26              255 WGAErrLog.txt
06.09.2007  20:36                0 Upd1.tmp
06.09.2007  18:46                0 winC44.tmp
06.09.2007  18:44                0 winC42.tmp
06.09.2007  18:42                0 winC40.tmp
06.09.2007  18:40                0 winC3E.tmp
06.09.2007  18:38                0 winC3D.tmp
06.09.2007  18:19                0 UpdCA4.tmp
06.09.2007  18:17                0 winCA3.tmp
06.09.2007  18:14                0 UpdCA2.tmp
06.09.2007  18:07            99.884 NDrC87.tmp.xml
06.09.2007  18:06            10.240 server32.exe
06.09.2007  18:06            10.240 win16.exe
06.09.2007  18:05                0 winC53.tmp
06.09.2007  18:05                0 winC51.tmp
06.09.2007  18:05                0 winC50.tmp
06.09.2007  18:05                0 winC4F.tmp
06.09.2007  18:05                0 winC4C.tmp
06.09.2007  18:05            94.208 gosC4A.tmp
06.09.2007  18:05                0 winC49.tmp
06.09.2007  18:05                0 winC47.tmp
06.09.2007  18:05                43 removalfile.bat
06.09.2007  18:05                0 winC45.tmp
06.09.2007  18:05                38 a.bat
06.09.2007  18:05                0 winC43.tmp
06.09.2007  18:05                0 winC41.tmp
06.09.2007  18:05            1.021 winC3F.tmp
06.09.2007  18:03                0 winC3B.tmp
06.09.2007  18:03                0 winC3A.tmp
06.09.2007  18:03                0 winC3C.tmp
06.09.2007  18:03                0 winC39.tmp
06.09.2007  18:01                0 winC36.tmp
06.09.2007  18:01                0 winC38.tmp
06.09.2007  18:01                0 winC37.tmp
 
...

29.07.2007  17:04                0 win2A6C.tmp
29.07.2007  17:02                0 win2A62.tmp
29.07.2007  17:02                0 win2A65.tmp
29.07.2007  17:02                0 win2A63.tmp
29.07.2007  17:02                0 win2A64.tmp
29.07.2007  17:02                0 win2A61.tmp
29.07.2007  17:00                0 win2A5F.tmp
29.07.2007  17:00                0 win2A60.tmp
29.07.2007  17:00                0 win2A5E.tmp
29.07.2007  17:00                0 win2A5D.tmp
19.07.2007  19:46            34.494 outerinfo.ico
            3405 Datei(en)        414.672 Bytes
              0 Verzeichnis(se), 17.148.628.992 Bytes frei
Code:
----- Temp -----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp

09.09.2007  19:10          283.641 filelist.txt
09.09.2007  19:04              760 NDr1D.tmp.html
09.09.2007  19:04              667 NDr1C.tmp.html
09.09.2007  19:03            4.433 def_oin_thumb.jpg
09.09.2007  18:28            16.384 Perflib_Perfdata_f44.dat
06.09.2007  20:26            16.384 ~DF61A7.tmp
05.09.2007  21:54          797.676 IMT5A.xml
05.09.2007  21:54              426 IMT59.xml
05.09.2007  21:54            2.036 IMT58.xml
05.09.2007  21:53          797.676 IMT55.xml
05.09.2007  21:53              426 IMT54.xml
05.09.2007  21:53            2.036 IMT53.xml
05.09.2007  21:53          797.676 IMT52.xml
05.09.2007  21:53              426 IMT51.xml
05.09.2007  21:53            2.036 IMT50.xml
05.09.2007  21:52            1.022 IMT47.dtd
05.09.2007  21:52        2.794.308 IMT46.xml
05.09.2007  21:51          797.676 IMT45.xml
05.09.2007  21:51              426 IMT44.xml
05.09.2007  21:51            2.036 IMT43.xml
05.09.2007  21:51          797.676 IMT27.xml
05.09.2007  21:51              426 IMT26.xml
05.09.2007  21:51            2.036 IMT25.xml
05.09.2007  21:50          797.676 IMT20.xml
05.09.2007  21:50              426 IMT1F.xml
05.09.2007  21:50            2.036 IMT1E.xml
05.09.2007  21:50          797.676 IMT1D.xml
05.09.2007  21:50              426 IMT1C.xml
05.09.2007  21:50            2.036 IMT1B.xml
05.09.2007  21:50          797.676 IMT1A.xml
05.09.2007  21:50              426 IMT19.xml
05.09.2007  21:50            2.036 IMT18.xml
05.09.2007  21:49          797.676 IMT10.xml
05.09.2007  21:49              426 IMTF.xml
05.09.2007  21:49            2.036 IMTE.xml
05.09.2001  06:23            56.320 SET2A73.tmp
05.09.2001  05:23            56.320 SET2A74.tmp
              37 Datei(en)    10.431.481 Bytes
              0 Verzeichnis(se), 17.148.669.952 Bytes frei
Neuerdings öffnet sich plötzlich der IExplorer und navigiert zu einer Seite mit folgender URL: h**p//89.188.16.10/ ... und dann ne ewiglange Andresse. Naja vielleicht ist das ja ein Hinweis.

Ausserdem sind durch Meldungen von AntiVir folgende Dateien aufgefallen:

-fqsuesjt.exe
-valera[1]
-jjgeksjv.exe
-hhadgrky.dll

Allesamt langen sie laut Antivir irgendwo in "C:\Dokumente und Einstellungen" (der ganze Pfad wird nie angezeigt) und nach der Meldung nicht mehr auffindbar, so dass ich sie auch nicht scannen lassen konnte.

Danke fürs Helfen!

cosinus 09.09.2007 19:26
Ich übernehm mal für KarlKarl.

Da du zumindest den Vundo drauf hast, acker das hier mal ab:

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Mach dann mal ein neues Filelist, so können wir ggf. krumme Dateien finden, die nicht zu Vundo gehören. Du könntest VOR dem erneuten Erstellen die tempfade leeren - dieses CMD-script könnte dir dabei helfen, speicher es auf dem Desktop und klick es doppelt an (es müsste nur kurz ein schwarzes fenster erscheinen).

KarlKarl 09.09.2007 19:30
Editiert: Danke Cosinus :)

cosinus 09.09.2007 19:31
Kaum springt man ein, isser schon da! ;)

MeisterM 09.09.2007 19:50
So, hat alles prima funktioniert, Antivir meldet auch nix mehr. Vielen Dank!
Jedoch startet der INetExplorer immernoch von alleine...
Hier ist die neue Filelist:

Code:
----- Root -----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\

09.09.2007  20:41              546 check_LSA7.txt
09.09.2007  20:41      268.013.568 hiberfil.sys
09.09.2007  20:41      419.430.400 pagefile.sys
09.09.2007  20:40              364 VundoFix.txt
06.09.2007  20:17              242 boot.ini
              15 Datei(en)    687.912.689 Bytes
              0 Verzeichnis(se), 17.157.750.784 Bytes frei
 
----- System32 -------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\system32

09.09.2007  20:43          793.732 sstwa.ini2
09.09.2007  20:42            1.158 wpa.dbl
09.09.2007  20:40          793.672 sstwa.ini
09.09.2007  19:33          779.536 sstwa.bak1
06.09.2007  22:05          249.768 TZLog.log
06.09.2007  18:19            2.953 CONFIG.NT
06.09.2007  18:15            6.448 sstwa.tmp
06.09.2007  18:10          244.832 awtss.dll
06.09.2007  18:06                12 gtv_sd.bin
06.09.2007  18:06                92 sznf.ascii
06.09.2007  18:05                2 wcpsvtr.exe
06.09.2007  18:05                4 fuamfu32.ini
06.09.2007  18:05                13 din.ip
06.09.2007  15:47            60.928 claq.dll
03.08.2007  06:34        16.789.464 MRT.exe
30.07.2007  19:20            30.040 wuaucpl.cpl.mui
30.07.2007  19:20            30.040 wuapi.dll.mui
30.07.2007  19:19        1.712.984 wuaueng.dll
30.07.2007  19:19          549.720 wuapi.dll
30.07.2007  19:19          325.976 wucltui.dll
30.07.2007  19:19          216.408 wuaucpl.cpl
30.07.2007  19:19          203.096 wuweb.dll
30.07.2007  19:19            92.504 cdm.dll
30.07.2007  19:19            53.080 wuauclt.exe
30.07.2007  19:19            43.352 wups2.dll
30.07.2007  19:18            34.136 wucltui.dll.mui
30.07.2007  19:18            33.624 wups.dll
30.07.2007  19:18            20.824 wuaueng.dll.mui
18.07.2007  14:42            60.416 tzchange.exe
12.07.2007  20:58          392.296 perfh009.dat
12.07.2007  20:58            58.596 perfc009.dat
12.07.2007  20:58          405.118 perfh007.dat
12.07.2007  20:58            70.580 perfc007.dat
12.07.2007  20:58          898.756 PerfStringBackup.INI
05.07.2007  16:59            99.048 FNTCACHE.DAT
26.06.2007  16:09          664.576 wininet.dll
26.06.2007  08:08        1.104.896 msxml3.dll
19.06.2007  15:31          282.112 gdi32.dll
14.06.2007  20:09        3.079.680 mshtml.dll
14.06.2007  20:09          617.472 urlmon.dll
14.06.2007  20:09        1.494.528 shdocvw.dll
14.06.2007  20:09            39.424 pngfilt.dll
14.06.2007  20:09          474.624 shlwapi.dll
14.06.2007  20:09          146.432 msrating.dll
14.06.2007  20:09          532.480 mstime.dll
14.06.2007  20:09          449.024 mshtmled.dll
14.06.2007  20:09            55.808 extmgr.dll
14.06.2007  20:09            96.768 inseng.dll
14.06.2007  20:09        1.023.488 browseui.dll
14.06.2007  20:09          357.888 dxtmsft.dll
14.06.2007  20:09          251.392 iepeers.dll
14.06.2007  20:09            16.384 jsproxy.dll
14.06.2007  20:09          205.312 dxtrans.dll
14.06.2007  20:09        1.056.256 danim.dll
14.06.2007  20:09          152.064 cdfview.dll
14.06.2007  16:24          123.904 xpsp3res.dll
17.05.2007  13:28          549.376 oleaut32.dll
16.05.2007  17:11          683.520 inetcomm.dll
08.05.2007  15:03        1.275.392 msxml4.dll
30.04.2007  02:22        4.734.976 wmp.dll
25.04.2007  16:22          144.896 schannel.dll
18.04.2007  18:13        2.854.400 msi.dll
16.04.2007  17:53        1.058.304 kernel32.dll
13.04.2007  03:21          271.360 mscoree.dll
02.04.2007  07:58          546.304 hhctrl.ocx
            2020 Datei(en)    399.647.910 Bytes
              0 Verzeichnis(se), 17.157.623.808 Bytes frei
 
----- Prefetch -------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\Prefetch

09.09.2007  20:40            13.674 REGEDIT.EXE-1B606482.pf
09.09.2007  20:40            8.410 VUNDOFIXSVC.EXE-18ADD79E.pf
09.09.2007  20:39            28.154 NOTEPAD.EXE-336351A9.pf
09.09.2007  20:39            23.072 GUARDGUI.EXE-1BD45C30.pf
09.09.2007  20:38            85.284 FIREFOX.EXE-1D57670A.pf
09.09.2007  20:36            13.530 VUNDOFIX.EXE-05C28E0E.pf
09.09.2007  20:36            73.598 IEXPLORE.EXE-2CA9778D.pf
09.09.2007  20:30            16.232 TASKMGR.EXE-20256C55.pf
09.09.2007  20:29            47.350 AVSCAN.EXE-05AECC0E.pf
09.09.2007  20:23            64.016 AVNOTIFY.EXE-22AE9451.pf
09.09.2007  20:23            56.630 AVCENTER.EXE-37584419.pf
09.09.2007  20:23            34.988 ANTIVIR_WORKSTATION_WIN7U_DE_-06B0BC01.pf
09.09.2007  20:19            20.584 REGSVR32.EXE-25EEFE2F.pf
09.09.2007  20:19            69.668 AVGNT.EXE-36CA4640.pf
09.09.2007  20:16            54.148 UPDATE.EXE-13D57D76.pf
09.09.2007  20:16            18.416 PREUPD.EXE-358AA1C1.pf
09.09.2007  20:11            98.852 EXPLORER.EXE-082F38A9.pf
09.09.2007  19:43            25.480 DWWIN.EXE-30875ADC.pf
09.09.2007  19:43          101.422 DUMPREP.EXE-1B46F901.pf
09.09.2007  19:33            34.624 WMIPRVSE.EXE-28F301A9.pf
09.09.2007  19:10            16.360 CMD.EXE-087B4001.pf
09.09.2007  19:10            10.912 FIND.EXE-0EC32F1E.pf
09.09.2007  19:10            17.746 VERCLSID.EXE-3667BD89.pf
09.09.2007  18:44            44.790 MSHTA.EXE-331DF029.pf
09.09.2007  18:43            14.690 RUNDLL32.EXE-19F507BE.pf
09.09.2007  18:41            15.458 WINHLP32.EXE-2C18E975.pf
09.09.2007  18:33            17.328 RUNDLL32.EXE-1B7D821A.pf
09.09.2007  18:28            18.034 WMIAPSRV.EXE-1E2270A5.pf
09.09.2007  18:28            14.024 VASERV.EXE-05E057DD.pf
09.09.2007  18:28            13.044 CAPICTRL.EXE-2768600B.pf
09.09.2007  18:28            49.868 ?CANREGW.EXE-2100F0EB.pf
09.09.2007  18:28            18.144 TEATIMER.EXE-38E505A8.pf
09.09.2007  18:27            33.434 RUNDLL32.EXE-2F76EEDF.pf
09.09.2007  18:27            54.510 QTTASK.EXE-2D7EEF34.pf
09.09.2007  18:27            12.866 BJPSMAIN.EXE-13BB334D.pf
09.09.2007  18:27            13.612 RUNDLL32.EXE-383267D7.pf
09.09.2007  18:27            21.952 RUNDLL32.EXE-1EFB9777.pf
09.09.2007  18:27            13.784 LXSUPMON.EXE-043C97EB.pf
09.09.2007  18:27            56.694 IMAPI.EXE-0BF740A4.pf
09.09.2007  18:27        1.075.580 NTOSBOOT-B00DFAAD.pf
09.09.2007  14:29            7.456 WSCNTFY.EXE-1B24F5EB.pf
09.09.2007  14:29            52.844 LOGONUI.EXE-0AF22957.pf
09.09.2007  14:29            15.544 RUNDLL32.EXE-1C05E32B.pf
09.09.2007  14:11            46.486 RUNDLL32.EXE-1831A4F3.pf
09.09.2007  14:11            20.274 CONTROL.EXE-013DBFB5.pf
09.09.2007  14:10            52.270 WGATRAY.EXE-0ED38BED.pf
09.09.2007  14:10            47.132 USERINIT.EXE-30B18140.pf
09.09.2007  14:10            10.166 WINLOGON.EXE-32C57D49.pf
09.09.2007  14:10            8.034 CSRSS.EXE-12B63473.pf
09.09.2007  14:05          298.344 Layout.ini
09.09.2007  14:01            6.344 LOGON.SCR-151EFAEA.pf
09.09.2007  13:50            11.858 YQVGGGFM.EXE-2A7C5668.pf
09.09.2007  11:34            16.004 RUNDLL32.EXE-2FF0653C.pf
09.09.2007  11:32            11.632 RUNDLL32.EXE-15DF0867.pf
08.09.2007  22:47            56.566 WUAUCLT.EXE-399A8E72.pf
08.09.2007  22:46            11.924 GUTHSPDB.EXE-0BA0AD52.pf
08.09.2007  22:30            12.324 GVMMKYPQ.EXE-015F320D.pf
08.09.2007  21:51            64.644 DFRGNTFS.EXE-269967DF.pf
08.09.2007  21:51            15.952 DEFRAG.EXE-273F131E.pf
08.09.2007  21:04            57.132 EINRICHTUNG.EXE-114B73D0.pf
08.09.2007  20:15            62.998 MSIEXEC.EXE-2F8A8CAE.pf
05.09.2007  22:05            61.152 HELPSVC.EXE-2878DDA2.pf
03.09.2007  20:56            10.998 RUNDLL32.EXE-451FC2C0.pf
              63 Datei(en)      3.379.040 Bytes
              0 Verzeichnis(se), 17.157.648.384 Bytes frei
 
----- Windows --------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS

09.09.2007  20:42                0 0.log
09.09.2007  20:42              159 wiadebug.log
09.09.2007  20:42        1.783.356 WindowsUpdate.log
09.09.2007  20:42                50 wiaservc.log
09.09.2007  20:41            2.048 bootstat.dat
09.09.2007  14:29            32.172 SchedLgU.Txt
09.09.2007  11:34            3.814 ModemLog_Lucent Win Modem.txt
06.09.2007  22:06          126.860 iis6.log
06.09.2007  22:06            1.355 imsins.log
06.09.2007  22:06          335.667 tsoc.log
06.09.2007  22:06            45.459 ocmsn.log
06.09.2007  22:06          179.075 ntdtcsetup.log
06.09.2007  22:06          285.220 comsetup.log
06.09.2007  22:06            25.413 KB933360.log
06.09.2007  22:06          450.672 ocgen.log
06.09.2007  22:06            42.465 msgsocm.log
06.09.2007  22:06          818.599 FaxSetup.log
06.09.2007  22:05            1.601 setupapi.log
06.09.2007  20:17              271 system.ini
06.09.2007  20:17              674 win.ini
06.09.2007  17:55              487 Capictrl.INI
06.09.2007  17:40        1.042.591 setupapi.log.0.old
06.09.2007  17:32            6.637 setupact.log
06.09.2007  17:25                59 WINPHONE.INI
18.08.2007  16:24            1.374 imsins.BAK
18.08.2007  16:24            10.396 KB936021.log
18.08.2007  15:22            15.638 KB938828.log
18.08.2007  15:22            37.235 updspapi.log
18.08.2007  15:22            15.008 KB921503.log
18.08.2007  15:22            14.809 KB938829.log
18.08.2007  15:22            15.354 KB938127.log
18.08.2007  15:22            19.766 KB937143.log
17.08.2007  18:15            31.230 spupdsvc.log
16.08.2007  21:42            6.589 KB936782.log
16.08.2007  21:42            28.838 wmsetup.log
16.08.2007  17:30          284.656 msxml4-KB936181-enu.LOG
22.07.2007  00:35            20.669 KB936357.log
17.07.2007  17:28            25.713 CSTBox.INI
14.07.2007  08:36            24.986 KB933566.log
12.07.2007  20:59            12.537 KB929123.log
12.07.2007  20:54            11.784 KB935840.log
12.07.2007  20:54            11.771 KB935839.log
13.06.2007  15:21        1.036.288 explorer.exe
01.06.2007  22:43            3.190 tm.ini
01.06.2007  22:36              124 tdf.dii
24.05.2007  15:06            10.290 KB927891.log
24.05.2007  15:06            13.197 KB931768.log
21.05.2007  18:25            10.440 KB930916.log
12.05.2007  21:55            46.996 KB923689.log
12.05.2007  20:03                69 NeroDigital.ini
12.05.2007  19:20          316.640 WMSysPr9.prx
12.05.2007  19:17            27.091 Directx.log
11.05.2007  14:04            1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
11.05.2007  13:54              436 nsw.log
15.04.2007  10:49            13.622 KB930178.log
15.04.2007  10:49            13.355 KB932168.log
14.04.2007  17:58            12.319 KB931261.log
14.04.2007  10:05            12.458 KB931784.log
14.04.2007  10:05            6.455 KB935448.log
04.04.2007  09:27            12.338 KB925902.log
            292 Datei(en)    577.936.807 Bytes
              0 Verzeichnis(se), 17.157.632.000 Bytes frei
 
----- Tasks ----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\tasks

09.09.2007  20:41                6 SA.DAT
09.09.2007  20:00              270 ACFDBA22902A3002.job
              3 Datei(en)            341 Bytes
              0 Verzeichnis(se), 17.157.632.000 Bytes frei
 
----- Wintemp --------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\temp

 
----- Temp -----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp

09.09.2007  20:43          120.465 filelist.txt
              1 Datei(en)        120.465 Bytes
              0 Verzeichnis(se), 17.157.632.000 Bytes frei

cosinus 09.09.2007 20:06
Ein paar Dateien seh ich so, die du löschen kannst. Geh dazu mal so vor:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\system32\sstwa.ini2
C:\WINDOWS\system32\sstwa.ini
C:\WINDOWS\system32\sstwa.bak1
C:\WINDOWS\system32\sstwa.tmp
C:\WINDOWS\system32\awtss.dll
C:\WINDOWS\system32\gtv_sd.bin
C:\WINDOWS\system32\sznf.ascii
C:\WINDOWS\system32\wcpsvtr.exe
C:\WINDOWS\system32\fuamfu32.ini
C:\WINDOWS\system32\din.ip
C:\WINDOWS\system32\claq.dll
C:\WINDOWS\tasks\ACFDBA22902A3002.job
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
6.) Fertige neue Logfiles mit filelist an und poste sie.
7.) Fertige mit Silentrunners ein Log an und poste es.

MeisterM 09.09.2007 20:59
OK. Alles erledingt, hier sind die Ergebnisse:
Code:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ckjhnjwr

*******************

Script file located at: \??\C:\Program Files\dflebjqa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\sstwa.ini2 deleted successfully.
File C:\WINDOWS\system32\sstwa.ini deleted successfully.
File C:\WINDOWS\system32\sstwa.bak1 deleted successfully.
File C:\WINDOWS\system32\sstwa.tmp deleted successfully.
File C:\WINDOWS\system32\awtss.dll deleted successfully.
File C:\WINDOWS\system32\gtv_sd.bin deleted successfully.
File C:\WINDOWS\system32\sznf.ascii deleted successfully.
File C:\WINDOWS\system32\wcpsvtr.exe deleted successfully.
File C:\WINDOWS\system32\fuamfu32.ini deleted successfully.
File C:\WINDOWS\system32\din.ip deleted successfully.
File C:\WINDOWS\system32\claq.dll deleted successfully.
File C:\WINDOWS\tasks\ACFDBA22902A3002.job deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Code:
----- Root -----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\

09.09.2007  21:48      268.013.568 hiberfil.sys
09.09.2007  21:48      419.430.400 pagefile.sys
09.09.2007  21:48            2.386 avenger.txt
09.09.2007  21:46            1.080 nqfqrowb.bat
09.09.2007  21:46          126.976 zip.exe
09.09.2007  21:08            10.948 check_LSA7.txt
09.09.2007  20:40              364 VundoFix.txt
06.09.2007  20:17              242 boot.ini
              18 Datei(en)    688.053.533 Bytes
              0 Verzeichnis(se), 17.701.732.352 Bytes frei
 
----- System32 -------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\system32

09.09.2007  21:49            1.158 wpa.dbl
09.09.2007  21:14          392.296 perfh009.dat
09.09.2007  21:14          405.118 perfh007.dat
09.09.2007  21:14            58.596 perfc009.dat
09.09.2007  21:14            70.580 perfc007.dat
09.09.2007  21:14          935.694 PerfStringBackup.INI
06.09.2007  22:05          249.768 TZLog.log
06.09.2007  18:19            2.953 CONFIG.NT
03.08.2007  06:34        16.789.464 MRT.exe
30.07.2007  19:20            30.040 wuaucpl.cpl.mui
30.07.2007  19:20            30.040 wuapi.dll.mui
30.07.2007  19:19        1.712.984 wuaueng.dll
30.07.2007  19:19          549.720 wuapi.dll
30.07.2007  19:19          325.976 wucltui.dll
30.07.2007  19:19          216.408 wuaucpl.cpl
30.07.2007  19:19          203.096 wuweb.dll
30.07.2007  19:19            92.504 cdm.dll
30.07.2007  19:19            53.080 wuauclt.exe
30.07.2007  19:19            43.352 wups2.dll
30.07.2007  19:18            34.136 wucltui.dll.mui
30.07.2007  19:18            33.624 wups.dll
30.07.2007  19:18            20.824 wuaueng.dll.mui
18.07.2007  14:42            60.416 tzchange.exe
05.07.2007  16:59            99.048 FNTCACHE.DAT
26.06.2007  16:09          664.576 wininet.dll
26.06.2007  08:08        1.104.896 msxml3.dll
19.06.2007  15:31          282.112 gdi32.dll
14.06.2007  20:09        3.079.680 mshtml.dll
14.06.2007  20:09            39.424 pngfilt.dll
14.06.2007  20:09          617.472 urlmon.dll
14.06.2007  20:09        1.494.528 shdocvw.dll
14.06.2007  20:09          474.624 shlwapi.dll
14.06.2007  20:09          532.480 mstime.dll
14.06.2007  20:09          146.432 msrating.dll
14.06.2007  20:09          449.024 mshtmled.dll
14.06.2007  20:09          357.888 dxtmsft.dll
14.06.2007  20:09            96.768 inseng.dll
14.06.2007  20:09        1.023.488 browseui.dll
14.06.2007  20:09        1.056.256 danim.dll
14.06.2007  20:09            55.808 extmgr.dll
14.06.2007  20:09          251.392 iepeers.dll
14.06.2007  20:09            16.384 jsproxy.dll
14.06.2007  20:09          205.312 dxtrans.dll
14.06.2007  20:09          152.064 cdfview.dll
14.06.2007  16:24          123.904 xpsp3res.dll
17.05.2007  13:28          549.376 oleaut32.dll
16.05.2007  17:11          683.520 inetcomm.dll
08.05.2007  15:03        1.275.392 msxml4.dll
30.04.2007  02:22        4.734.976 wmp.dll
25.04.2007  16:22          144.896 schannel.dll
18.04.2007  18:13        2.854.400 msi.dll
16.04.2007  17:53        1.058.304 kernel32.dll
13.04.2007  03:21          271.360 mscoree.dll
02.04.2007  07:58          546.304 hhctrl.ocx
            2009 Datei(en)    397.005.577 Bytes
              0 Verzeichnis(se), 17.701.605.376 Bytes frei
 
----- Prefetch -------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\Prefetch

09.09.2007  21:47            49.942 LOGONUI.EXE-0AF22957.pf
09.09.2007  21:46            74.576 FIREFOX.EXE-1D57670A.pf
09.09.2007  21:46            15.570 VERCLSID.EXE-3667BD89.pf
09.09.2007  21:44            12.576 AVENGER.EXE-35D7FB90.pf
09.09.2007  21:42            77.630 IEXPLORE.EXE-2CA9778D.pf
09.09.2007  21:35          309.340 Layout.ini
09.09.2007  21:18            51.288 DFRGNTFS.EXE-269967DF.pf
09.09.2007  21:17            31.636 MMC.EXE-1EF9AA05.pf
09.09.2007  21:15            31.518 WMIADAP.EXE-2DF425B2.pf
09.09.2007  21:14            12.308 CISVC.EXE-21F69875.pf
09.09.2007  21:14            9.714 ZCLIENTM.EXE-360CFDB5.pf
09.09.2007  21:14            25.978 UNREGMP2.EXE-07CACB61.pf
09.09.2007  21:13            44.948 SYSOCMGR.EXE-31169C54.pf
09.09.2007  21:11            24.308 CLEANMGR.EXE-1F86EA8E.pf
09.09.2007  21:11            19.036 WMIAPSRV.EXE-1E2270A5.pf
09.09.2007  21:11            34.264 RUNDLL32.EXE-2576181F.pf
09.09.2007  21:11            56.540 UPDATE.EXE-13D57D76.pf
09.09.2007  21:11            18.416 PREUPD.EXE-358AA1C1.pf
09.09.2007  21:11            56.630 AVCENTER.EXE-37584419.pf
09.09.2007  21:11        1.015.198 NTOSBOOT-B00DFAAD.pf
09.09.2007  21:06            33.220 NOTEPAD.EXE-336351A9.pf
09.09.2007  21:06            94.390 EXPLORER.EXE-082F38A9.pf
09.09.2007  21:05            17.054 TASKMGR.EXE-20256C55.pf
09.09.2007  21:05            45.976 CMD.EXE-087B4001.pf
09.09.2007  21:05            10.912 FIND.EXE-0EC32F1E.pf
09.09.2007  21:01            23.144 GUARDGUI.EXE-1BD45C30.pf
09.09.2007  21:00            27.000 REGCLEANR.EXE-10DDC304.pf
09.09.2007  20:58            34.706 WMIPRVSE.EXE-28F301A9.pf
09.09.2007  20:57            17.976 RUNDLL32.EXE-1B7D821A.pf
09.09.2007  20:57            19.834 REGSVR32.EXE-25EEFE2F.pf
09.09.2007  20:57            10.604 LXAIUN5C.EXE-23D770C6.pf
09.09.2007  20:57            19.832 _IU14D2N.TMP-074F6EE1.pf
09.09.2007  20:57            16.412 UNINS000.EXE-387CC9C8.pf
09.09.2007  20:54            51.686 WUAUCLT.EXE-399A8E72.pf
09.09.2007  20:54            43.736 RUNDLL32.EXE-3D97474F.pf
09.09.2007  20:54            23.208 CONTROL.EXE-013DBFB5.pf
09.09.2007  20:40            13.674 REGEDIT.EXE-1B606482.pf
09.09.2007  20:40            8.410 VUNDOFIXSVC.EXE-18ADD79E.pf
09.09.2007  20:36            13.530 VUNDOFIX.EXE-05C28E0E.pf
09.09.2007  20:29            47.350 AVSCAN.EXE-05AECC0E.pf
09.09.2007  20:23            64.016 AVNOTIFY.EXE-22AE9451.pf
09.09.2007  20:23            34.988 ANTIVIR_WORKSTATION_WIN7U_DE_-06B0BC01.pf
09.09.2007  20:19            69.668 AVGNT.EXE-36CA4640.pf
09.09.2007  19:43            25.480 DWWIN.EXE-30875ADC.pf
09.09.2007  19:43          101.422 DUMPREP.EXE-1B46F901.pf
09.09.2007  18:44            44.790 MSHTA.EXE-331DF029.pf
09.09.2007  18:43            14.690 RUNDLL32.EXE-19F507BE.pf
09.09.2007  18:41            15.458 WINHLP32.EXE-2C18E975.pf
09.09.2007  18:28            14.024 VASERV.EXE-05E057DD.pf
09.09.2007  18:28            13.044 CAPICTRL.EXE-2768600B.pf
09.09.2007  18:28            49.868 ?CANREGW.EXE-2100F0EB.pf
09.09.2007  18:28            18.144 TEATIMER.EXE-38E505A8.pf
09.09.2007  18:27            33.434 RUNDLL32.EXE-2F76EEDF.pf
09.09.2007  18:27            54.510 QTTASK.EXE-2D7EEF34.pf
09.09.2007  18:27            12.866 BJPSMAIN.EXE-13BB334D.pf
09.09.2007  18:27            13.612 RUNDLL32.EXE-383267D7.pf
09.09.2007  18:27            21.952 RUNDLL32.EXE-1EFB9777.pf
09.09.2007  18:27            13.784 LXSUPMON.EXE-043C97EB.pf
09.09.2007  18:27            56.694 IMAPI.EXE-0BF740A4.pf
09.09.2007  14:29            7.456 WSCNTFY.EXE-1B24F5EB.pf
09.09.2007  14:29            15.544 RUNDLL32.EXE-1C05E32B.pf
09.09.2007  14:11            46.486 RUNDLL32.EXE-1831A4F3.pf
09.09.2007  14:10            52.270 WGATRAY.EXE-0ED38BED.pf
09.09.2007  14:10            47.132 USERINIT.EXE-30B18140.pf
09.09.2007  14:10            10.166 WINLOGON.EXE-32C57D49.pf
09.09.2007  14:10            8.034 CSRSS.EXE-12B63473.pf
09.09.2007  14:01            6.344 LOGON.SCR-151EFAEA.pf
09.09.2007  13:50            11.858 YQVGGGFM.EXE-2A7C5668.pf
09.09.2007  11:34            16.004 RUNDLL32.EXE-2FF0653C.pf
09.09.2007  11:32            11.632 RUNDLL32.EXE-15DF0867.pf
08.09.2007  22:46            11.924 GUTHSPDB.EXE-0BA0AD52.pf
08.09.2007  22:30            12.324 GVMMKYPQ.EXE-015F320D.pf
08.09.2007  21:51            15.952 DEFRAG.EXE-273F131E.pf
08.09.2007  21:04            57.132 EINRICHTUNG.EXE-114B73D0.pf
08.09.2007  20:15            62.998 MSIEXEC.EXE-2F8A8CAE.pf
05.09.2007  22:05            61.152 HELPSVC.EXE-2878DDA2.pf
              77 Datei(en)      3.681.920 Bytes
              0 Verzeichnis(se), 17.701.629.952 Bytes frei
 
----- Windows --------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS

09.09.2007  21:49                0 0.log
09.09.2007  21:48              159 wiadebug.log
09.09.2007  21:48        1.789.122 WindowsUpdate.log
09.09.2007  21:48                50 wiaservc.log
09.09.2007  21:48            2.048 bootstat.dat
09.09.2007  21:47            32.172 SchedLgU.Txt
09.09.2007  21:14          127.843 iis6.log
09.09.2007  21:14          182.403 ntdtcsetup.log
09.09.2007  21:14          341.981 tsoc.log
09.09.2007  21:14          289.177 comsetup.log
09.09.2007  21:14            46.884 ocmsn.log
09.09.2007  21:14            4.507 imsins.log
09.09.2007  21:14          465.023 ocgen.log
09.09.2007  21:14            43.287 msgsocm.log
09.09.2007  21:14          829.617 FaxSetup.log
09.09.2007  21:14            29.131 wmsetup.log
09.09.2007  21:13            2.939 setupapi.log
09.09.2007  21:11            6.697 setupact.log
09.09.2007  11:34            3.814 ModemLog_Lucent Win Modem.txt
06.09.2007  22:06            1.355 imsins.BAK
06.09.2007  22:06            25.413 KB933360.log
06.09.2007  20:17              271 system.ini
06.09.2007  20:17              674 win.ini
06.09.2007  17:55              487 Capictrl.INI
06.09.2007  17:40        1.042.591 setupapi.log.0.old
06.09.2007  17:25                59 WINPHONE.INI
18.08.2007  16:24            10.396 KB936021.log
18.08.2007  15:22            15.638 KB938828.log
18.08.2007  15:22            37.235 updspapi.log
18.08.2007  15:22            15.008 KB921503.log
18.08.2007  15:22            14.809 KB938829.log
18.08.2007  15:22            15.354 KB938127.log
18.08.2007  15:22            19.766 KB937143.log
17.08.2007  18:15            31.230 spupdsvc.log
16.08.2007  21:42            6.589 KB936782.log
16.08.2007  17:30          284.656 msxml4-KB936181-enu.LOG
22.07.2007  00:35            20.669 KB936357.log
17.07.2007  17:28            25.713 CSTBox.INI
14.07.2007  08:36            24.986 KB933566.log
12.07.2007  20:59            12.537 KB929123.log
12.07.2007  20:54            11.784 KB935840.log
12.07.2007  20:54            11.771 KB935839.log
13.06.2007  15:21        1.036.288 explorer.exe
01.06.2007  22:43            3.190 tm.ini
01.06.2007  22:36              124 tdf.dii
24.05.2007  15:06            10.290 KB927891.log
24.05.2007  15:06            13.197 KB931768.log
21.05.2007  18:25            10.440 KB930916.log
12.05.2007  21:55            46.996 KB923689.log
12.05.2007  20:03                69 NeroDigital.ini
12.05.2007  19:20          316.640 WMSysPr9.prx
12.05.2007  19:17            27.091 Directx.log
11.05.2007  14:04            1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
11.05.2007  13:54              436 nsw.log
15.04.2007  10:49            13.622 KB930178.log
15.04.2007  10:49            13.355 KB932168.log
14.04.2007  17:58            12.319 KB931261.log
14.04.2007  10:05            12.458 KB931784.log
14.04.2007  10:05            6.455 KB935448.log
04.04.2007  09:27            12.338 KB925902.log
            292 Datei(en)    577.989.595 Bytes
              0 Verzeichnis(se), 17.701.613.568 Bytes frei
 
----- Tasks ----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\tasks

09.09.2007  21:48                6 SA.DAT
              2 Datei(en)            71 Bytes
              0 Verzeichnis(se), 17.701.613.568 Bytes frei
 
----- Wintemp --------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\WINDOWS\temp

09.09.2007  21:49              409 WGANotify.settings
09.09.2007  21:48              255 WGAErrLog.txt
              2 Datei(en)            664 Bytes
              0 Verzeichnis(se), 17.701.613.568 Bytes frei
 
----- Temp -----------------------------
 Datentr„ger in Laufwerk C: ist VAIO
 Volumeseriennummer: 300F-7069

 Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp

09.09.2007  21:49          121.105 filelist.txt
09.09.2007  20:55            4.433 def_oin_thumb.jpg
03.07.2007  15:56          671.212 _iu14D2N.tmp
              3 Datei(en)        796.750 Bytes
              0 Verzeichnis(se), 17.701.613.568 Bytes frei

MeisterM 09.09.2007 21:00
Code:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" [file not found]
"Awei" = ""C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb" [file not found]
"Rgipdr" = "C:\WINDOWS\*racle\*canregw.exe" (unwritable string) [null data]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"LXSUPMON" = "C:\WINDOWS\system32\LXSUPMON.EXE RUN" ["Lexmark"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"routcnf" = "C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe" [file not found]
"avp" = "C:\WINDOWS\TEMP\winC42.tmp.exe" [file not found]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
                                        \StubPath  = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
                                        \StubPath  = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}\(Default) = "Canon Easy Web Print Helper"
  -> {HKLM...CLSID} = "EWPBrowseObject Class"
                  \InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll" [null data]
{7A6C8DAD-1414-1C95-6320-4C71B77097C9}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\claq.dll" [file not found]
{A6336836-2589-4349-B372-E9198F80CED0}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\awtss.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                  \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {HKLM...CLSID} = "iTunes"
                  \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                  \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
  -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> cbxuvur\DLLName = "cbxuvur.dll" [file not found]
<<!>> winbjt32\DLLName = "winbjt32.dll" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                  \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                  \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableTaskMgr" = (REG_DWORD) hex:0x00000000
{Remove Task Manager}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Michael" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"CAPIControl" -> shortcut to: "C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe" ["DeTeWe AG & Co."]
"VAIO Action Setup (Server)" -> shortcut to: "C:\Programme\Sony\VAIO Action Setup\VAServ.exe" ["Sony Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
  -> {HKLM...CLSID} = "Easy-WebPrint"
                  \InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.club-vaio.sony-europe.com

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Virtual NIC Service, PackethSvc, "C:\WINDOWS\System32\PackethSvc.exe" ["America Online, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor iP3300\Driver = "CNMLM84.DLL" ["CANON INC."]
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


---------- (launch time: 2007-09-09 21:53:17)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 147 seconds.
---------- (total run time: 230 seconds)

cosinus 09.09.2007 21:11
Oje, da ist mit Sicherheit noch mehr :(

Code:
09.09.2007  21:46            1.080 nqfqrowb.bat
09.09.2007  21:46          126.976 zip.exe
Wo die herkommen ist mir schleierhaft. Liegen direkt auf c:\
Werte die Datei c:\zip.exe schon mal bei Virustotal aus, ich acker mich mal durch das silentrunners-Log...

KarlKarl 09.09.2007 21:31
Die beiden Dateien sind Überbleibsel des Avenger-Einsatzes, somit ok, können aber gelöscht werden. Die benutzt Avenger um nach dem Neustart die Backupdatei zu erzeugen.

Die Essenz des Silentrunners:
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Awei" = ""C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb" [file not found]
"Rgipdr" = "C:\WINDOWS\*racle\*canregw.exe" (unwritable string) [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avp" = "C:\WINDOWS\TEMP\winC42.tmp.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{7A6C8DAD-1414-1C95-6320-4C71B77097C9}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\claq.dll" [file not found]
{A6336836-2589-4349-B372-E9198F80CED0}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\awtss.dll" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> cbxuvur\DLLName = "cbxuvur.dll" [file not found]
<<!>> winbjt32\DLLName = "winbjt32.dll" [file not found]
Gibt es den Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Surf Test Less noch? Da sitzt/sass der Swizzor, der wohl für den laufenden IE verantwortlich ist/war. Sollte isch im abgesicherten Modus mit allem Inhalt löschen lassen.

cosinus 09.09.2007 21:36
Willst du immer noch bereinigen? ;)

Das hier konnte ich als Schädlingseinträge aus dem Silentrunners-Log "extrahieren":

Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
"Awei" = ""C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\msdtc.exe" -vt yazb" [file not found]
"Rgipdr" = "C:\WINDOWS\*racle\*canregw.exe" (unwritable string) [null data]
"avp" = "C:\WINDOWS\TEMP\winC42.tmp.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
{7A6C8DAD-1414-1C95-6320-4C71B77097C9}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\claq.dll" [file not found]
{A6336836-2589-4349-B372-E9198F80CED0}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\awtss.dll" [file not found]
                                 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> cbxuvur\DLLName = "cbxuvur.dll" [file not found]
<<!>> winbjt32\DLLName = "winbjt32.dll" [file not found]
Ein Großteil der Schädlingsdateien, die automatisch bei jedem Windowsstart aufgerufen sind zwar weg, aber wer weiß was sich da noch rumtummelt. Außerdem müssen wir noch diese Datei finden:

C:\WINDOWS\*racle\*canregw.exe

Sowie erfahren, ob sich noch andere dubiose Ordner eingeschlichen haben. Das wären zumindest schon mal diese hier:

C:\DOKUME~1\Michael\ANWEND~1\SEMBLY~1\
C:\WINDOWS\*racle\

Mir ist allerdings schleierhaft, welche Technik da angewandt wird, um die konkreten Pfadangaben mit Platzhaltern wie * oder ? zu maskieren... :pfui:

Ich hoffe ein anderer Bekämpfer weiß das.

KarlKarl 09.09.2007 21:44
Hallo Cosinus :)

Da habe ich eine Idee. Die Dateinamen enthalten im Original Unicode-Zeichen, z.B. kyrillische Zeichen, oft welche, die lateinischen Zeichen sehr ähnlich aussehen, aber eben andere Zeichen sind. Eine große Menge Tools, u.a. Hijackthis und Silentrunners kommen damit nicht klar. Hijackthis zeigt dann ein '?' an, Silentrunners '*' (und gibt eine Meldung aus, dass er das nicht drucken kann). Auch ein Preis der Abwärtskompatibilität für Systeme, die Unicode nicht kennen. Escan hat da übrigens auch Probleme.

Wenn man das aber weiß, ist es kein Problem, bei der Suche nach Verzeichnissen und Dateien Ausschau nach welchen zu halten, die an der entsprechenden Stelle ein anders Zeichen enthalten.

Könnte sich übrigens um etwas namens "Purityscan" handeln, die benutzen diesen Trick gerne. Leider habe ich dafür keinen Remover griffbereit. Sehr lästiges Teil. Vielleicht Counterspy.

cosinus 09.09.2007 21:49
Gute Idee! :daumenhoc
Und ich hab mich schon bei anderen Threads gewundert, wie die Schädlinge es schaffen, mit Wildcards umzugehen :headbang:
Bei einem anderen Fred nur mit lauter ? und hier nur mit * ...grr :koch:


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:09 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19