| |
| |||||||
Log-Analyse und Auswertung: Wäre sehr nett, wenn ein Profi mal drüberschaut...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
02.01.2006, 18:30
| #1 |
| |  Wäre sehr nett, wenn ein Profi mal drüberschaut... Hallo, hab mir, so weit ich das beurteilen kann, leider einen trojaner eingefangen. das war oberflächlich gesehen verbunden mit einer "fake" spyguard software und einer "super" neuen toolbar. diese beiden schönen präsente habe ich jetzt wegbekommen, außerdem hab ich ewido, spybot und easycleaner drüber laufen lassen. der cwshredder hat außerdem etwas von den allseits geliebten coolwebsearch festgestellt, findet jetzt aber nichts mehr. leider bin ich aber nicht besonders fit, was spyware usw. betrifft, so dass ich mir nicht sicher bin ob das system jetzt wieder einigermaßen sauber ist. deshalb hier das logfile von Hijackthis. wäre super, wenn mir jemand weiterhelfen könnte und mir sagen könnte, was noch zu tun ist. Vielen Dank schon mal!!! woy Logfile of HijackThis v1.99.1 Scan saved at 18:16:43, on 02.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Apoint\Apntex.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Dell\Media Experience\PCMService.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Dell\QuickSet\quickset.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Digital Line Detect\DLG.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cJPCSC.exe c:\Programme\LRZ VPN Client\cvpnd.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\alg.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Programme\ewido anti-malware\ewidoguard.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Exe\hijack\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/countries/at/dea/gen/default.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/countries/at/dea/gen/default.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.euro.dell.com/countries/at/dea/gen/default.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\Media Experience\PCMService.exe" O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [dmkpf.exe] C:\WINDOWS\system32\dmkpf.exe O4 - HKLM\..\Run: [Serviceprocess] SetupExeDll.exe O4 - HKLM\..\Run: [SYSTRAV] cnftips.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [driver32] NsCplTray.exe O4 - HKCU\..\Run: [ExchangeMaster] NSYSCPLSTR.exe O4 - HKCU\..\Run: [ParisM] CToolBar.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://w*w.ipix.com/viewers/ipixx.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{14334419-E74A-4658-8EEF-6EFF4416C0B4}: NameServer = 85.255.116.165,85.255.112.167 O17 - HKLM\System\CCS\Services\Tcpip\..\{14598D97-A216-4C80-8FE2-A7E80B202B35}: NameServer = 85.255.116.165,85.255.112.167 O17 - HKLM\System\CCS\Services\Tcpip\..\{4E0C5F10-D14A-4EB1-8716-3D5FAF4EB89B}: NameServer = 85.255.116.165,85.255.112.167 O17 - HKLM\System\CCS\Services\Tcpip\..\{D97C03BF-6909-4BD9-961F-D1FC54991C5F}: NameServer = 85.255.116.165 85.255.112.167 O17 - HKLM\System\CS1\Services\Tcpip\..\{14334419-E74A-4658-8EEF-6EFF4416C0B4}: NameServer = 85.255.116.165,85.255.112.167 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\system32\cJPCSC.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe |
|
02.01.2006, 19:15
| #2 |
  | Wäre sehr nett, wenn ein Profi mal drüberschaut... Hallo,
__________________poste bitte ein Silent-Runners-Logfile und das Ergebnis eines Scans mit F-Secure Blacklight Beta (befindet sich im gleichen Ordner wie die EXE; -> fsbl*Zahlenfolge*.log). Dann sehen wir obe eine Bereinigung überhaupt noch sinnvoll ist. |
|
02.01.2006, 19:35
| #3 |
| | Wäre sehr nett, wenn ein Profi mal drüberschaut... Hallo,
__________________danke für die antwort. hier die beiden logfiles. gesetzt den fall, eine reinigung lohnt sich nicht mehr, und ich muss das system neu aufsetzten: was kann passieren wenn ich mit dem infizierten system noch ein, zwei wochen arbeite (nur simple anwendungen wie beispielsweise word, aber auch email und internet)? ist das ein problem bzw ein risiko für irgendjemand? bin nämlich grad im prüfungsstress und hab eigentlich keine zeit und lust, jetzt alles neu zu machen. viele grüße woy "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "driver32" = "NsCplTray.exe" [file not found] "ExchangeMaster" = "NSYSCPLSTR.exe" [file not found] "ParisM" = "CToolBar.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Apoint" = "C:\Programme\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."] "IntelWireless" = "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless" ["Intel Corporation"] "UpdateManager" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"] "T-DSL SpeedMgr" = ""C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"" ["T-Systems Nova, Berkom"] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "DataLayer" = "C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" ["Nokia Mobile Phones Ltd."] "PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [empty string] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] "PCMService" = ""C:\Programme\Dell\Media Experience\PCMService.exe"" ["CyberLink Corp."] "DVDLauncher" = ""C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"" ["CyberLink Corp."] "Dell QuickSet" = "C:\Programme\Dell\QuickSet\quickset.exe" [empty string] "FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data] "HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data] "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] "dmkpf.exe" = "C:\WINDOWS\system32\dmkpf.exe" [file not found] "Serviceprocess" = "SetupExeDll.exe" [file not found] "SYSTRAV" = "cnftips.exe" [file not found] "SpySweeper" = ""C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray" ["Webroot Software, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {4A368E80-174F-4872-96B5-0B27DDD11DB2}\(Default) = "SpywareGuard Download Protection" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\dlprotect.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\Components\PhoneBrowserComponents\NokiaPhoneBrowser.dll" ["Nokia"] "{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\Components\PhoneBrowserComponents\ContactView.dll" ["Nokia"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found] "{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\spywareguard.dll" [null data] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\spywareguard.dll" [null data] INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csjcc.exe" [file not found] HKLM\System\CurrentControlSet\Control\Session Manager\ INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.exe" [file not found], [MS], [file not found], [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"] INFECTION WARNING! IntelWireless\DLLName = "C:\Programme\Intel\Wireless\Bin\LgNotify.dll" ["Intel Corporation"] INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."] Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description]: ----------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "NoBandCustomize"=dword:00000001 [disables toolbar status changes in Internet Explorer|View|Toolbars] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\SCRNSAVE.SCR" [MS] Startup items in "***" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Digital Line Detect" -> shortcut to: "C:\Programme\Digital Line Detect\DLG.exe" ["BVRP Software"] "LRZ VPN Client" -> shortcut to: "C:\Programme\LRZ VPN Client\vpngui.exe "-user_logon"" ["Cisco Systems, Inc."] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "ISP-Anmeldungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\OOBEBALN.EXE /sys /i /n:1" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {85D1F590-48F4-11D9-9669-0800200C9A66}\ "MenuText" = "Uninstall BitDefender Online Scanner v8" "Exec" = "%windir%\bdoscandel.exe" [null data] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Cisco Systems, Inc. VPN Service, CVPND, ""c:\Programme\LRZ VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."] cyberJack PC/SC Service, cjPCSC, "C:\WINDOWS\system32\cJPCSC.exe" ["REINER SCT"] EvtEng, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"] ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"] RegSrvc, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"] Spectrum24 Event Monitor, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "] TSMService, TSMService, ""C:\Programme\T-DSL SpeedManager\tsmsvc.exe"" ["T-Systems Nova, Berkom"] Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] WLANKEEPER, WLANKEEPER, "C:\Programme\Intel\Wireless\Bin\WLKeeper.exe" ["Intel® Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzlnt08\Driver = "hpzlnt08.dll" ["HP"] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] Redirected Port\Driver = "redmonnt.dll" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 61 seconds, including 20 seconds for message boxes) ---- 01/02/06 19:24:14 [Info]: BlackLight Engine 1.0.30 initialized 01/02/06 19:24:14 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/02/06 19:24:14 [Note]: 7019 4 01/02/06 19:24:14 [Note]: 7005 0 01/02/06 19:24:18 [Error]: 6024 4 01/02/06 19:24:18 [Error]: 6024 4 01/02/06 19:24:18 [Error]: 6024 4 01/02/06 19:24:18 [Error]: 6024 4 01/02/06 19:24:18 [Note]: 7006 0 01/02/06 19:24:18 [Note]: 7011 1340 01/02/06 19:24:19 [Error]: 6024 4 01/02/06 19:24:19 [Error]: 6024 4 01/02/06 19:24:19 [Error]: 6024 4 01/02/06 19:24:19 [Error]: 6024 4 01/02/06 19:24:19 [Note]: 7018 2340 01/02/06 19:24:19 [Error]: 6024 4 01/02/06 19:24:19 [Note]: 7018 2752 01/02/06 19:24:19 [Error]: 6024 4 01/02/06 19:24:19 [Note]: FSRAW library version 1.7.1014 01/02/06 19:26:02 [Error]: 6024 4 01/02/06 19:26:02 [Error]: 6024 4 01/02/06 19:26:02 [Error]: 6024 4 01/02/06 19:26:02 [Error]: 6024 4 01/02/06 19:26:02 [Note]: 7006 0 01/02/06 19:26:02 [Note]: 7011 1340 01/02/06 19:26:03 [Error]: 6024 4 01/02/06 19:26:03 [Error]: 6024 4 01/02/06 19:26:03 [Error]: 6024 4 01/02/06 19:26:03 [Error]: 6024 4 01/02/06 19:26:03 [Note]: 7018 2340 01/02/06 19:26:03 [Error]: 6024 4 01/02/06 19:26:03 [Note]: 7018 2752 01/02/06 19:26:03 [Error]: 6024 4 01/02/06 19:26:03 [Note]: FSRAW library version 1.7.1014 |
|
02.01.2006, 20:59
| #4 | ||
| | Wäre sehr nett, wenn ein Profi mal drüberschaut... Leider weiß ich nicht was der Fehler "6024 4" bei Blacklight bedeutet. Ich konnte auch nichts weiter darüber finden. → Überprüfe das System mit RootkitRevealer und poste das Ergebnis. Zitat:
Zitat:
|
|
02.01.2006, 22:06
| #5 |
| | Wäre sehr nett, wenn ein Profi mal drüberschaut... Hallo, hier jetzt das rootkit scan-file. Vielen Dank für die Hilfe. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 02.01.2006 21:25 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 02.01.2006 21:25 4 bytes Data mismatch between Windows API and raw hive data. C:\Dokumente und Einstellungen\***\Cookies\***@forum[1].txt 02.01.2006 21:41 97 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***i\Cookies\***@informationsarchiv[1].txt 02.01.2006 21:43 185 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Cookies\***@www.informationsarchiv[1].txt 02.01.2006 21:43 126 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Cookies\***@www.tippscout[1].txt 02.01.2006 21:41 95 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\beitrag-1368[1].htm 02.01.2006 21:43 69.08 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CACTE5XA.php%3Ff%3D20&cc=100&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd=32&u_tz=60&u_his=2&u_java=true 02.01.2006 21:40 2.05 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CADBN97X.htm 02.01.2006 21:41 10.21 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CAS7EHAT.html&cc=713&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd=32&u_tz=60&u_java=true 02.01.2006 21:50 2.27 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CAVQU17F.php%3Ff%3D20&cc=100&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd=32&u_tz=60&u_his=2&u_java=true 02.01.2006 21:40 2.34 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\CAZ5XFAE.htm 02.01.2006 21:41 5.46 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\hilfen-5-67338-0[1].htm 02.01.2006 21:49 55.05 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\hilfen-5-67338-0[1].html 02.01.2006 21:49 11.69 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_email[1].gif 02.01.2006 21:43 820 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_icq_add[1].gif 02.01.2006 21:43 724 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_mini_profile[1].gif 02.01.2006 21:43 236 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_mini_search[1].gif 02.01.2006 21:43 237 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_quote[1].gif 02.01.2006 21:43 794 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\icon_smile[1].gif 02.01.2006 21:43 174 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\main[1].css 02.01.2006 21:43 4.70 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\online2[1].gif 02.01.2006 21:43 199 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\reply-locked[1].gif 02.01.2006 21:43 1.48 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALWB49QR\showthread[1].php 02.01.2006 21:40 19.02 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\48.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=749&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t 02.01.2006 21:41 1.54 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\a[1].js 02.01.2006 21:43 593 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\adjs[2].php 02.01.2006 21:49 55 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\banner018[1].jpg 02.01.2006 21:43 11.53 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\CACT6BSH.htm 02.01.2006 21:50 8.28 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\CAZD3FY8.htm 02.01.2006 21:49 5.35 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\cellpic1[1].gif 02.01.2006 21:43 246 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\DA.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=749&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t 02.01.2006 21:41 1.46 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\diropus8[1].jpg 02.01.2006 21:49 2.18 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\hilfen-5-67338-0[1].htm 02.01.2006 21:37 56.40 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_biggrin[1].gif 02.01.2006 21:43 172 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_mini_register[1].gif 02.01.2006 21:43 224 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_pm[1].gif 02.01.2006 21:43 833 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\icon_www[1].gif 02.01.2006 21:43 733 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\logo1[1].gif 02.01.2006 21:41 4.43 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\logo[1].gif 02.01.2006 21:43 7.08 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\newsticker[1].htm 02.01.2006 21:43 1.08 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\read[1].php 02.01.2006 21:41 7.41 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\spielecodes_knacken[1].jpg 02.01.2006 21:50 4.49 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\tipps-windows-xp-neu-installieren[1].htm 02.01.2006 21:37 39.53 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQ3AHS5\trans[1].gif 02.01.2006 21:41 42 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\3D.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=749&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t 02.01.2006 21:41 2.67 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\al[3].htm 02.01.2006 21:50 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\anzeige[1].jpg 02.01.2006 21:43 8.99 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\forumdisplay[1].htm 02.01.2006 21:40 58.38 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\forumdisplay[1].php 02.01.2006 21:49 13.74 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\forumdisplay[2].htm 02.01.2006 21:49 58.39 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\hig_1[1].js 02.01.2006 21:43 2.50 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\icon_mini_faq[1].gif 02.01.2006 21:43 219 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\icon_mini_login[1].gif 02.01.2006 21:43 233 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\icon_wink[1].gif 02.01.2006 21:43 170 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\online0[1].gif 02.01.2006 21:43 199 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\phorum[1].css 02.01.2006 21:41 1.22 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\post[1].gif 02.01.2006 21:43 1.59 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\search[1] 02.01.2006 21:38 4.56 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\search[5].htm 02.01.2006 21:38 17.52 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\search[6].htm 02.01.2006 21:43 17.38 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\spacer[2].gif 02.01.2006 21:43 43 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\style[2].css 02.01.2006 21:41 4.76 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\ticker[1].js 02.01.2006 21:43 2.31 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\tipps-windows-xp-neu-installieren[1].htm 02.01.2006 21:49 39.53 KB Hidden from Windows API. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y5OVEX\ZV.de%2Fsearch%3Fhl%3Dde%26q%3Dneuinstallation%2Bxp%2Bformatieren%26meta%3D&cc=146&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd =32&u_tz=60&u_his=4&u_java=t |
|
02.01.2006, 22:50
| #6 |
| | Wäre sehr nett, wenn ein Profi mal drüberschaut... Hi, hier noch das Ergebnis von kaspersky. Vielleicht hilft es ja weiter. Aber gut ausschauen tuts nicht...  KASPERSKY ON-LINE SCANNER REPORT Monday, January 02, 2006 22:47:31 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 2/01/2006 Kaspersky Anti-Virus database records: 158475 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Statistics: Total number of scanned objects: 42249 Number of viruses found: 2 Number of infected objects: 4 Number of suspicious objects: 0 Duration of the scan process: 1576 sec Infected Object Name - Virus Name C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP271\A0026251.exe Infected: Trojan-Downloader.Win32.Agent.zz C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP271\A0027251.exe Infected: Trojan-Downloader.Win32.Agent.zz C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP272\A0028318.exe Infected: Trojan-Downloader.Win32.Agent.zz C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP272\A0028321.exe Infected: Backdoor.Win32.Agent.rw Scan process completed. |
|
02.01.2006, 23:04
| #7 | ||
| | Wäre sehr nett, wenn ein Profi mal drüberschaut... Die Malware auf deinem System (Wareout) ist ziemlich schwer zu entfernen. Du scheinst aber eine Variante ohne Rootkit erwischt zu haben. Lade Fixwareout.exe herunter (Anwendung erfolgt auf eigene Gefahr!)-> Doppelklick auf Fixwareout.exe-> Next-> Install-> Der Haken bei "Run Fixit" muss gesetzt sein-> Finish-> Nachfrage nach einem Neustart mit "OK" beantworten-> Das System sollte neu starten Nach dem Neustart (der etwas länger als sonst dauern kann) solltest du den Anweisungen auf dem Bildschirm folgen (du musst eigentlich nur auf OK klicken )Irgendwann sollte sich HijackThis öffnen (falls nicht, öffne es bitte ganz normal und wähle "Do a system scan only" aus). Fixe dann folgendes: Zitat:
Original-Quelle. http://forums.spywareinfo.com/index....305&hl=wareout Lösche die Temp-Files von Windows und vom Internet Explorer mit ClearProg. Start-> Ausführen-> "regedit"-> [Eingabetaste]-> Navigiere zu: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\-> Rectsklick auf den Eintrag ""System" = "csjcc.exe"" -> Löschen HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\-> Rechtsklick auf "NoBandCustomize" -> Wert auf 0 setzen HKLM\System\CurrentControlSet\Control\Session Manager\ Was findest du dort? evtl. einfach mal den ganzen Unterschlüssel exportieren & posten. Aktualisiere ewido & scanne das ganze System im abgesicherten Modus. Speichere den Report. Erstelle und poste ein neues HijackThis-Log & ein neues Silent Runners-Log. Außerdem: - die ewido-Ergebnisse - ein WinPFind-Log - Dein Bericht über den Registry-Eintrag. EDIT: Zitat:
Das empfehle ich dir ebenfalls - zwingen kann ich dich nicht. |
|
04.01.2006, 22:02
| #8 |
| | Wäre sehr nett, wenn ein Profi mal drüberschaut... Hi, erstmal Danke für die Hilfe. Ich bin jetzt aber dem ultimativen Tip gefolgt, und hab das ganze komplett platt- und anschließend neu gemacht. Jetzt hab ich nur noch eine wahrscheinlich hoffnungslos naive "Amateur"-Frage, aber sie scheint es mir dennoch wert, gestellt zu werden: Ich hab meine wichtigen Daten (haupsächliche .doc usw.) alle auf CD gebrannt. Können die in irgendeiner Weise von diesem bösartigen Mistvieh, das ich mir eingefangen hatte, kompromittiert sein? Ist es also ein Risiko, die einfach wieder in die eigenen Dateien reinzupacken? Danke! |
|
05.01.2006, 00:53
| #9 | |
| | Wäre sehr nett, wenn ein Profi mal drüberschaut...Zitat:
|
|
| Themen zu Wäre sehr nett, wenn ein Profi mal drüberschaut... |
| adobe, antivir, askbar, avg, bho, cyberlink, dateien, defender, download, drivers, einstellungen, explorer, fake, hijack, internet, internet explorer, logfile, microsoft, monitor, nicht sicher, programme, security, security suite, software, spyware, super, system, trojaner, windows, windows xp |
Linear-Darstellung
