E-Scan

el_gato · 10.04.2006, 13:18

Hola!

Habe mit EScan 30 Objekte im abgesicherten Modus endteckt. Also alles so gemacht, wie in der Anleitung. Hier nun die Logfile, würde mich über eure Hilfe freuen! Wenn ihr noch Infos braucht, einfach posten, ich schau eh öfters vorbei!! THX el gato
--------------------------------------------------

Mon Apr 10 13:38:46 2006 => File E:\WINDOWS\system32\dfrgsrv.exe infected by "Trojan-Downloader.Win32.Zlob.hd" Virus! Action Taken: No Action Taken.

Mon Apr 10 13:38:46 2006 => File E:\WINDOWS\system32\mssearchnet.exe infected by "Trojan-Downloader.Win32.Zlob.il" Virus! Action Taken: No Action Taken.

Mon Apr 10 13:39:06 2006 => System found infected with windupdates.media pass Spyware/Adware ({1e5f0d38-214b-4085-ad2a-d2290e6a2d2c})! Action taken: No Action Taken.
Mon Apr 10 13:39:06 2006 => System found infected with cws.homesearch Browser Hijacker ({676575dd-4d46-911d-8037-9b10d6ee8bb5})! Action taken: No Action Taken.
Mon Apr 10 13:39:06 2006 => System found infected with crackspider.net search toolbar Spyware/Adware ({a6790aa5-c6c7-4bcf-a46d-0fdac4ea90eb})! Action taken: No Action Taken.
Mon Apr 10 13:39:06 2006 => System found infected with spyfalcon Trojan ({d1a2e7cd-f5c1-21a8-ca2c-13d0ac72d19d})! Action taken: No Action Taken.
Mon Apr 10 13:39:06 2006 => System found infected with windupdates.media pass Spyware/Adware ({735c5a0c-f79f-47a1-8ca1-2a2e482662a8})! Action taken: No Action Taken.
Mon Apr 10 13:39:59 2006 => System found infected with media pass Spyware/Adware ({15696ae2-6ea4-47f4-bea6-a3d32693efc7})! Action taken: No Action Taken.
Mon Apr 10 13:39:59 2006 => System found infected with media pass Spyware/Adware ({00ada225-ea6c-4fb3-82e8-68189201ccb9})! Action taken: No Action Taken.
Mon Apr 10 13:39:59 2006 => System found infected with windupdates.media pass Spyware/Adware ({735c5a0c-f79f-47a1-8ca1-2a2e482662a8})! Action taken: No Action Taken.
Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa !!!
Mon Apr 10 13:40:00 2006 => Object "hsa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se !!!
Mon Apr 10 13:40:00 2006 => Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw !!!
Mon Apr 10 13:40:00 2006 => Object "sw Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\azesearchco !!!
Mon Apr 10 13:40:00 2006 => Object "azesearch Browser Hijacker" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\media gateway !!!
Mon Apr 10 13:40:00 2006 => Object "media access Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Mon Apr 10 13:40:00 2006 => Object "windows adstatus Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending Folder found: E:\WINDOWS\system32\1024
Mon Apr 10 13:40:02 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\dfrgsrv.exe
Mon Apr 10 13:40:02 2006 => System found infected with spyfalcon Trojan (dfrgsrv.exe)! Action taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\dxmpp.dll
Mon Apr 10 13:40:02 2006 => System found infected with spyfalcon Trojan (dxmpp.dll)! Action taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\ide21201.vxd
Mon Apr 10 13:40:02 2006 => System found infected with windupdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\mssearchnet.exe
Mon Apr 10 13:40:02 2006 => System found infected with spywarestrike Trojan-Downloader (mssearchnet.exe)! Action taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\msvol.tlb
Mon Apr 10 13:40:02 2006 => System found infected with smitfraud variant Browser Hijacker (msvol.tlb)! Action taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\ncompat.tlb
Mon Apr 10 13:40:02 2006 => System found infected with smitfraud variant Browser Hijacker (ncompat.tlb)! Action taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\ot.ico
Mon Apr 10 13:40:02 2006 => System found infected with smitfraud variant Browser Hijacker (ot.ico)! Action taken: No Action Taken.

Mon Apr 10 13:40:02 2006 => Offending file found: E:\WINDOWS\system32\ts.ico
Mon Apr 10 13:40:02 2006 => System found infected with smitfraud variant Browser Hijacker (ts.ico)! Action taken: No Action Taken.

Mon Apr 10 13:40:03 2006 => Offending Folder found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\aida
Mon Apr 10 13:40:03 2006 => Object "purityscan Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 13:40:03 2006 => Offending file found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\barbara\alles180705\oxford\superlex\book.dll
Mon Apr 10 13:40:03 2006 => System found infected with ezula Spyware/Adware (book.dll)! Action taken: No Action Taken.

Mon Apr 10 13:40:03 2006 => Offending file found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\barbara\alles180705\superlex\book.dll
Mon Apr 10 13:40:03 2006 => System found infected with ezula Spyware/Adware (book.dll)! Action taken: No Action Taken.

Mon Apr 10 13:40:11 2006 => System found infected with media access Spyware/Adware (mediagateway.exe)! Action taken: No Action Taken.

Mon Apr 10 13:40:11 2006 => System found infected with media access Spyware/Adware (mediagateway.exe)! Action taken: No Action Taken.

Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa !!!
Mon Apr 10 13:40:00 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se !!!

el_gato · 10.04.2006, 13:18

edit weil zu lange

el_gato · 10.04.2006, 13:19

edit

weil zu lange

stupormundi · 10.04.2006, 13:22

Servus el_gato!

Zitat:

Also alles so gemacht, wie in der Anleitung.

Nur fast - das posten der relevanten Infos ist noch überarbeitungswürdig!

Keine Rede vom ganzen Logfile!

Zitat:

5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.

und

Zitat:

Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

ich würde hier auch noch nach 'offending' suchen!

Also dann mal los ...
stupormundi

el_gato · 10.04.2006, 13:46

Ok, editiert! Die Files sind drinnen. Die Frage lautet, wie kann man das einfach removen. Habe mit den vorgeschlagenen Programmen noch nie gearbeitet, hoffe auf ein paar Tipps!
THX
el gato

stupormundi · 10.04.2006, 14:05

Servus wieder!

Arbeite mal das durch und poste anschließend die zitierten Logs (escan, 'C:\smitfiles.txt' und neues HJT-Log) und die vier Logs der datfind.bat (Die Dateien der letzten 2-3 Monate genügen).

stupormundi

el_gato · 10.04.2006, 15:59

Also, habe alles ausgeführt, so wie beschrieben. Bei Escan wurden 'nur' mehr 7 Objekte festgestellt. Hier die Logfiles:

Verzeichnis von E:\WINDOWS\system32

08.04.2006 21:07 2.206 wpa.dbl
26.03.2006 18:57 39.992 perfc009.dat
26.03.2006 18:57 316.594 perfh007.dat
26.03.2006 18:57 311.604 perfh009.dat
26.03.2006 18:57 48.156 perfc007.dat
26.03.2006 18:57 723.744 PerfStringBackup.INI
09.03.2006 16:21 4.799.320 MRT.exe
21.02.2006 02:28 102.400 dxmpp.dll
21.02.2006 02:21 14.873 dfrgsrv.exe
04.01.2006 05:35 68.096 webclnt.dll
31.12.2005 00:04 3.002 CONFIG.NT
29.12.2005 04:54 280.064 gdi32.dll
24.12.2005 10:36 269.392 FNTCACHE.DAT
24.12.2005 00:21 43.520 CmdLineExt03.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 05:31 1.492.480 shdocvw.dll

Verzeichnis von E:\DOKUME~1\Harald\LOKALE~1\Temp

10.04.2006 16:50 1.442 jusched.log
10.04.2006 15:26 2.980.273 saCE2.exe
10.04.2006 14:46 3.186.829 sa7F3.exe
10.04.2006 14:19 1.664 java_install_reg.log
10.04.2006 13:35 4.529 MWAV.LOG
10.04.2006 13:35 1.413 mwXface.log
10.04.2006 13:26 477 EUpdate.ini
10.04.2006 13:26 0 success.sem
10.04.2006 13:26 91 IUpdate.ini
10.04.2006 13:26 2.211 Download.log
10.04.2006 13:26 8.716 update.txt
10.04.2006 13:26 371 riskware.avc
10.04.2006 13:26 646 remove.ini
10.04.2006 13:26 14.254 mail.avx
10.04.2006 13:26 0 ftpsites.txt
10.04.2006 13:26 21.916 base095.avc
10.04.2006 13:25 49.438 base004.avc
10.04.2006 13:25 49.286 base003.avc
10.04.2006 13:25 49.532 base002.avc
10.04.2006 13:25 50.022 base001.avc
10.04.2006 13:25 2.685 filelist.lst
10.04.2006 13:25 241.664 MYDB.DLL
10.04.2006 13:08 798.234 IMT995.xml
10.04.2006 13:08 426 IMT994.xml
10.04.2006 13:08 2.036 IMT993.xml
10.04.2006 09:45 3.186.829 sa72F.exe
09.04.2006 21:16 49.152 ~DF8F94.tmp
06.04.2006 18:04 6.389 smart.avc
06.04.2006 18:04 3.726 krn003.avc
06.04.2006 18:04 13.720 avp.klb
06.04.2006 18:04 38.647 krn002.avc
06.04.2006 18:04 39.098 daily.avc
06.04.2006 18:04 1.708 daily-ex.avc
06.04.2006 15:58 154.683 spydb.avs
06.04.2006 14:15 81.300 virus016.avc
06.04.2006 14:15 16.842 unp000.avc
06.04.2006 14:15 60.982 unp015.avc
06.04.2006 14:15 54.519 unp003.avc
06.04.2006 14:15 49.976 troj015.avc
06.04.2006 14:15 63.303 base007.avc
06.04.2006 14:15 49.887 base092.avc
06.04.2006 14:15 48.781 base091.avc
06.04.2006 12:47 380.480 mexe.com
06.04.2006 12:47 380.480 mwavscan.com
05.04.2006 17:50 344.064 esupdate.exe
05.04.2006 13:15 122.880 msvlclnt.dll
05.04.2006 13:13 42.048 Getvlist.exe
04.04.2006 23:26 119 507B8750.TMP
03.04.2006 17:32 2.634 unp033.avc
03.04.2006 17:32 50.380 unp032.avc
03.04.2006 17:32 23.403 fa.avc
03.04.2006 17:32 27.893 ext006.avc
03.04.2006 17:32 69.796 ca.avc
03.04.2006 17:32 49.964 base093.avc
03.04.2006 17:32 36.742 base094.avc
03.04.2006 17:32 1.883 avp.set
01.04.2006 18:04 50.031 base075.avc
31.03.2006 17:03 55.442 unp011.avc
31.03.2006 17:03 29.097 unp021.avc
31.03.2006 17:03 27.828 unp004.avc
31.03.2006 17:03 113.003 krnexe32.avc
31.03.2006 17:03 48.562 base005.avc
31.03.2006 17:03 48.969 base080.avc
29.03.2006 18:47 340.992 MWAVReg.EXE
28.03.2006 12:57 47.543 unp027.avc
28.03.2006 12:57 13.947 ext999.avc
28.03.2006 12:57 47.688 ext004.avc
28.03.2006 12:57 49.671 base062.avc
24.03.2006 18:48 49.705 French.Age
24.03.2006 17:02 50.742 unp001.avc
24.03.2006 17:02 99.881 troj009.avc
24.03.2006 17:02 48.536 base090.avc
23.03.2006 16:28 29.489 krnengn.avc
23.03.2006 16:28 69.617 krn001.avc
22.03.2006 17:53 69.262 unp016.avc
22.03.2006 17:53 68.940 unp010.avc
22.03.2006 17:53 49.880 base087.avc
22.03.2006 17:53 49.905 base074.avc
21.03.2006 11:42 73.516 unp002.avc
21.03.2006 11:42 95.932 krnmacro.avc
21.03.2006 11:42 50.638 base081.avc
20.03.2006 15:14 71.551 unp023.avc
20.03.2006 15:14 45.570 unp031.avc
20.03.2006 15:14 44.873 unp028.avc
20.03.2006 15:14 20.613 unp029.avc
20.03.2006 15:14 49.734 ext005.avc
20.03.2006 15:14 48.001 ext002.avc
20.03.2006 15:14 49.815 base084.avc
17.03.2006 13:24 50.167 worm001.avc
17.03.2006 13:24 36.102 unp012.avc
17.03.2006 13:24 101.219 troj001.avc
17.03.2006 13:24 50.143 base073.avc
16.03.2006 15:38 99.226 krnunp.avc
14.03.2006 10:41 27.514 gen004.avc
14.03.2006 10:41 50.080 troj013.avc
14.03.2006 10:41 49.619 base088.avc
14.03.2006 10:41 49.907 base082.avc
14.03.2006 10:41 50.158 base079.avc
14.03.2006 10:41 50.471 base078.avc
10.03.2006 12:29 109.249 troj003.avc
10.03.2006 12:29 49.934 base089.avc
09.03.2006 16:42 5.610 German.dow
07.03.2006 18:43 35.138 Chinese.Age
07.03.2006 16:23 80.080 unp019.avc
07.03.2006 16:23 49.083 ext001.avc
07.03.2006 16:23 49.436 base086.avc
07.03.2006 16:23 48.305 base006.avc
03.03.2006 15:55 5.854 French.dow
03.03.2006 15:55 11.566 French.con
02.03.2006 16:46 98.816 MWAVL.exe
02.03.2006 16:21 48.230 unp026.avc
02.03.2006 16:21 43.794 gen999.avc
02.03.2006 16:21 47.905 ext003.avc
02.03.2006 16:21 49.485 base085.avc
02.03.2006 16:21 50.049 base070.avc
02.03.2006 16:21 49.935 base069.avc
02.03.2006 16:21 49.880 base068.avc
02.03.2006 16:21 49.636 base067.avc
02.03.2006 16:21 50.059 base066.avc
02.03.2006 16:21 50.085 base065.avc
02.03.2006 16:21 49.932 base064.avc
02.03.2006 16:21 49.832 base063.avc
02.03.2006 16:21 34.695 base061.avc
24.02.2006 15:44 44.684 unp018.avc
24.02.2006 15:44 38.898 unp020.avc
24.02.2006 15:44 49.291 base076.avc
24.02.2006 12:20 47.563 Portuguese.Age
21.02.2006 14:09 75.918 virus015.avc
20.02.2006 12:56 52.133 unp009.avc
20.02.2006 12:56 49.781 base083.avc
16.02.2006 19:10 4.059 Chinese.dow
16.02.2006 19:07 7.695 Chinese.con
16.02.2006 16:31 33.069 unp017.avc
13.02.2006 18:29 45.122 Finnish.Age
13.02.2006 18:29 48.199 Polish.Age
13.02.2006 18:29 48.447 Spanish.Age
13.02.2006 18:29 48.186 Spanishl.Age
13.02.2006 18:29 44.063 Romanian.Age
13.02.2006 18:29 55.671 Italian.Age
13.02.2006 18:29 58.170 German.Age
13.02.2006 18:24 36.548 virus020.avc
13.02.2006 18:03 42.421 English.Age
13.02.2006 18:03 42.421 language.ini
12.02.2006 20:09 13.929 kernel.avc
12.02.2006 20:09 47.120 gen002.avc
08.02.2006 19:09 78.450 virus011.avc
08.02.2006 19:09 74.132 virus007.avc
03.02.2006 17:26 49.490 base077.avc
01.02.2006 23:23 4.438 Chinese.lic
27.01.2006 15:14 101.713 troj005.avc
27.01.2006 15:14 50.834 troj014.avc
27.01.2006 15:14 32.771 krnexe.avc
24.01.2006 13:58 61.965 unp014.avc
22.01.2006 17:48 50.019 base071.avc
19.01.2006 18:16 51.739 worm003.avc
19.01.2006 18:16 50.070 base072.avc
18.01.2006 18:03 57.806 unp013.avc
18.01.2006 11:43 6.025 Polish.dow
17.01.2006 12:32 5.392 Finnish.dow
17.01.2006 12:32 5.852 Spanish.dow
17.01.2006 12:32 5.839 Spanishl.dow
17.01.2006 12:32 5.457 Romanian.dow
17.01.2006 12:32 5.796 Portuguese.dow
17.01.2006 12:32 5.479 Italian.dow
17.01.2006 11:16 491.520 Download.exe
17.01.2006 11:07 5.194 English.dow
17.01.2006 11:07 5.194 Download.lan
16.01.2006 17:55 55.162 unp030.avc
16.01.2006 17:55 48.234 unp025.avc
13.01.2006 16:33 13.830 German.con
05.01.2006 15:12 236.544 mwavl.old
03.01.2006 01:38 2.711 mwav.ini
02.01.2006 14:48 10.559 Finnish.con
02.01.2006 14:48 11.729 Polish.con
02.01.2006 14:48 10.866 Spanish.con
02.01.2006 14:48 10.884 Spanishl.con
02.01.2006 14:48 10.528 Romanian.con
02.01.2006 14:48 11.380 Portuguese.con
02.01.2006 14:48 10.015 Italian.con
01.01.2006 18:51 10.181 config.lan
01.01.2006 18:51 10.181 English.con
01.01.2006 17:40 77.379 virus012.avc
01.01.2006 17:40 61.884 unp005.avc
01.01.2006 17:40 50.197 troj020.avc
01.01.2006 17:40 56.594 troj022.avc
01.01.2006 17:40 14.254 mail.avc

Verzeichnis von E:\WINDOWS

10.04.2006 16:50 0 0.log
10.04.2006 16:50 50 wiaservc.log
10.04.2006 16:50 159 wiadebug.log
10.04.2006 16:50 2.048 bootstat.dat
10.04.2006 16:49 1.771.181 WindowsUpdate.log
10.04.2006 16:35 306 MWAV.LOG
10.04.2006 16:34 26 Lic.xxx
10.04.2006 16:00 182.200 setupact.log
10.04.2006 16:00 0 setuperr.log
10.04.2006 15:33 522.062 ntbtlog.txt
10.04.2006 15:32 32.152 SchedLgU.Txt
10.04.2006 15:01 116 NeroDigital.ini
10.04.2006 15:01 714 m3jpeg.ini
10.04.2006 13:39 3.823.988 REGBK00.ZIP
09.04.2006 21:21 1.891 imsins.log
09.04.2006 21:21 23.993 ocmsn.log
09.04.2006 21:21 21.064 tabletoc.log
09.04.2006 21:21 202.889 tsoc.log
09.04.2006 21:21 92.319 ntdtcsetup.log
09.04.2006 21:21 149.459 comsetup.log
09.04.2006 21:21 567.173 iis6.log
09.04.2006 21:21 25.957 medctroc.Log
09.04.2006 21:21 73.679 netfxocm.log
09.04.2006 21:21 235.707 ocgen.log
09.04.2006 21:21 21.115 msgsocm.log
09.04.2006 21:21 409.998 FaxSetup.log
09.04.2006 21:21 149.012 msmqinst.log
09.04.2006 13:11 502 ODBC.INI
09.04.2006 12:39 90.112 DUMP2da7.tmp
09.04.2006 11:58 29.855 spupdsvc.log
08.04.2006 23:13 227 system.ini
08.04.2006 23:13 732 win.ini
08.04.2006 23:12 1.355 imsins.BAK
08.04.2006 23:12 12.196 KB911927.log
08.04.2006 23:12 21.460 updspapi.log
08.04.2006 23:12 8.971 KB911564.log
08.04.2006 23:12 85.776 wmsetup.log
08.04.2006 23:11 185.036 setupapi.log
08.04.2006 23:11 9.247 KB911565.log
08.04.2006 23:11 11.459 KB908519.log
08.04.2006 23:10 7.493 KB913446.log
19.03.2006 10:12 1.880 AUTOLNCH.REG
12.03.2006 23:08 90.112 DUMP4390.tmp
22.02.2006 08:38 1.125 winamp.ini
09.01.2006 20:07 510 SUPERLEX.INI
07.01.2006 10:27 10.931 KB912919.log

Verzeichnis von E:\

10.04.2006 16:57 0 sys.txt
10.04.2006 16:57 10.716 system.txt
10.04.2006 16:56 14.083 systemtemp.txt
10.04.2006 16:56 112.719 system32.txt
10.04.2006 16:50 1.610.612.736 pagefile.sys
10.04.2006 15:36 3.352 smitfiles.txt
10.04.2006 14:40 6.431 eScan_neu.txt
02.04.2006 11:09 443 stub.log

Von ESCAN

Mon Apr 10 16:36:01 2006 => System found infected with spyfalcon Trojan ({d1a2e7cd-f5c1-21a8-ca2c-13d0ac72d19d})! Action taken: No Action Taken.
Mon Apr 10 16:36:02 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Mon Apr 10 16:36:02 2006 => Object "windows adstatus Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\WINDOWS\system32\dfrgsrv.exe
Mon Apr 10 16:36:03 2006 => System found infected with spyfalcon Trojan (dfrgsrv.exe)! Action taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\WINDOWS\system32\dxmpp.dll
Mon Apr 10 16:36:03 2006 => System found infected with spyfalcon Trojan (dxmpp.dll)! Action taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending Folder found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\aida
Mon Apr 10 16:36:03 2006 => Object "purityscan Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\barbara\alles180705\oxford\superlex\book.dll
Mon Apr 10 16:36:03 2006 => System found infected with ezula Spyware/Adware (book.dll)! Action taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\barbara\alles180705\superlex\book.dll
Mon Apr 10 16:36:03 2006 => System found infected with ezula Spyware/Adware (book.dll)! Action taken: No Action Taken.

el_gato · 10.04.2006, 16:00

Smitfile:

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

Running from
E:\Dokumente und Einstellungen\my_name\Desktop\smitrem\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb

~~~ Icons in System32 ~~~

ts.ico
ot.ico

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 772 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

el_gato · 10.04.2006, 16:01

Und hier noch die Logfile von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:01:17, on 10.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\sstray.exe
E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
E:\Programme\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\System32\tcpsvcs.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Alwil Software\Avast4\ashMaiSv.exe
E:\Programme\Alwil Software\Avast4\ashWebSv.exe
E:\Programme\Internet Explorer\iexplore.exe
G:\Programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w**w.orf.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] E:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://w*w.HP.at
O15 - Trusted Zone: w*w.HP.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{211D7024-B961-4A0A-821F-AABFE1274774}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{2730313A-5F4C-4477-8E42-60828B9FCAFE}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AA7C5DC-C9CC-4D47-9E33-34666EF850D6}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{211D7024-B961-4A0A-821F-AABFE1274774}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

stupormundi · 11.04.2006, 05:54

Servus!

Hol Dir noch die killbox und lösche mit der Option 'kill on reboot' (du wirst nach der Auswahl jeder Datei nach 'reboot now' gefragt -> Nicht sofort rebooten sondern erst nach der letzten Datei bestätigen) folgende Dateien

Zitat:

E:\WINDOWS\system32\dxmpp.dll
E:\WINDOWS\system32\dfrgsrv.exe
E:\DOKUME~1\Harald\LOKALE~1\Temp\saCE2.exe
E:\DOKUME~1\Harald\LOKALE~1\Temp\sa7F3.exe
E:\DOKUME~1\Harald\LOKALE~1\Temp\sa72F.exe

Anschließend noch mit clearprog 1.4.1 final und der Option 'clear all/alle löschen' noch den Müll vor die Tür bringen.

Anschließend mal Ergebnisbericht: Wie geht es dem Compi?

stupormundi

el_gato · 11.04.2006, 09:32

Hey, vielen Dank mal an dieser Stelle! Ich werde heute nicht mehr dazu kommen, aber sobald ich das machen kann, führe ich es aus und poste das Ergebnis!

Danke nochmals, schulde dir ein Bier

mfg
Gato

el_gato · 14.04.2006, 10:44

Hola!

Also habe alles gemacht, mit Escan dann nochmals im abgesicherten Modus gescannt und noch 5 Sachen gefunden:

Mon Apr 10 16:36:01 2006 => System found infected with spyfalcon Trojan ({d1a2e7cd-f5c1-21a8-ca2c-13d0ac72d19d})! Action taken: No Action Taken.
Mon Apr 10 16:36:02 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Mon Apr 10 16:36:02 2006 => Object "windows adstatus Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\WINDOWS\system32\dfrgsrv.exe
Mon Apr 10 16:36:03 2006 => System found infected with spyfalcon Trojan (dfrgsrv.exe)! Action taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\WINDOWS\system32\dxmpp.dll
Mon Apr 10 16:36:03 2006 => System found infected with spyfalcon Trojan (dxmpp.dll)! Action taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending Folder found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\aida
Mon Apr 10 16:36:03 2006 => Object "purityscan Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\barbara\alles180705\oxford\superlex\book.dll
Mon Apr 10 16:36:03 2006 => System found infected with ezula Spyware/Adware (book.dll)! Action taken: No Action Taken.

Mon Apr 10 16:36:03 2006 => Offending file found: E:\Dokumente und Einstellungen\Harald\Eigene Dateien\barbara\alles180705\superlex\book.dll
Mon Apr 10 16:36:03 2006 => System found infected with ezula Spyware/Adware (book.dll)! Action taken: No Action Taken.

Dieser Spyfalcon-Trojaner ist zäh *g*
mfg
Gato

el_gato · 15.04.2006, 09:16

Soll ich nochmals die Dateien killen mit dem Tool?

E-Scan

Plagegeister aller Art und deren Bekämpfung: E-Scan

E-Scan

Teil2

Teil 3

E-Scan

E-Scan

E-Scan

E-Scan

E-Scan

E-Scan

E-Scan

E-Scan

E-Scan

E-Scan

Ähnliche Themen: E-Scan

10.04.2006, 13:18	#2
el_gato	Teil2 edit weil zu lange __________________ Geändert von el_gato (10.04.2006 um 13:41 Uhr)

10.04.2006, 13:19	#3
el_gato	Teil 3 edit weil zu lange __________________ Geändert von el_gato (10.04.2006 um 13:41 Uhr)

10.04.2006, 13:46	#5
el_gato	E-Scan Ok, editiert! Die Files sind drinnen. Die Frage lautet, wie kann man das einfach removen. Habe mit den vorgeschlagenen Programmen noch nie gearbeitet, hoffe auf ein paar Tipps! THX el gato

10.04.2006, 14:05	#6
stupormundi	E-Scan Servus wieder! Arbeite mal das durch und poste anschließend die zitierten Logs (escan, 'C:\smitfiles.txt' und neues HJT-Log) und die vier Logs der datfind.bat (Die Dateien der letzten 2-3 Monate genügen). stupormundi __________________ --> E-Scan

11.04.2006, 09:32	#11
el_gato	E-Scan Hey, vielen Dank mal an dieser Stelle! Ich werde heute nicht mehr dazu kommen, aber sobald ich das machen kann, führe ich es aus und poste das Ergebnis! Danke nochmals, schulde dir ein Bier mfg Gato

15.04.2006, 09:16	#13
el_gato	E-Scan Soll ich nochmals die Dateien killen mit dem Tool?