mOIn Sunny

Zitat:

Zitat von Sophos

W32/Rbot-AFL kopiert sich als p2pnetworking.exe in den Windows-System32-Ordner und erstellt Einträge in der Registrierung an folgenden Stellen, damit er beim Systemstart aktiviert wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
p2pnetworking
p2pnetworking.exe

ich denk myrtille hat W32/Rbot-AFL oder W32/Rbot-ECQ gemeint.

MFG

Zitat:

Zitat von [Gc]Sunny

@Surrel,

Arbeite bitte das hier ab:

1.) Kurzanleitung datfind.bat:

* Lade dir die datfind.zip
* Entpacke das Archiv auf den Desktop
* 1. Doppel-klick DATFINDBAT
*2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 3. auf das Command Fenster klicken und beliebige Taste drücken
* 4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 6. Wiederhole Schritt 3 und speichere als temp.txt
* 7. Wiederhole Schritt 3 und speichere als down.txt
* 8. Wiederhole Schritt 3 und speichere als c.txt
* 9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)


2.) Und poste nochmals ein neues Hijacklog.

Gruß
Sunny

Hi Sunny

Was macht denn dieses Programm nun? Dachte eigentlich ich wär fertig.
Das Problem mit den Updates hat sich erledigt, dass konnte ich reparieren. Vermutest du noch weitere Viren, Trojaner oder was auch immer auf meinem PC? An dem Hijacklog soll es nicht liegen, wenn ich wieder an dem PC bin kann ich das machen, aber den Sinn des anderen Programm kapier ich nicht.

Schönen Gruß

Zitat:

Zitat von Surrel

Dachte eigentlich ich wär fertig.

Bist du aber nicht..

Zitat:

Das Problem mit den Updates hat sich erledigt, dass konnte ich reparieren. Vermutest du noch weitere Viren, Trojaner oder was auch immer auf meinem PC?

Ja!

Zitat:

An dem Hijacklog soll es nicht liegen, wenn ich wieder an dem PC bin kann ich das machen, aber den Sinn des anderen Programm kapier ich nicht.

Nicht lange überlegen, sondern machen! Oder lassen...

So Sunny, hier wie gewünscht das Ergebnis dieser Datfind-Datei (Von der ich immer noch gerne wüsste was sie macht. )

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\system32

09.01.2007 10:13 26.682 nvapps.xml
10.12.2006 13:26 8.891 jupdate-1.5.0_09-b03.log
08.12.2006 02:02 2.174.976 wmvcore.dll
08.12.2006 00:13 10.716.584 MRT.exe
02.12.2006 17:13 179.448 FNTCACHE.DAT
25.11.2006 14:46 100.352 dfrg.msc
06.11.2006 12:47 596.480 INETCOMM.DLL
04.11.2006 14:17 1.245.696 msxml4.dll
25.10.2006 10:41 44.544 msxml4a.dll
25.10.2006 10:41 331.776 winhttp.dll
24.10.2006 10:24 988.160 DANIM.DLL
23.10.2006 10:07 1.340.416 SHDOCVW.DLL
23.10.2006 10:07 498.176 MSTIME.DLL
23.10.2006 10:07 403.456 SHLWAPI.DLL
23.10.2006 10:07 132.096 MSRATING.DLL
23.10.2006 10:07 463.360 URLMON.DLL
23.10.2006 10:07 2.704.896 MSHTML.DLL
23.10.2006 10:07 582.144 WININET.DLL
23.10.2006 10:07 70.144 INSENG.DLL
23.10.2006 10:07 236.032 IEPEERS.DLL
23.10.2006 10:07 144.384 CDFVIEW.DLL
23.10.2006 10:07 1.017.856 BROWSEUI.DLL
23.10.2006 09:25 12.288 JSPROXY.DLL
23.10.2006 09:24 34.816 PNGFILT.DLL
23.10.2006 09:24 351.744 DXTMSFT.DLL
23.10.2006 09:24 192.512 DXTRANS.DLL
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\DOKUME~1\HK~1\LOKALE~1\systemtemp.exe

09.01.2007 10:18 306.010 jusched.log
09.01.2007 10:13 49.868 LVCOMSX.LOG
08.01.2007 18:06 1.156 jinstall.cfg
08.01.2007 18:06 251.656 AutoDL%3FBundleId=10878_b197838c.exe
08.01.2007 10:44 16.384 ~DFFA89.tmp
08.01.2007 10:44 16.384 ~DFF567.tmp
07.01.2007 14:32 416 java_install_reg.log
06.01.2007 12:10 10.134 datA.tmp
05.01.2007 15:29 180.736 Einladung zur Vorstandssitzung1.doc
9 Datei(en) 832.744 Bytes
0 Verzeichnis(se), 5.722.800.128 Bytes frei


Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\windows.txt

09.01.2007 10:13 1.171.625 WindowsUpdate.log
08.01.2007 22:54 32.576 SchedLgU.Txt
08.01.2007 13:37 1.281.642 ShellIconCache
02.01.2007 16:26 14.612 KB923689.log
02.01.2007 15:23 340.710 wmsetup.log
27.12.2006 16:59 54.156 QTFont.qfn
24.12.2006 10:34 362.644 Directx.log
24.12.2006 10:31 170.368 setupapi.log
23.12.2006 16:22 941 eReg.dat
14.12.2006 22:50 352.650 comsetup.log
14.12.2006 22:50 1.008.971 iis5.log
14.12.2006 22:50 1.448 imsins.log
14.12.2006 22:50 8.705 KB925398.log
14.12.2006 22:50 371.519 ocgen.log
14.12.2006 22:50 27.012 ockodak.log
14.12.2006 22:50 1.448 imsins.BAK
14.12.2006 22:50 9.170 KB925454-IE6SP1-20061116.120000.log
14.12.2006 22:50 99.435 updspapi.log
14.12.2006 22:50 3.962 KB923694-OE6SP1-20061106.120000.log
14.12.2006 22:50 0 setuperr.log
07.12.2006 22:24 1.409 QTFont.for
19.11.2006 15:36 18.780 KB923980.log
19.11.2006 15:36 18.294 KB924270.log
19.11.2006 15:35 9.131 KB922760-IE6SP1-20061018.120000.log
19.11.2006 15:35 13.843 KB920213.log
06.11.2006 22:55 34 cdplayer.ini
27.10.2006 16:22 13.360 KB923414.log
27.10.2006 16:22 13.881 KB923191.log
27.10.2006 16:22 19.909 KB924191.log
08.10.2006 11:36 579 win.ini
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\Temp

19.08.2005 18:37 573 CamServr.log
19.08.2005 18:36 45.295 CamWizrd.log
19.08.2005 18:34 436 InstVid.log
19.08.2005 18:34 357 Instmed.log
26.07.2005 18:37 24.393 ENGSETUP.LOG
26.07.2005 18:26 758 hpzcoi12.log
26.07.2005 18:26 1.008 hpzcoi11.log
26.07.2005 18:26 598 hpzcon01.log
26.07.2005 18:26 409 hpzghoul01.log
26.07.2005 18:26 596 hpzcoi10.log
26.07.2005 18:26 596 hpzcoi09.log
26.07.2005 18:26 596 hpzcoi08.log
26.07.2005 18:26 596 hpzcoi06.log
26.07.2005 18:26 596 hpzcoi07.log
26.07.2005 18:26 596 hpzcoi05.log
26.07.2005 18:26 596 hpzcoi04.log
26.07.2005 18:26 758 hpzcoi03.log
26.07.2005 18:26 815 hpzcoi02.log
26.07.2005 18:26 596 hpzcoi01.log
26.07.2005 18:26 596 hpzcoi00.log
26.07.2005 18:18 375 hpfpdi00.log
26.07.2005 18:18 2.765 hpzglue00.log
26.07.2005 18:18 611 hpzcon00.log
26.07.2005 18:18 409 hpzghoul00.log
26.07.2005 18:18 343 hpzpin00.log
09.06.2005 11:06 587.072 msxml_cabinstall.exe
26 Datei(en) 672.339 Bytes
0 Verzeichnis(se), 5.722.419.200 Bytes frei

--> neueres gab es nicht

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\Down

20.02.2006 17:22 65 desktop.ini
30.06.2003 22:41 1.689 WMV9VCM.inf
01.05.2000 19:06 1.988 wmvax.inf
3 Datei(en) 3.742 Bytes
0 Verzeichnis(se), 5.722.415.104 Bytes frei

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\c.txt

09.01.2007 10:23 0 sys.txt
09.01.2007 10:23 392 down.txt
09.01.2007 10:23 1.607 temp.txt
09.01.2007 10:20 11.707 system.txt
09.01.2007 10:19 763 systemtemp.txt
09.01.2007 10:16 96.431 system32.txt
09.01.2007 10:12 402.653.184 pagefile.sys
18.05.2006 13:37 691 hpothb07.dat
18.05.2006 13:37 1.275 hpothb07.tif
23.10.2005 10:24 1.102 INSTALL.LOG
19.08.2005 18:32 183 LogiSetup.log

und jetzt noch ein neues Log von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:35:46, on 09.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file)
O2 - BHO: (no name) - {B5F3970B-745E-46AC-B890-E08F69777D80} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - h**p://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hoffe ich hab jetzt nichts vergessen. Gibts denn noch irgendwelche Auffälligkeiten?

Schönen Gruß