ist alles in ordnung oder habt ihr keine lust zu antworten? ^^

Zitat:

Zitat von spikez1

ist alles in ordnung oder habt ihr keine lust zu antworten? ^^

Mit Lust hat das nichts zu tun, manchmal übersieht man auch mal einen Beitrag!


Das Hijacklog sieht meiner Ansicht nach clean aus, was aber gerade bei einem BackdoorTrojaner nie zu 100% in Ordnung geht.

Daher:



Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Sunny

Achso!
Klar so etwas passiert.
Ich werd beide Dinge erledigen & hier posten..

Let´s go:

1)e-scan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Tue Apr 24 16:34:26 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 14:40:22 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 24 14:40:23 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 24 14:40:20 2007 => System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 14:40:20 2007 => System found infected with spyfalcon Trojan ({d1a2e7cd-f5c1-21a8-ca2c-13d0ac72d19d})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Tue Apr 24 14:42:32 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pingmeetsoftwaresect\BoreWindow.exe markiert als "not-a-virus:AdWare.Win32.Lop.bb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 24 16:08:26 2007 => Datei F:\Programme\Chat\IRC\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Tue Apr 24 16:10:28 2007 => Datei F:\Programme\Netzwerk\VNC\vnc-E4_1_9-x86_win32.exe//data0003 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Tue Apr 24 16:33:32 2007 => Datei F:\Büro\Schule ITA\Fächer\BSNW\13\Referate\2.Halbjahr.rar/it13.3-referate\Rene Rösner\vnc-4_1_1-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4110. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Apr 24 14:40:22 2007 => Offending Key found: HKLM\Software\magnet !!!
Tue Apr 24 14:40:23 2007 => Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 15:02:20 2007 => C:\WINDOWS\Resources\Themes\Eclipse\shell\normalcolor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Apr 24 15:26:00 2007 => E:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-E\OnoteLR.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Apr 24 15:49:16 2007 => E:\Programme\Microsoft Office\Office12\1031\OneNoteMobile.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\WINDOWS\system32\drivers\etc\hosts:
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 16:34:26 2007 => Gescannte Dateien: 182851
Tue Apr 24 16:34:26 2007 => Gefundene Viren: 8
Tue Apr 24 16:34:26 2007 => Anzahl der desinfizierten Dateien: 0
Tue Apr 24 16:34:26 2007 => Umbenannte Dateien: 0
Tue Apr 24 16:34:26 2007 => Anzahl der gelöschten Dateien: 0
Tue Apr 24 16:34:26 2007 => Anzahl Fehler: 207
Tue Apr 24 16:34:26 2007 => Dauer des Scans bisher: 01:54:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 14:40:05 2007 => Specherüberprüfung: Aktiviert
Tue Apr 24 14:40:05 2007 => Registry Überprüfung: Aktiviert
Tue Apr 24 14:40:05 2007 => System-Ordner Überprüfung: Aktiviert
Tue Apr 24 14:40:05 2007 => Überprüfung der Systembereiche: Deaktiviert
Tue Apr 24 14:40:05 2007 => Überprüfung der Dienste: Aktiviert
Tue Apr 24 14:40:05 2007 => Überprüfung der Festplatten: Deaktiviert
Tue Apr 24 14:40:05 2007 => Überprüfung aller Festplatten :Aktiviert



2)blacklight rootkit eliminator

Status: "No hidden Items found"

Beitrag wird wohl wieder übersehen worden sein......

Zitat:

Zitat von spikez1

Beitrag wird wohl wieder übersehen worden sein......

Warum eigentlich immer bei dir?

Egal, das System sieht eigentlich recht gut aus, bis auf das hier:

Lösche diesen Ordner -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pingmeetsoftwaresect\

Das sind Reste vom Swizzor.A welche aber nicht aktiv sind bzw. waren.

Ansonsten kann ich dir nur nochmal einen Scan hiermit empfehlen
-> Ad-Aware:

Ad-Aware 1.06 herunterladen und damit das System bereinigen!

Danach würde ich dich als geheilt entlassen..

Gruß
Sunny