Hallo,
ich habe vor kurzem mein System von eScan untersuchen lassen.
Ich war sehr erschroken als ich das Ergebnis in diesem Protokoll gesehen habe. 28 Vieren, darunter auch Spyware/Adware, Jokeprogramme, vllt. auch Trojaner...
Ausserdem: Beim Start von Windows öffnet sich mein FireFox, geht auf die Seite: t*pd*wnloads, andere Kennzeichen gibt es nicht.
Kann mir jemand helfen??

MfG daalex

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Jul 23 14:44:17 2007 => Version 9.2.6
Mon Jul 23 14:43:50 2007 => Virus-Datenbank Datum: 5/28/2007
Mon Jul 23 14:49:19 2007 => Virus-Datenbank Datum: 5/28/2007
Mon Jul 23 14:51:50 2007 => Virus-Datenbank Datum: 5/28/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 14:45:34 2007 => System found infected with ezula Spyware/Adware (aud.dll)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:35 2007 => System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:39 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with ezula Spyware/Adware (aud.dll)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:10 2007 => System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:13 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Jul 23 14:44:49 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:44:58 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:44:59 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:47:12 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:53:34 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:53:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:53:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:55:05 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:57:53 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:57:53 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 15:06:50 2007 => File C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\nds\nds2\plugin\aud.dll
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\bios\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\cheats\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\config\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\dump\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\patch\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\plugins\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\ram\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\roms\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\save\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\shots\delete.me
Mon Jul 23 14:45:35 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\fail\cstrike\media\logo.avi
Mon Jul 23 14:45:39 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\mixmaterial_2\instrumentals\internet.lnk
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\nds\nds2\plugin\aud.dll
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\bios\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\cheats\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\config\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\dump\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\patch\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\plugins\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\ram\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\roms\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\save\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\shots\delete.me
Mon Jul 23 14:54:10 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\fail\cstrike\media\logo.avi
Mon Jul 23 14:54:13 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\mixmaterial_2\instrumentals\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jul 23 14:45:25 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\icq\bart\1024
Mon Jul 23 14:45:31 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\sopcast\adv
Mon Jul 23 14:54:02 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\icq\bart\1024
Mon Jul 23 14:54:06 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Jul 23 14:45:22 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Jul 23 14:45:22 2007 => Offending Key found: HKCU\Software\adtools !!!
Mon Jul 23 14:45:22 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Mon Jul 23 14:45:23 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:45:23 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:45:53 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e3326a0-3629-11dc-bc62-00038a000015} !!!
Mon Jul 23 14:53:58 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Jul 23 14:53:58 2007 => Offending Key found: HKCU\Software\adtools !!!
Mon Jul 23 14:53:59 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Mon Jul 23 14:53:59 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:53:59 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:54:23 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e3326a0-3629-11dc-bc62-00038a000015} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 14:49:19 2007 => Gefundene Viren: 25
Mon Jul 23 14:49:19 2007 => Anzahl Fehler: 161
Mon Jul 23 14:49:19 2007 => Dauer des Scans bisher: 00:05:02
Mon Jul 23 14:49:19 2007 => Gescannte Dateien: 30673
Mon Jul 23 14:44:17 2007 => Specherüberprüfung: Aktiviert
Mon Jul 23 14:53:24 2007 => Specherüberprüfung: Aktiviert
Mon Jul 23 14:44:17 2007 => Registry Überprüfung: Aktiviert
Mon Jul 23 14:53:24 2007 => Registry Überprüfung: Aktiviert
Mon Jul 23 14:44:17 2007 => System-Ordner Überprüfung: Aktiviert
Mon Jul 23 14:53:24 2007 => System-Ordner Überprüfung: Aktiviert
Mon Jul 23 14:44:17 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Jul 23 14:44:17 2007 => Überprüfung der Dienste: Aktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung der Dienste: Aktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung der Festplatten: Aktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung aller Festplatten eaktiviert

Hallo und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen noch besseren Überblick und mehr Informationen zu deinem System bekommen:




Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


Gruß
Sunny

Hier die Log von ComboFix:
________________________
"Alex" - 2007-07-23 17:04:05 - ComboFix 07-07-23.6 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 )))))))))))))))))))))))))))))))


2007-07-23 16:18 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-23 15:49 <DIR> d-------- C:\bases_x
2007-07-23 15:48 <DIR> d-------- C:\Find
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-22 21:00 231,424 --a------ C:\WINDOWS\R.COM
2007-07-22 21:00 187,392 --a------ C:\WINDOWS\system32\T.COM
2007-07-22 18:25 <DIR> d-------- C:\Programme\Lavasoft
2007-07-22 18:25 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-07-22 13:47 <DIR> d-------- C:\!KillBox
2007-07-20 22:07 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-07-20 20:27 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\DeepBurner
2007-07-20 18:01 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\gtk-2.0
2007-07-19 20:56 <DIR> d-------- C:\WINDOWS\system32\VirtualExpander
2007-07-19 15:22 36 --a------ C:\WINDOWS\TSNPL.dat
2007-07-19 15:22 26,624 --a------ C:\WINDOWS\system32\ssmenu.dll
2007-07-19 15:22 1,580 --a------ C:\WINDOWS\system32\tsdigsgn.dat
2007-07-19 15:22 <DIR> d---s---- C:\Programme\Gemeinsame Dateien\Teknum Systems
2007-07-18 18:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared
2007-07-18 18:59 <DIR> d-------- C:\Programme\Agnitum
2007-07-18 16:00 241,904 --a------ C:\WINDOWS\UNBOC.EXE
2007-07-18 16:00 208,896 --a------ C:\WINDOWS\CMDLIC.DLL
2007-07-18 16:00 <DIR> d-------- C:\Programme\Comodo
2007-07-14 15:37 <DIR> d--h----- C:\WINDOWS\PIF
2007-07-13 13:16 <DIR> d-------- C:\Programme\VisualTaskTips
2007-07-13 13:15 <DIR> d-------- C:\Programme\TaskSwitchXP
2007-07-13 12:51 5,415 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-07-12 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock
2007-07-12 16:14 61,537 --a------ C:\WINDOWS\BricoPackUninst.cmd
2007-07-12 16:11 <DIR> d-------- C:\WINDOWS\BricoPacks
2007-07-09 20:10 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2007-07-09 20:10 <DIR> d-------- C:\Programme\Wallpaper Juggler
2007-07-08 18:59 810 --a------ C:\WINDOWS\system32\unins000.dat
2007-07-08 18:32 1,305,282 --a------ C:\WINDOWS\Living Waterfalls.scr
2007-07-08 16:07 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\pokerth
2007-07-06 15:23 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\TeamViewer
2007-07-06 15:02 <DIR> d-------- C:\Programme\TeamViewer
2007-07-06 14:45 <DIR> d-------- C:\Programme\DynGate
2007-07-06 14:45 <DIR> d-------- C:\DOKUME~1\Alex\temp


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-22 16:25:17 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-22 14:51:57 9,926 ----a-w C:\DOKUME~1\Alex\ANWEND~1\wklnhst.dat
2007-07-18 16:50:50 -------- d-----w C:\Programme\VideoLAN
2007-07-18 16:49:24 -------- d-----w C:\Programme\Yahoo!
2007-07-18 14:20:19 8,474 -c--a-w C:\WINDOWS\mozver.dat
2007-07-15 17:12:50 97,752 ----a-w C:\DOKUME~1\Alex\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-07-15 10:32:53 -------- d-----w C:\DOKUME~1\Alex\ANWEND~1\Skype
2007-07-13 11:53:19 -------- d-----w C:\Programme\Movie Maker
2007-07-12 14:14:38 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2007-07-10 16:30:40 -------- d-----w C:\Programme\ICQ6
2007-07-09 16:00:33 75,122 -c--a-w C:\WINDOWS\system32\perfc007.dat
2007-07-09 16:00:33 415,364 -c--a-w C:\WINDOWS\system32\perfh007.dat
2007-07-08 17:01:34 -------- d-----w C:\Programme\Security Task Manager
2007-07-07 11:56:44 -------- d-----w C:\DOKUME~1\Alex\ANWEND~1\Xfire
2007-07-07 11:56:14 -------- d-----r C:\Programme\Xfire
2007-06-24 10:57:59 -------- d-----w C:\Programme\MSN Messenger
2007-06-17 11:01:37 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-17 09:07:05 -------- d-----w C:\Programme\Clickster
2007-06-16 10:33:03 -------- d-----w C:\Programme\Skype
2007-06-16 10:33:03 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-06-03 17:42:19 -------- d-----w C:\Programme\Game Cam v1.4
2007-05-30 18:17:47 -------- d-----w C:\DOKUME~1\Alex\ANWEND~1\Ashampoo
2007-05-29 11:43:52 -------- d-----w C:\Programme\z-defrag
2007-05-29 11:43:46 73,728 -c----w C:\WINDOWS\AKDeInstall.exe
2007-05-29 11:16:17 -------- d-----w C:\Programme\ToniArts
2007-05-25 20:30:01 -------- d-----w C:\Programme\Firestorm
2007-05-25 18:36:08 -------- d-----w C:\Programme\CH-Soft
2007-05-25 18:34:01 -------- d-----w C:\Programme\NT Registry Optimizer
2007-05-25 18:19:45 -------- d-----w C:\Programme\GetRight
2007-05-20 07:19:29 335 -c--a-w C:\WINDOWS\mozregistry.dat
2007-05-16 15:11:44 683,520 -c--a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2005-10-09 10:25:40 8 -csh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25:40 4,704 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F40E12CA-3A3D-4BC3-862A-2431DC96B49A}]
2007-03-24 21:16 22097 --a------ C:\WINDOWS\system32\ole232.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2005-09-23 00:21 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2005-09-23 00:21 C:\WINDOWS\system32\nvmctray.dll]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 16:20 C:\WINDOWS\RTHDCPL.EXE]
"CHotkey"="mHotkey.exe" [2004-06-03 21:07 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2003-07-21 22:28 C:\WINDOWS\CNYHKey.exe]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 14:19]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 10:17]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-09-25 15:54]
"Wallpaper Juggler Monitor"="C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe" [2004-09-22 20:18]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 20:05]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Steam"="" []
"TaskSwitchXP"="C:\Programme\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29]
"VisualTaskTips"="C:\Programme\VisualTaskTips\VisualTaskTips.exe" [2006-07-31 13:33]
"UberIcon"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" [2006-05-21 09:43]
"Update Service"="C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"AVG7_Run"=C:\DOKUME~1\Alex\Desktop\PORTAB~1\ANTIVI~1\avgw.exe /RUNONCE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Alex^Startmenü^Programme^Autostart^VirtualExpander.lnk]
path=C:\Dokumente und Einstellungen\Alex\Startmenü\Programme\Autostart\VirtualExpander.lnk
backup=C:\WINDOWS\pss\VirtualExpander.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Alex^Startmenü^Programme^Autostart^Y'z Shadow.lnk]
path=C:\Dokumente und Einstellungen\Alex\Startmenü\Programme\Autostart\Y'z Shadow.lnk
backup=C:\WINDOWS\pss\Y'z Shadow.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_SUED_FotoSuite]
"C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoRun]
C:\Programme\Oyla.de - Login\Oyla

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"C:\Programme\HP\HP Software Update\HPWuSchd2.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"C:\Programme\Home Cinema\PowerCinema\PCMService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LightScribeService"=2 (0x2)
"FirebirdServerMAGIXInstance"=3 (0x3)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"UleadBurningHelper"=2 (0x2)
"CLCapSvc"=2 (0x2)
"x10nets"=3 (0x3)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)
"aawservice"=2 (0x2)



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e3326a0-3629-11dc-bc62-00038a000015}]
AutoRun\command- PortableApps\PortableAppsMenu\PortableAppsMenu.exe


Contents of the 'Scheduled Tasks' folder
2007-07-19 14:55:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 17:05:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120"

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 17:05:52
C:\ComboFix-quarantined-files.txt ... 2007-07-23 17:05

--- E O F ---

Hier die Log von Hijakthis:
_____________________
Logfile of HijackThis v1.99.1
Scan saved at 17:09:21, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Valve\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Alex\Desktop\hijakthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {F40E12CA-3A3D-4BC3-862A-2431DC96B49A} - C:\WINDOWS\system32\ole232.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - *.de (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.*.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128778405937
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.com/obj/NpFp415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Mach mal noch folgendes:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\ole232.dll
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Ad-Aware:

Ad-Aware 1.06 herunterladen und damit das System bereinigen!


Gruß
Sunny

Hier einmal den Link von der Datei: ole232.dll
VirusTotal - Free Online Virus and Malware Scan - Result
Hier der Link der Datei: wrar362d.exe
VirusTotal - Free Online Virus and Malware Scan - Result

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ole232.dll
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Sunny

Ehm joar, kann es auch sein das ich ausser Adware auch von einem Keylogger befallen bin?

Zitat:

Zitat von daalex

Ehm joar, kann es auch sein das ich ausser Adware auch von einem Keylogger befallen bin?

Weiß ich nicht, habe dazu nichts weiter gesehen.

So hier diese "Avenger-Log-File"

Achja es gibt auch noch eine Alternative zu "Avenger" nähmlich "Killbox"

______________________________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iduoucmj

*******************

Script file located at: \??\C:\vcnkuyyj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ole232.dll deleted successfully.
File C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
______________________________________________________________
Und hier eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Jul 23 18:30:15 2007 => Version 9.2.6
Mon Jul 23 18:29:50 2007 => Virus-Datenbank Datum: 5/28/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 18:30:53 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:30:53 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with ezula Spyware/Adware (aud.dll)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:06 2007 => System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. (!!!Hier ist dieser Keylogger, bitte entfernen, hoppla "Commercial"!!!)
Mon Jul 23 18:31:10 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Jul 23 18:30:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 18:30:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 18:33:17 2007 => File C:\avenger\backup.zip/avenger/ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jul 23 18:30:53 2007 => Offending file found: C:\WINDOWS\system32\swreg.exe
Mon Jul 23 18:30:53 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\nds\nds2\plugin\aud.dll
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\bios\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\cheats\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\config\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\dump\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\patch\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\plugins\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\ram\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\roms\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\save\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\shots\delete.me
Mon Jul 23 18:31:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\fail\cstrike\media\logo.avi
Mon Jul 23 18:31:10 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\mixmaterial_2\instrumentals\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jul 23 18:30:54 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\icq\bart\1024
Mon Jul 23 18:31:02 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Jul 23 18:30:51 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKCU\Software\adtools !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 18:31:21 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e3326a0-3629-11dc-bc62-00038a000015} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 18:30:15 2007 => Specherüberprüfung: Aktiviert
Mon Jul 23 18:30:15 2007 => Registry Überprüfung: Aktiviert
Mon Jul 23 18:30:15 2007 => System-Ordner Überprüfung: Aktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung der Dienste: Aktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung der Festplatten: Aktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung aller Festplatten eaktiviert

HIER hab ich das Tool "KillBox" für Sie/Dich bereitgestellt, dass Passwort lautet: "security" (ohne ")

Zitat:

Zitat von daalex

HIER hab ich das Tool "KillBox" für Sie/Dich bereitgestellt, dass Passwort lautet: "security" (ohne ")

Und was soll ich mit der Killbox?

Danke....ich kenn das Tool, nutze aber lieber den Avenger.

Ja, ok

Nun zurück zu den Trojanern und Hijaker (Keylogger)...

Eigentlich sollte es das gewesen sein. Lösche nur noch diese Datei:

C:\avenger\backup.zip

Hat denn Ad-Aware noch was gefunden?

Zitat:

Eigentlich sollte es das gewesen sein. Lösche nur noch diese Datei:

C:\avenger\backup.zip

Habe ich nach dem Scan gelöscht, da auf der Log diese Files zu sehen waren ...

Code: Alles auswählenAufklappen

ATTFilter

Hat denn Ad-Aware noch was gefunden?
         

Ja, Tracking Cookies und ein MRU Object.

MfG daalex