Hallo allerseits!

Ich habe ein großes Problem mit einer Art Malware. Das denke ich zumindest. Das Problem besteht darin, dass im Abstand von einigen Sekunden immer die folgende Seite aufgemacht wird (NICHT DRAUF GEHEN -> ) h**p://demd0.fortunecity.com/ Auf der Seite stand heute mittag noch was von einem Farbkreis und der "Wie alt werden Sie"-Werbung. Jetzt wird darauf hingewiesen, dass es adaware ist. Es steht der folgende Link da und es wird gesagt, dass diese Seite geloggt wurde oder so. h**p://www.spywareinfo.com/articles/hijacked. Ich war auf der Seite, ich fand sie vertrauenswürdig. Weiß jemand ob man dieser Seite vertrauen kann?

Ich habe bisher folgendes versucht:
Kaspersky 7.0, SpySweeper, Spybot S&D. Das hat im Grunde nichts genutzt, es wurde ab und zu was gefunden, an diesem Problem hat sich jedoch nichts geändert. Ich habe auch Firefox neu installiert und die persönlichen Daten gelöscht. Das hat es auch nicht gebracht.

Dann habe ich mit highjackthis gescannt und meiner Meinung nach den/die Übeltäter gefunden. Ich glaube es sind die ersten paar Einträge, die mit R1 oder R0 beginnen. Da steht nämlich auch die Internetadresse, die immer wieder aufgerufen wird.

Hier mal der Logfile (wenn diese Art des Postings nicht richtig ist, berichtigt mich bitte):

Logfile of HijackThis v1.99.1
Scan saved at 21:15:27, on 01.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdl.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Security\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Player\Audio\Winamp\winampa.exe
C:\WINDOWS\system32\avgaurd.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\Brennen und kopieren\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\PROGRA~1\Webshots\Webshots.scr
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Uni\WLan\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://h **p://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://h **p://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://h **p://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://h **p://demd0.fortunecity.com/search
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2843E1DB-CA97-46C0-B6C0-7D28FAE0C522} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Security\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Brennen und kopieren\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [D-Link AirPlus G] "C:\Programme\D-Link\AirPlus G\AirGCFG.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Player\Audio\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgaurd] C:\WINDOWS\system32\avgaurd.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\Brennen und kopieren\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D59A72A9-C4EC-4418-82E3-58F3D91D9A5E}: NameServer = 81.14.243.9 81.14.244.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B0BD9A-9AFC-4C73-A894-A3642C3BD780}: NameServer = 192.168.178.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AddFiltr - Unknown owner - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe (file missing)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Uni\WLan\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

Die Einträge mit R1 und R0 habe ich gefixt, auch im abgesicherten Modus. Sie sind aber nach jedem Neustart wieder da. Und auch nach dem fixen ohne Neustart öffnet sich immer noch die Seite.

Ich bin total am Verzweifeln, ich habe alles getan, was mir eingefallen ist. Ich muss doch wohl wegen sonem Dreck nicht schon wieder formatieren, oder? Bitte, wenn jemand irgendwas weiß, immer her damit. Bitte, bitte. Und wenn irgendwas fehlt oder ich es falsch gepostet habe, bitte sagt es mir, ich ändere es.

Danke schonmal an jeden, der es sich durchliest!

Hallo.

Zitat:

h**p://demd0.fortunecity.com/

Die Seite gibts anscheinend nicht mehr.

C:\WINDOWS\system32\msdl.exe

Werte diese Datei bitte mal online bei Virustotal aus und poste sämtliche Ergebnisse inkl. Infos zu Prüfsummen und Dateigröße.

Poste bitte auch gleich mal ein Log mit Filelist:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

DarkAngel_452, du solltest mMn auch die folgende Datei bei Virustotal prüfen lassen, wie von cosinus beschrieben:

Zitat:

Zitat von DarkAngel_452

C:\WINDOWS\system32\avgaurd.exe

danke für eure antworten.

die seite gibt es tatsächlich nicht mehr, es kommt aber jetzt was von "not found" und trotzdem ne seite mit müll.

hier eure geforderten daten:

Online-Auswertung von C:\WINDOWS\system32\msdl.exe

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2007.8.2.0 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 -
Authentium 4.93.8 2007.08.01 -
Avast 4.7.1029.0 2007.08.01 -
AVG 7.5.0.476 2007.08.01 VB.IK
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.08.01 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01BACKDOOR.Trojan packed by INARYRES
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5024 2007.08.01 -
Ewido 4.0 2007.08.01 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.08.01 -
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5088 2007.08.01 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2431 2007.08.01 probably a variant of Win32/VB.BCO
Norman 5.80.02 2007.08.01 -
Panda 9.0.0.4 2007.08.01 Suspicious file
Prevx1 V2 2007.08.01 -
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.01 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.08.01 -
Webwasher-Gateway6.0.1 2007.08.01 -

weitere Informationen
File size: 422329 bytes
MD5: d41b0ef398602da5611463ed1e855fb7
SHA1: 0a80b556d14464f39b8a3df8e8299a1d2e4fd93f
packers: BINARYRES

Online-Auswetung von C:\WINDOWS\system32\avgaurd.exe

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V32007.8.2.0 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 HEUR/Malware
Authentium 4.93.8 2007.08.01 Possibly a new variant of
W32/VB-EMU:VB-Backdoor-HRS-based!Maximus
Avast 4.7.1029.0 2007.08.01 -
AVG 7.5.0.476 2007.08.01 -
BitDefender 7.2 2007.08.01 Generic.Malware.Sdldspg.E4AE50D3
CAT-QuickHeal 9.00 2007.08.01 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 modification of BackDoor.Generic.1420
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5024 2007.08.01 -
Ewido 4.0 2007.08.01 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.08.01 W32/VB-EMU:
VB-Backdoor-HRS-based!Maximus
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5088 2007.08.01 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2431 2007.08.01 probably unknown NewHeur_PE
virus
Norman 5.80.02 2007.08.01 -
Panda 9.0.0.4 2007.08.01 Suspicious file
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 Mal/Behav-010
Sunbelt 2.2.907.0 2007.08.01 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.08.01 -
VirusBuster 4.3.26:9 2007.08.01 -
Webwasher-Gateway6.0.1 2007.08.01 Heuristic.Malware

weitere Informationen
File size: 32768 bytes
MD5: 7ce49a3b2bcf6a4f13bbcab3de9f24d0
SHA1: 07672679677b0793d69ffd057ec016b34eaaf441

Die File-List-Daten

Verzeichnis von C:\

01.08.2007 22:55 1.560.281.088 pagefile.sys
01.08.2007 22:35 0 23990098.$$$
31.07.2007 22:27 164 install.dat
15.07.2007 03:52 11.004.972 debug.log


Verzeichnis von C:\WINDOWS\system32

01.08.2007 23:00 392.630 perfh009.dat
01.08.2007 23:00 58.930 perfc009.dat
01.08.2007 23:00 405.692 perfh007.dat
01.08.2007 23:00 70.976 perfc007.dat
01.08.2007 23:00 938.224 PerfStringBackup.INI
01.08.2007 22:56 2.422 wpa.dbl
01.08.2007 22:56 55.081 vsconfig.xml
01.08.2007 22:55 51.048 nvapps.xml
01.08.2007 22:55 108.336 mswinsck.ocx
31.07.2007 19:10 32.768 avgnd.exe
31.07.2007 18:00 52.237 jpg.dll
31.07.2007 18:00 53.773 zlib.dll
31.07.2007 13:53 32.768 avgaurd.exe
19.07.2007 22:42 16.184 ssiefr.EXE
19.07.2007 22:42 26.424 wrlzma.dll
19.07.2007 22:42 219.448 WRLogonNtf.dll
17.07.2007 13:01 5.214 jupdate-1.6.0_02-b06.log
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe

Verzeichnis von C:\WINDOWS

01.08.2007 22:56 0 0.log
01.08.2007 22:56 1.682.281 WindowsUpdate.log
01.08.2007 22:55 2.048 bootstat.dat
01.08.2007 21:33 26 Lic.xxx
01.08.2007 21:33 442.638 ntbtlog.txt
31.07.2007 22:52 2.828 SchedLgU.Txt
31.07.2007 22:27 700 win.ini
31.07.2007 19:39 824.902 setupapi.log
31.07.2007 19:09 32.768 avgnd.exe
31.07.2007 13:53 32.768 avgaurd.exe
23.07.2007 11:10 98.304 system32CmdLineExt.dll
23.07.2007 11:02 537 DirectX.log
19.07.2007 22:54 1.521.464 WRSetup.dll
15.07.2007 00:08 529 eReg.dat
07.07.2007 21:35 215 wiadebug.log
07.07.2007 21:12 50 wiaservc.log
01.07.2007 00:25 174.103 setupact.log

Verzeichnis von C:\WINDOWS\Prefetch

31.07.2007 22:52 22.284 LOGONUI.EXE-0AF22957.pf
31.07.2007 22:34 31.582 WMIPRVSE.EXE-28F301A9.pf
31.07.2007 22:34 33.078 WMIADAP.EXE-2DF425B2.pf
31.07.2007 22:31 24.268 NVSVC32.EXE-1F9EED18.pf
31.07.2007 22:31 16.558 RUNDLL32.EXE-1857459C.pf
31.07.2007 22:27 26.714 WUAUCLT.EXE-399A8E72.pf
31.07.2007 22:27 17.448 ALG.EXE-0F138680.pf
31.07.2007 22:27 19.658 IMAPI.EXE-0BF740A4.pf

Verzeichnis von C:\WINDOWS\tasks

31.07.2007 22:52 6 SA.DAT

Verzeichnis von C:\WINDOWS\temp

01.08.2007 23:20 8.192 cch~148b661b8.htp
01.08.2007 23:20 8.192 cch~148b670fe.htp
01.08.2007 23:17 8.192 cch~11bb446ba.htp
01.08.2007 23:17 8.192 cch~11bb432ee.htp
01.08.2007 23:14 8.192 cch~f540fb8d.htp
01.08.2007 23:14 8.192 cch~f540ea1b.htp
01.08.2007 23:08 8.192 cch~a83c560e.htp
01.08.2007 23:08 8.192 cch~a83c66a1.htp
01.08.2007 22:56 409 WGANotify.settings
01.08.2007 22:55 255 WGAErrLog.txt
01.08.2007 22:55 256 ZLT02a11.TMP
01.08.2007 22:55 256 ZLT0068e.TMP
31.07.2007 19:39 1.942.297 dneinst.log
31.07.2007 19:11 0 Upd3B.tmp
31.07.2007 19:10 0 Upd33.tmp
31.07.2007 19:09 0 Upd32.tmp
31.07.2007 19:08 0 Upd2D.tmp
31.07.2007 19:08 0 Upd18.tmp
31.07.2007 19:07 0 Upd15.tmp
31.07.2007 18:30 256 ZLT0188b.TMP
31.07.2007 18:30 256 ZLT06d34.TMP
30.07.2007 21:40 0 UpdA9.tmp
29.07.2007 21:40 0 Upd1F.tmp
28.07.2007 21:00 0 Upd3F.tmp
27.07.2007 21:00 0 Upd14.tmp
26.07.2007 12:07 0 Upd13.tmp
26.07.2007 12:04 256 ZLT03f62.TMP
26.07.2007 12:04 256 ZLT03f5f.TMP
25.07.2007 11:57 0 Upd17.tmp
24.07.2007 11:57 0 UpdEE.tmp
23.07.2007 10:25 0 UpdEB.tmp
21.07.2007 22:36 0 UpdE6.tmp
19.07.2007 14:59 0 UpdE0.tmp
17.07.2007 23:32 0 UpdDF.tmp
16.07.2007 23:02 0 Upd122.tmp
15.07.2007 23:02 0 UpdD6.tmp
14.07.2007 14:23 0 UpdD9.tmp
13.07.2007 14:23 0 UpdC9.tmp
12.07.2007 14:23 0 UpdCC.tmp
11.07.2007 14:23 0 Upd1B3.tmp
10.07.2007 13:22 0 Upd11C.tmp
09.07.2007 12:35 0 UpdC8.tmp
08.07.2007 12:35 0 UpdC7.tmp
07.07.2007 12:08 0 Upd11.tmp
05.07.2007 10:08 0 UpdB4.tmp
04.07.2007 00:02 0 UpdAC.tmp
02.07.2007 23:44 0 UpdF4.tmp
01.07.2007 23:44 0 UpdDD.tmp

Verzeichnis von C:\DOKUME~1\NAME\LOKALE~1\Temp

01.08.2007 23:20 123.764 filelist.txt
01.08.2007 23:00 32.284 jusched.log
01.08.2007 22:44 8.026.669 MWAV.LOG
01.08.2007 22:44 262.616 sfdb.dat
01.08.2007 22:26 30.902 mwXface.log
01.08.2007 21:33 626.688 msvcr80.dll
01.08.2007 21:33 548.864 msvcp80.dll
01.08.2007 21:33 241.664 MYDB.DLL
01.08.2007 21:19 16.384 ~DFC9AE.tmp
01.08.2007 21:19 16.384 ~DFB2A7.tmp
01.08.2007 09:24 16.384 ~DF6731.tmp
01.08.2007 09:24 16.384 ~DF5043.tmp
31.07.2007 23:44 16.384 ~DFBA9C.tmp
31.07.2007 23:44 16.384 ~DF8721.tmp
31.07.2007 19:40 3.172.256 kl-install-2007-07-31-19-38-55.log
31.07.2007 19:40 542.719 caevents.log
31.07.2007 19:39 728 KLeaner.log
31.07.2007 19:29 16.384 ~DF4BF0.tmp
31.07.2007 19:11 16.384 ~DF4D27.tmp
31.07.2007 19:11 16.384 ~DF43B1.tmp
31.07.2007 18:40 16.384 ~DFE474.tmp
31.07.2007 18:40 16.384 ~DFD2F4.tmp
31.07.2007 18:33 3.174.336 kl-install-2007-07-31-18-31-51.log
31.07.2007 18:28 78.058 kl-install-2007-07-31-18-26-57.log
31.07.2007 18:26 5.851 plf2A.tmp
31.07.2007 18:22 16.384 ~DF3987.tmp
31.07.2007 18:22 16.384 ~DF395D.tmp
31.07.2007 18:22 16.384 ~DF3933.tmp
31.07.2007 18:22 16.384 ~DF38C5.tmp
31.07.2007 18:22 16.384 ~DF31AB.tmp
31.07.2007 18:22 16.384 ~DF2A34.tmp
31.07.2007 18:01 16.384 ~DFCE5F.tmp
31.07.2007 18:01 16.384 ~DFC790.tmp
31.07.2007 17:38 16.384 ~DF3469.tmp
31.07.2007 17:38 16.384 ~DF3415.tmp
31.07.2007 17:38 16.384 ~DF343F.tmp
31.07.2007 17:38 16.384 ~DF33EA.tmp
31.07.2007 17:34 16.384 ~DF5580.tmp
31.07.2007 17:33 16.384 ~DF4B43.tmp
31.07.2007 13:05 16.384 ~DF4A2D.tmp
31.07.2007 13:05 16.384 ~DF433D.tmp
31.07.2007 10:13 24.315 avp.klb
31.07.2007 10:13 3.124 daily-ex.avc
31.07.2007 10:13 62.299 daily.avc
31.07.2007 10:13 47.710 unp037.avc
31.07.2007 10:13 48.366 unp027.avc
31.07.2007 10:13 69.675 unp002.avc
31.07.2007 10:13 1.582 daily-ec.avc
31.07.2007 10:13 10.178 dailyc.avc
31.07.2007 09:57 1.153.524 File2.sdb
31.07.2007 09:57 157.220 Spyware.sdb
31.07.2007 09:57 243.375 spydb.avs
31.07.2007 09:57 1.236.170 Cid.sdb
31.07.2007 09:57 243.375 spydb.old
31.07.2007 09:57 2.064.636 File1.sdb
31.07.2007 09:57 723.696 Dir.sdb
30.07.2007 23:03 91.298 Chinese.Age
30.07.2007 23:03 110.178 Icelandic.Age
30.07.2007 23:03 115.002 Polish.Age
30.07.2007 23:03 111.897 Finnish.Age
30.07.2007 23:03 116.336 French.Age
30.07.2007 23:03 115.121 Spanish.Age
30.07.2007 23:03 114.940 Spanishl.Age
30.07.2007 23:03 110.860 Romanian.Age
30.07.2007 23:03 114.358 Portuguese.Age
30.07.2007 23:03 122.452 Italian.Age
30.07.2007 23:03 124.890 German.Age
30.07.2007 23:03 124.890 language.ini
30.07.2007 21:20 16.384 ~DF6897.tmp
30.07.2007 21:20 16.384 ~DF61E9.tmp
30.07.2007 16:19 19.192 fa001.avc
29.07.2007 21:43 13.592 temp.ani
29.07.2007 21:43 65.536 drm_dialogs.dll
29.07.2007 21:39 16.384 ~DF835D.tmp
29.07.2007 21:39 16.384 ~DF7BDA.tmp
29.07.2007 16:46 161.792 esupdate.exe
29.07.2007 16:44 43.520 setpriv.exe
29.07.2007 16:39 118.784 avpmhook.dll
29.07.2007 16:12 38.400 unregx.exe
29.07.2007 16:09 1.945.600 msvl64.dll
29.07.2007 16:04 418.368 mwavscan.com
29.07.2007 16:04 418.368 mexe.com
29.07.2007 16:02 143.360 msvlclnt.dll
29.07.2007 15:59 44.096 Getvlist.exe
29.07.2007 13:15 16.384 ~DF4950.tmp
29.07.2007 13:15 16.384 ~DF425A.tmp
28.07.2007 19:16 16.384 ~DF62F2.tmp
28.07.2007 19:16 16.384 ~DF462D.tmp
28.07.2007 17:07 32.756 fa.avc
28.07.2007 17:07 13.539 ext999.avc
28.07.2007 17:07 78.792 ca.avc
28.07.2007 17:07 11.907 ext009.avc
28.07.2007 17:07 37.383 unp031.avc
28.07.2007 17:07 65.450 unp023.avc
28.07.2007 17:07 42.215 unp022.avc
28.07.2007 17:07 30.279 unp024.avc
28.07.2007 17:07 37.859 unp020.avc
28.07.2007 17:07 42.415 unp018.avc
28.07.2007 17:07 117.466 base145.avc
28.07.2007 17:07 53.020 base095.avc
28.07.2007 17:07 48.853 base091.avc
28.07.2007 17:07 42.394 ext003c.avc
28.07.2007 17:07 122.167 base030c.avc
28.07.2007 10:32 16.384 ~DFFE0A.tmp
28.07.2007 10:32 16.384 ~DFF6A4.tmp
28.07.2007 00:46 121 D653F3EC.TMP
27.07.2007 21:00 16.384 ~DF1606.tmp
27.07.2007 21:00 16.384 ~DFFEB5.tmp
27.07.2007 12:46 49.169 ext006.avc
27.07.2007 12:46 48.547 ext001.avc
27.07.2007 12:46 8.376 krn003.avc
27.07.2007 12:46 35.209 krn004.avc
27.07.2007 08:52 16.384 ~DF9592.tmp
27.07.2007 08:52 16.384 ~DF8EE8.tmp
26.07.2007 23:02 3.797 java_install_reg.log
26.07.2007 18:08 16.384 ~DFB920.tmp
26.07.2007 18:08 16.384 ~DFB168.tmp
26.07.2007 18:01 24.883 24089.dmp
26.07.2007 18:01 2.512 330f_appcompat.txt
26.07.2007 16:56 16.384 ~DFC56B.tmp
26.07.2007 16:56 16.384 ~DFB61D.tmp
26.07.2007 12:44 16.384 ~DF7677.tmp
26.07.2007 12:44 16.384 ~DF76CB.tmp
26.07.2007 12:44 16.384 ~DF76A1.tmp
26.07.2007 12:44 16.384 ~DF764D.tmp
26.07.2007 12:42 16.384 ~DFEB9B.tmp
26.07.2007 12:42 16.384 ~DFEBFF.tmp
26.07.2007 12:42 16.384 ~DFEC29.tmp
26.07.2007 12:42 16.384 ~DFEB71.tmp
26.07.2007 12:42 16.384 ~DFE4BE.tmp
26.07.2007 12:42 16.384 ~DFD158.tmp
26.07.2007 12:19 16.384 ~DF6E2A.tmp
26.07.2007 12:19 16.384 ~DF6DD6.tmp
26.07.2007 12:19 16.384 ~DF6DAC.tmp
26.07.2007 12:19 16.384 ~DF6E00.tmp
26.07.2007 12:13 16.384 ~DF6B32.tmp
26.07.2007 12:13 16.384 ~DF6B08.tmp
26.07.2007 12:13 16.384 ~DF6ADE.tmp
26.07.2007 12:13 16.384 ~DF6AB4.tmp
26.07.2007 12:06 16.384 ~DF7CA7.tmp
26.07.2007 12:06 16.384 ~DF719B.tmp
26.07.2007 10:31 41.656 unp038.avc
26.07.2007 10:31 52.126 unp005.avc
26.07.2007 10:31 25.778 unp004.avc
26.07.2007 10:31 50.079 base137.avc
26.07.2007 10:31 4.930 base999.avc
26.07.2007 10:31 49.738 base112.avc
26.07.2007 10:31 49.623 base001.avc
26.07.2007 01:53 16.384 ~DFD1FD.tmp
26.07.2007 01:53 16.384 ~DFCB46.tmp
26.07.2007 01:27 16.384 ~DF4361.tmp
26.07.2007 01:27 16.384 ~DF39CA.tmp
25.07.2007 17:37 16.384 ~DF6CFE.tmp
25.07.2007 17:37 16.384 ~DF5124.tmp
25.07.2007 13:08 16.384 ~DFE7EC.tmp
25.07.2007 13:08 16.384 ~DFE817.tmp
25.07.2007 13:08 16.384 ~DFE841.tmp
25.07.2007 13:08 16.384 ~DFE7C2.tmp
25.07.2007 13:08 16.384 ~DFDF40.tmp
25.07.2007 13:07 16.384 ~DFD810.tmp
25.07.2007 12:46 24.883 61ECC9.dmp
25.07.2007 12:46 2.512 e369_appcompat.txt
25.07.2007 12:45 24.671 61BF70.dmp
25.07.2007 12:45 2.512 b0be_appcompat.txt
25.07.2007 12:26 16.384 ~DFDDE8.tmp
25.07.2007 12:26 16.384 ~DFDE12.tmp
25.07.2007 12:26 16.384 ~DFDDBE.tmp
25.07.2007 12:26 16.384 ~DFDD94.tmp
25.07.2007 11:02 16.384 ~DF442D.tmp
25.07.2007 11:02 16.384 ~DF74E.tmp
24.07.2007 23:40 49.598 ext007.avc
24.07.2007 23:40 49.566 ext005.avc
24.07.2007 23:40 47.424 ext004.avc
24.07.2007 23:40 48.659 unp013.avc
24.07.2007 23:40 49.676 base117.avc
24.07.2007 23:40 49.165 base032.avc
24.07.2007 23:40 49.566 ext001c.avc
24.07.2007 23:40 37.482 krnjava.avc
24.07.2007 11:56 16.384 ~DFFC5F.tmp
24.07.2007 11:56 16.384 ~DFF467.tmp
23.07.2007 21:34 16.384 ~DFE1D7.tmp
23.07.2007 21:34 16.384 ~DFCE1C.tmp
23.07.2007 18:59 16.384 ~DF4B7.tmp
23.07.2007 18:59 16.384 ~DFFD9D.tmp
22.07.2007 12:46 16.384 ~DF30F5.tmp
22.07.2007 12:46 16.384 ~DF2879.tmp
21.07.2007 22:34 16.384 ~DF5479.tmp
21.07.2007 22:34 16.384 ~DF4886.tmp
21.07.2007 17:54 63.011 unp035.avc
21.07.2007 17:54 50.174 base143.avc
20.07.2007 18:08 175.968 phupdn.txt
20.07.2007 17:57 18.427 global.daz
20.07.2007 17:57 52.216 phupdn.txz
20.07.2007 17:13 49.604 base029.avc
20.07.2007 12:12 16.384 ~DF4254.tmp
20.07.2007 12:12 16.384 ~DF393D.tmp
19.07.2007 14:58 16.384 ~DF7999.tmp
19.07.2007 14:58 16.384 ~DF6F88.tmp
18.07.2007 19:22 16.384 ~DFBDB4.tmp
18.07.2007 19:22 16.384 ~DFB535.tmp
18.07.2007 15:24 48.642 ext008.avc
18.07.2007 15:24 47.415 ext003.avc
18.07.2007 15:24 46.810 unp036.avc
18.07.2007 15:24 58.775 unp019.avc
18.07.2007 15:24 23.499 unp000.avc
18.07.2007 15:24 48.410 ext002c.avc
18.07.2007 09:44 16.384 ~DF90B9.tmp
18.07.2007 09:44 16.384 ~DF881C.tmp
17.07.2007 23:30 16.384 ~DF47D3.tmp
17.07.2007 23:30 16.384 ~DF3E4B.tmp
17.07.2007 16:04 384.512 MDownload.exe
17.07.2007 14:18 16.384 ~DFA7EE.tmp
17.07.2007 14:18 16.384 ~DFA7C4.tmp
17.07.2007 14:18 16.384 ~DFA79A.tmp
17.07.2007 14:18 16.384 ~DFA770.tmp
17.07.2007 13:06 51.827 English.Age
17.07.2007 12:59 1.160 jinstall.cfg
17.07.2007 12:55 16.384 ~DF4C53.tmp
17.07.2007 12:55 16.384 ~DF442F.tmp
16.07.2007 17:10 16.384 ~DFAFB2.tmp
16.07.2007 17:10 16.384 ~DFA85D.tmp
16.07.2007 10:20 16.384 ~DF68E8.tmp
16.07.2007 10:20 16.384 ~DF6188.tmp
15.07.2007 23:00 16.384 ~DF8613.tmp
15.07.2007 23:00 16.384 ~DF7EBE.tmp
14.07.2007 23:41 16.384 ~DF7B03.tmp
14.07.2007 23:41 16.384 ~DF74AF.tmp
14.07.2007 20:12 16.384 ~DFCEFB.tmp
14.07.2007 20:12 16.384 ~DFC89B.tmp
14.07.2007 17:48 16.384 ~DF3638.tmp
14.07.2007 17:48 16.384 ~DF2E1F.tmp
14.07.2007 14:02 16.384 ~DFE1E0.tmp
14.07.2007 14:02 16.384 ~DFE20B.tmp
14.07.2007 14:02 16.384 ~DFE1B6.tmp
14.07.2007 14:02 16.384 ~DFE18B.tmp
14.07.2007 12:26 16.384 ~DF387A.tmp
14.07.2007 12:26 16.384 ~DF2E9B.tmp
13.07.2007 13:04 16.384 ~DF4698.tmp
13.07.2007 13:04 16.384 ~DF3F6C.tmp
13.07.2007 09:39 16.384 ~DFBDA8.tmp
13.07.2007 09:39 16.384 ~DFB623.tmp
12.07.2007 21:59 16.384 ~DF6A5D.tmp
12.07.2007 21:59 16.384 ~DF6121.tmp
12.07.2007 19:14 16.384 ~DFB186.tmp
12.07.2007 19:14 16.384 ~DFAA04.tmp
12.07.2007 18:35 3.361 avp_ext.set
12.07.2007 18:35 3.361 avp.set
12.07.2007 18:35 42.264 unp032.avc
12.07.2007 18:35 50.722 base144.avc
12.07.2007 18:35 50.024 base028c.avc
12.07.2007 18:35 50.179 base029c.avc
12.07.2007 12:27 16.384 ~DF4555.tmp
12.07.2007 12:27 16.384 ~DF3D5E.tmp
11.07.2007 11:23 5.012 ASPNETSetup_00003.log
11.07.2007 11:11 16.384 ~DF67BA.tmp
11.07.2007 11:11 16.384 ~DF60F7.tmp
10.07.2007 12:32 120.747 krnunp.avc
09.07.2007 16:31 64.662 unp016.avc
09.07.2007 10:58 16.384 ~DF6381.tmp
09.07.2007 10:58 16.384 ~DF5C0F.tmp
08.07.2007 23:58 16.384 ~DFE472.tmp
08.07.2007 23:58 16.384 ~DFDDA7.tmp
08.07.2007 15:27 16.384 ~DF48FB.tmp
08.07.2007 15:27 16.384 ~DF4925.tmp
08.07.2007 15:27 16.384 ~DF48D1.tmp
08.07.2007 15:27 16.384 ~DF48A7.tmp
08.07.2007 15:26 16.384 ~DFC922.tmp
08.07.2007 15:26 16.384 ~DFC8F8.tmp
08.07.2007 15:26 16.384 ~DFC8A4.tmp
08.07.2007 15:26 16.384 ~DFC8CE.tmp
08.07.2007 09:37 16.384 ~DF8EA9.tmp
08.07.2007 09:37 16.384 ~DF72DF.tmp
07.07.2007 14:43 21.684 gen005.avc
07.07.2007 14:43 23.916 unp021.avc
07.07.2007 14:43 49.550 base031.avc
07.07.2007 12:13 16.384 ~DFEC3C.tmp
07.07.2007 12:13 16.384 ~DFE2C1.tmp
05.07.2007 16:35 16.384 ~DFBA5B.tmp
05.07.2007 16:34 16.384 ~DFAC7B.tmp
05.07.2007 12:18 16.384 ~DF4E65.tmp
05.07.2007 12:18 16.384 ~DF414F.tmp
05.07.2007 10:06 16.384 ~DF21CC.tmp
05.07.2007 10:06 16.384 ~DFF8EA.tmp
05.07.2007 10:05 49.792 unp030.avc
04.07.2007 22:04 48.243 imgad.gif
04.07.2007 12:54 24.842.240 86dc6.msi
04.07.2007 10:08 16.384 ~DFC359.tmp
04.07.2007 10:08 16.384 ~DFBC82.tmp
04.07.2007 00:00 16.384 ~DFBCD4.tmp
04.07.2007 00:00 16.384 ~DFB601.tmp
03.07.2007 17:06 16.384 ~DFC0D1.tmp
03.07.2007 17:06 16.384 ~DFB9FA.tmp
03.07.2007 10:06 55.694 unp006.avc
03.07.2007 10:06 50.255 base142.avc
03.07.2007 10:06 50.270 base027c.avc
02.07.2007 23:35 16.384 ~DF3034.tmp
02.07.2007 23:35 16.384 ~DF29A9.tmp
02.07.2007 16:29 14.400 faristream.ppl
02.07.2007 16:29 14.912 farbuffer.ppl
02.07.2007 16:28 135.168 ScanningProcess.exe
02.07.2007 16:28 65.536 ikave.dll
02.07.2007 16:27 274.432 kave.dll
01.07.2007 14:33 16.384 ~DFB1AB.tmp
01.07.2007 14:33 16.384 ~DFB181.tmp
01.07.2007 14:33 16.384 ~DFB12D.tmp
01.07.2007 14:33 16.384 ~DFB157.tmp
01.07.2007 14:22 16.384 ~DFB8B6.tmp
01.07.2007 14:22 16.384 ~DFB200.tmp
01.07.2007 00:26 23.386 btwinlog.txt

wenn euch das weiter hilft würde ich mich sehr freuen. das was ich da von backdoor und so gelesen habe, hört sich ja nicht geerade gut an

edit:
die zeilen sind wieder alle verrutscht...ich hoffe ihr könnt es irgendwie lesen

Zitat:

das was ich da von backdoor und so gelesen habe, hört sich ja nicht geerade gut an

Ja, einer so vorsichtigen Seele, wie ich es bin, würde der noch sehr un-entschiedene Virustotal-Befund schon fast zum Neuaufsetzen reichen.

Zitat:

01.08.2007 22:44 8.026.669 MWAV.LOG

Sehe ich das richtig, du hast schon mit eScan gescannt? Gibt es eine Möglichkeit, die MWAV.LOG mit Hilfe der find.bat auszuwerten? Schau mal in die FAQ des Boards, in MightyMarcs e-Scan-Anleitung steht, wie's geht.

Ferner würde ich versuchen, die beiden Dateien, die du bereits bei Virustotal gescannt hast, an drei, vier AV-Hersteller zur Prüfung einzusenden (auch daz gibt es Hinweise in den FAQ) und deren Antworten hier zu posten.

das scannen habe ich leider noch nicht geschafft, aber ich habe das böse programm gefunden...das, was die seiten immer wieder aufmacht. und zwar habe ich aus nem ganz anderen grund meinen taskmanager geöffnet und da war ein programm namens "project1". das habe ich beendet und jetzt öffnen sich keine seiten mehr. natürlich ist das keine dauerlösung.

kennt jemand sonen mistding, dass sich project1 nennt? also klingelst da vllt bei irgendwem und er hat die perfekte lösung für mich?

C:\WINDOWS\system32\ssiefr.EXE

Werte diese Datei bitte auch mal bei Virustotal aus, die kommt mir nämlich nicht ganz koscher vor.

Die zuvor ausgewertete Datei solltest du schon mal löschen, geh bitte so vor:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\avgaurd.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
6.) Besorg dir bitte auch Blacklight, lass das System scannen und poste den Bericht.
7.) Befreie dein System mit Hilfe des CCleaner von unnötigen Tempfiles.
8.) Neues Log von Filelist erstellen und posten.

Bitte in dieser Reihenfolge abarbeiten.

Project1.exe könnte übrigens dieser hier sein.
Ich wär übrigens auch dafür, die Datei avgaurd.exe an die AV-Labs einzusenden. Wenn du magst, kannst du sie auch Markus (mmk) oder mir senden. Die Datei als Zip verschlüsselt senden, Passwort nat. der Zip in den body der mail!
Achso, nachdem du sie mit dem Avenger gelöscht hast, befindet sie sich in im Backup von Avenger unter C:\avenger\backup.zip