~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.8
Sprache: German
C:\DOKUME~1\LOSTSO~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{8DC08CE8-A61C-44EE-8D88-0C1A11DFB1BC}\RP35\A0010001.exe infiziert von "Trojan.Win32.DNSChanger.jh" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Lost Soul\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Lost Soul\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\xtghfon4.default\Cache\63329BDCd01//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Incoming\Programme\vnc-4_1_2-x86_win32.exe//file1 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpace.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceVNCClient.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceVNCServer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceVNCViewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceWinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\VNCHooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\VNC4\vncviewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-1220945662-2147113981-725345543-1003\Dc2.exe//stream//data0003 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-21-1220945662-2147113981-725345543-1003\Dc28.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-21-1220945662-2147113981-725345543-1003\Dc34\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Desktop\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Eigene Dateien\emulatoren_&_games\epsx1.60\memcards\delete.me
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Eigene Dateien\emulatoren_&_games\epsx1.60\memcards\delete.me
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Eigene Dateien\emulatoren_&_games\epsx1.60\memcards\delete.me
Offending file found: C:\Dokumente und Einstellungen\Lost Soul\Eigene Dateien\emulatoren_&_games\epsx1.60\memcards\delete.me
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Lost Soul\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0 vr\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\common\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\emailscan\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcmscins\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcpscheduler\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\misp\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\personal firewall\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\quickclean\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\shredder\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\virusscan\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\Lost Soul\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0 vr\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\common\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\emailscan\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcmscins\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcpscheduler\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\misp\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\personal firewall\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\quickclean\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\shredder\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\virusscan\mcinst
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Gemeinsame Dateien\aol\System Information\sysres.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 28466
Gescannte Dateien: 105851
Gefundene Viren: 25
Gefundene Viren: 32
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 90
Anzahl Fehler: 12
Dauer des Scans bisher: 00:06:21
Dauer des Scans bisher: 02:04:18
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:49:55,07
Batchende: 20:50:04,20

1. Deaktivere die Systemwiederherstellung
2. Führe Fixwareout wie hier angegeben aus
3. Starte HijackThis neu, scanne, fixe folgende Einträge:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{19539F8B-1D7B-4654-BA65-E553E8FDBABF}: NameServer = 85.255.114.72,85.255.112.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{A882B213-F7F8-43A6-A210-79DDD6CEE25B}: NameServer = 85.255.114.72,85.255.112.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAF8AAB6-7B91-4C4A-8F1D-79661C11167C}: NameServer = 85.255.114.72,85.255.112.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{19539F8B-1D7B-4654-BA65-E553E8FDBABF}: NameServer = 85.255.114.72,85.255.112.75
O17 - HKLM\System\CS2\Services\Tcpip\..\{19539F8B-1D7B-4654-BA65-E553E8FDBABF}: NameServer = 85.255.114.72,85.255.112.75

4. Lade Blacklight führe es aus

* doppelklick: blbeta.exe
* nach dem Check klicke -- next
* nun findet man eine Log-Datei(txt) auf dem Desktop
* Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
* scan --> next none auf rename ändern
* Dann lass Blacklight den Rechner neu starten.

4. Poste die Logs

*C:\fixwareout\report.txt
* blacklight
* Hijackthis

Bata

hallo danke für die hilfe ....

hab nun allerdings das problem das ich wohl den rechner nochmal neu machen muss ;-/
hatte auf ne empfehlung von einem kollegen mal knoppicilin durchlaufen lassen und nun startet der rechner nicht mehr ((

Was hast Du denn mit Knoppix gemacht?

Bata

Joar "eigentlich" nur Virensuche und entfernen.

Welche Fehlermeldung kommt beim Windows Start?

Bata

es kam das auswahlmenü... Windows normal starten , als letzte bekannte funktionierende konfiguration... abgesicherter modus usw...

aber nach egal welcher auswahl ist der pc wieder neugestartet.