Mach ich sofort, ich habe hier noch einen Log von meinem Antivir und einen von Smitfraud, wäre das auch interessant für Dich? Müßte ich vorher noch "bereinigen"

Zitat:

Zitat von Galoppo

Mach ich sofort, ich habe hier noch einen Log von meinem Antivir und einen von Smitfraud, wäre das auch interessant für Dich? Müßte ich vorher noch "bereinigen"

Ja posten

Bata

BTW willst Du die IP adressen original lesen können, oder soll ich die Xen?

Im Original, ist ja eh nur ein Internes Netz, also keine Gefahr für Dich.

Bata

Schon geixt; Stimmt aber soweit alles:
Symantec Bedrohungs-Log
Risiko,Action,Anzahl,Dateiname,Bedrohungstyp,Quelladresse,Computer,User,Status,Aktueller Ablageort,Primäre Aktion,Sekundäre Aktion,Protokolliert von,Aktionsbeschreibung,Date
Trojan Horse,Nichts unternommen,1,A0030919.exe,Datei,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP239\,PEGASUS,PEGASUS\XXXXXXX,Nichts unternommen,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP239\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Die Datei wurde nicht geändert.,28.08.2007 14:34:52
Trojan Horse,Isoliert,1,ntux.exe,Datei,C:\WINDOWS\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:22:03
Adware.Mirar,Isoliert,2,MirarSetup.exe,Adware,C:\WINDOWS\Downloaded Program Files\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:20:06
Trojan Horse,Isoliert,1,ARJ.PIF:qmtztq:$DATA,Datei,C:\WINDOWS\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:19:14
Adware.Gator,Isoliert,6,A0030917.exe,Adware,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP239\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:16:14
Adware.Gator,Isoliert,6,gain_trickler_3202.exe,Adware,C:\Programme\DivX\DivX Pro Codec\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:08:20
Adware.Mirar,Isoliert,19,MirarSetup.exe,Adware,C:\WINDOWS\Downloaded Program Files\CONFLICT.1\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 11:57:17
Adware.Mirar,Isoliert,2,A0030777.dll,Adware,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP235\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,08.08.2007 16:22:53
Adware.IpInsight,Isoliert,2,A0030778.exe,Adware,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP235\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,08.08.2007 16:22:33
Adware.IpInsight,Isoliert,2,sentry.exe,Adware,c:\windows\,PEGASUS,XXXXXXXXXXXXX,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Manuelle Prüfung,Die Datei wurde erfolgreich isoliert.,06.08.2007 12:31:57
Adware.Mirar,Isoliert,7,windmy.dll,Adware,c:\windows\system32\,PEGASUS,XXXXXXXXXXXXX,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Manuelle Prüfung,Die Datei wurde erfolgreich isoliert.,06.08.2007 12:29:52

sorry, eben war`s noch ein Excel-Sheet
SMITFRAUD:
SmitFraudFix v2.217

Scan done at 10:57:47,70, 29.08.2007
Run from E:\TOOLS\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{12C700F7-99B4-4484-A6A3-17171F53227E}: NameServer=XXX.XXX.XXX.XX
HKLM\SYSTEM\CS1\Services\Tcpip\..\{12C700F7-99B4-4484-A6A3-17171F53227E}: NameServer=XXX.XXX.XXX.XX0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{12C700F7-99B4-4484-A6A3-17171F53227E}: NameServer=XXX.XXX.XXX.XX


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


IPCONFIG.TXT:
Windows-IP-Konfiguration



Hostname. . . . . . . . . . . . . : PEGASUS
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Ja
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE-Netzwerkverbindung
Physikalische Adresse . . . . . . : 08-00-46-43-08-62
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.101.113
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.10.1
DNS-Server. . . . . . . . . . . . : 213.148.129.10

Wie gesagt, sieht für mich normal aus......

Bei der ersten Zeile im Antivir log stimmt nicht, daß nichts unternommen wurde, das Teil wurde Opfer eines anderen Hilfspgm.

Die Systemwiederherstellung deaktiveren, das System dann neu booten.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Dann

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Bata, der jetzt mal weg und erst gegen Abend wieder da ist und sich über die Logs freuen würde, die aber auch jeder andere auseinandernehmen darf.

Noch nicht weggehen, was meinst Du mit CODE CODE????

Wenn Du einen Betrag erstellst, hast Du so einen tollen Button der wie eine Raute # aussieht, dieser erzeugt Code Tags.
Das erleichtert das Lesen ungemein.

Bata