So wird es gemacht.

Ok, wenn Blacklight nichts gefunden hat, dann mach mal bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

So ich hab abschließend nochmal einen eScan gemacht und folgendes gefunden:


~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\Malte\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Malte\Lokale Einstellungen\temp\cmdlineext02.dll
~~~~~~~~~~~


Sind das schlimme Dateien?

Poste bitte das komplette Log und lade die Dateien auf [url=http://www.virustotal.com[VT[/url] hoch.

Gruß

Undoreal

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/13/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\dlh9jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\dlh9jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei D:\Downloads\dv450mi\Setup\mirc621.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei D:\Downloads\girc442.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\Malte\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Malte\Lokale Einstellungen\temp\cmdlineext02.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\icq6\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\Resources\Themes\Eclipse\shell\normalcolor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Images and Install\transformers\Transformers.The.Game-RELOADED\rld-trfs.iso nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 127671
Gefundene Viren: 15
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 66
Dauer des Scans bisher: 02:01:53
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:48:12,81
Batchende: 17:48:29,21

Datei moveex.exe_ empfangen 2007.09.13 18:35:09 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 -
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5118 2007.09.12 -
Microsoft 1.2803 2007.09.13 -
NOD32v2 2528 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 -
Prevx1 V2 2007.09.13 -
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 -
weitere Informationen
File size: 38400 bytes
MD5: 098d1e9c1b749142f999973c794be54d
SHA1: 5f63fadc9572be19ab45899e0f77bb07460713b0








Datei swreg.exe_ empfangen 2007.09.13 18:35:41 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 -
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 suspicious Trojan/Worm
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5118 2007.09.12 -
Microsoft 1.2803 2007.09.13 -
NOD32v2 2528 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 -
Prevx1 V2 2007.09.13 -
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 -
weitere Informationen
File size: 279552 bytes
MD5: 5dbee2a187ff4ba477c1c8b08682a585
SHA1: 5697e3c37b81f5e97da0b38227b408ee6a4112a5
packers: UPX
packers: UPX
packers: UPX



Datei swsc.exe_ empfangen 2007.09.13 18:35:51 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 -
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5118 2007.09.12 -
Microsoft 1.2803 2007.09.13 -
NOD32v2 2528 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 -
Prevx1 V2 2007.09.13 -
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 Virus.Win32.FileInfector.gen!90 (suspicious)
weitere Informationen
File size: 370688 bytes
MD5: af52196cf5593c13f8c2f00a55fe132b
SHA1: 8b6628f141f4cb889121d7c903c8f97b8a85fbae



Datei cmdlineext02.dll_ empfangen 2007.09.13 18:35:55 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 -
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 Adware.CmdLine (Not a Virus)
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 Spyware.CmdLineExt
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 PossibleThreat
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5118 2007.09.12 -
Microsoft 1.2803 2007.09.13 -
NOD32v2 2528 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 -
Prevx1 V2 2007.09.13 -
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 Aplicacion/CmdExt
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 -
weitere Informationen
File size: 36864 bytes
MD5: e60a8e3889df3c95e5f8fe2473db889e
SHA1: 385eb51251c065e278469e6d94250784b04deffe
packers: PETITE
packers: Petite

Hm hm hm....

Obwohl die Ergebnisse nicht eindeutig sind würde ich die Dateien: "swreg.exe","swsc.exe" und "cmdlineext02.dll" aus dem abgesicherten Modus heraus umbenennen..

wenn dein Rechner danach rumzickt kannst du sie ganz einfach wieder in den richtigen Namen umbenennen. Das Risiko ist also begrenzt und du kannst sicher sein, dass dein Rechner sauber ist.

Ist aber alleine deine Entscheidung..

Gruß

Undoreal

Zitat:

Zitat von undoreal

So wird es gemacht.

Ich weiß schon wie man es deaktiviert.

Ich versteh nur nicht warum es notwendig ist.

Wahrscheinlich werde ich sowieso bald den pc neu aufstetzen.
Aber dazu brauch ich halt erst ma ein freies Wochenende.
Ich hab halt nur Angst, dass bis ich neu aufgestzt hab
schon alles auspioniert ist.

Zitat:

Ich hab halt nur Angst, dass bis ich neu aufgestzt hab
schon alles auspioniert ist.

Hm...
Dann brauchst du den Anweisungen ja nicht mehr zu folgen. Wozu alles umständlich bereinigen wenn du eh neu aufsetzt?
Lass den Rechner dann einfach offline und setz dann bei Zeiten neu auf.

Die SWH sollte deaktiviert werden, da Schädlinge mit in die Wiederherstellungspunkte gekommen sind, diese sind dann ab sofort unbrauchbar.

Heist das, ich muss gar nicht formatieren? :aplaus:
Aber eScan hatte ja noch andere Sachen gefunden.

Kann sein, muss aber nicht. Ich kann dir zumindest kein sauberes System nach einer Bereinigung garantieren.
Was eScan da angezeigt hat waren zwar überwiegend Fehlalarme, aber einige hässliche Dateinamen waren in System32 dabei.
Poste mal vom Filelist-log nur die Dateien in C:\windows\system32

Verzeichnis von C:\WINDOWS\system32

11.09.2007 14:04 128.913 OODBS.lor
10.09.2007 20:12 3.002 CONFIG.NT
10.09.2007 19:27 15.872 Thumbs.db
10.09.2007 19:07 13.646 wpa.dbl
06.09.2007 12:09 801.144 aswBoot.exe
06.09.2007 12:00 95.608 AVASTSS.scr
23.08.2007 16:44 403.968 perfh009.dat
23.08.2007 16:44 63.188 perfc009.dat
23.08.2007 16:44 418.970 perfh007.dat
23.08.2007 16:44 76.014 perfc007.dat
23.08.2007 16:44 967.348 PerfStringBackup.INI
03.08.2007 11:58 1.197 lvcoinst.log

Sry hab mich falsch ausgedrückt...
Poste bitte alle Dateieinträge in System32.
Sollte es zu groß werden, speicher das in einer extra-Textdatei und poste es hier mit Hilfe das Anhangfunktion (Button mit der kleinen Büroklammer).

http://rapidshare.com/files/54937536/files_system_32.txt.html

Ich habs mal bei Rapidshare hochgeladen. Es war zu groß als Anhang.

C:\WINDOWS\system32\dlh9jkd1q8.exe

Die Datei ist zwar vorhanden, aber mit Null Byte eigentlich nur ein Schatten ihrer selbst und somit wohl ungefährlich
Wo sie herkommt kann ich dir nicht sagen. svp322.dll ist jedenalls nicht mehr vorhanden.