Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: troyaner auf dem rechner und wahrscheinlich noch mehr.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.09.2007, 20:49   #1
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



wie gesagt ein trojaner ist sicher drauf, was inzwischen noch alles da ist weiss ich nicht,

mein syware doctor findet: rogue.antispyware.ultimate_defender

adware.agent.bn

adware advertising

adware.component.generic

mein desktop ist inzwischen rot und mit einem roten bösen zeichen und der warnung das mein computer gefährdet ist. ständig poppt internet explorer auf und weisst mich auf ein virenprogramm hin dass ich doch runterladen sollte.

leider ist meine spyware doctor version nur ne trialverion und jetzt abgelaufen, hab angst meine kreditkarten nummer anzgeben - ist da gefährlich?

avast hab ich installiert und es hat nur zwei sachen gefunden und zwar zewimal einen win32agent- jwc

meine loglist

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:27:11, on 13.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Dokumente und Einstellungen\Nicola Aigner\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {88418AA3-16F5-4FC2-A9D8-90B1266DF841} - C:\WINDOWS\nsduo.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [isDeleteMe] "C:\WINDOWS\system32\cmd.exe" /c "C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\isDel.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [SpywareBot] C:\Programme\SpywareBot\SpywareBot.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {670C5F66-0866-4DD7-8A3F-1EDE62C2E8BB} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: msmhost - {4A5C02C2-D26A-4F0E-8607-EE401DA6A9FA} - C:\WINDOWS\msmhost.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8581 bytes

ich wär euch wirklich dankbar wenn ihr mir helfen könntet, weiss nicht mehr weiter und es wird immer schlimmer.
tut mir auch leid dass ich den post unter nen anderen gescherieben habe - war keine böse absicht!

liebe grüsse,
nicki

Alt 13.09.2007, 20:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



Hallo.

Werte zuerst bitte nur diese Dateien bei Virustotal aus und poste die Ergebnisse:

C:\WINDOWS\nsduo.dll
C:\WINDOWS\msmhost.dll
__________________

__________________

Alt 13.09.2007, 23:27   #3
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



vielen dank für die schnelle antwort cosinus!!!! tut mir leid dass es bei mir dann doch etwas lange gedauert hat.
hier die ergebnisse von virtutosal:

nsduo:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.13 -
AntiVir 7.6.0.10 2007.09.13 TR/Yatagan.Dll
Authentium 4.93.8 2007.09.13 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 Adware Generic2.PDH
BitDefender 7.2 2007.09.13 Trojan.Downloader.Agent.YNQ
CAT-QuickHeal 9.00 2007.09.13 Trojan.Yatagan.gh
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.14 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.13 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 Application.Win32.AdWare.Agent.NFK
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5119 2007.09.13 -
Microsoft 1.2803 2007.09.13 TrojanDownloader:Win32/Zlob.gen!M
NOD32v2 2529 2007.09.13 Win32/Adware.Agent.NFK
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 -
Prevx1 V2 2007.09.14 Generic.Dropper.xCodec
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 Troj/BHO-DP
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 Trojan Horse
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 Application.Win32.Adware.Agent.NFK
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 Trojan.Yatagan.Dll
weitere Informationen
File size: 172032 bytes
MD5: cedc60891c22378a6fa8de2265ab4d51
SHA1: 8bd70d164a37c75d20f4aee2521606e3ae53253b
Prevx info: NSDUO.DLL, Spyware Remove





Datei msmhost.dll empfangen 2007.09.14 00:20:41 (CET)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.13 -
AntiVir 7.6.0.10 2007.09.13 -
Authentium 4.93.8 2007.09.13 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.14 Adware.Ultimatedefender.AP
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.14 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.13 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5119 2007.09.13 -
Microsoft 1.2803 2007.09.14 Program:Win32/UltimateDefender
NOD32v2 2529 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 Suspicious file
Prevx1 V2 2007.09.14 Generic.Dropper.xCodec
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 -
weitere Informationen
File size: 253952 bytes
MD5: b8e1fa243cf6940ca2e89078a3b9cfcb
SHA1: 0c68d79e2e5d725bca8eabd833ede0d87067763b
Prevx info: MSMHOST.DLL, Prevx

ist das so richtig?
__________________

Geändert von nicki123 (13.09.2007 um 23:33 Uhr)

Alt 13.09.2007, 23:39   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



Ok. Wenn du magst, kannst du schonmal versuchen die beiden Dateien zu löschen. Wenn das nicht klappt, löschen wir diese und andere Dateien später in einem Rutsch.

Wir brauchen noch mehr Details von deinem System. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Blacklight
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.09.2007, 03:56   #5
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



hallo arne,
so ich hoffe ich hab mich jetzt nicht zu doof angestellt. ich splitte jetzt mal alles in verschiedene beiträge sonst stürtzt mir mozilla wieder ab. so viele daten verkraftet der nicht.
hab escan in der richtigen sprache runtergeladen und den forgang 3-4 mal wiederholt und er wollte mir die auswertedatei find.bat nicht runterladen
jetzt hab ich mal die logdatei aus dem fenter von escan kopiert:

Object "alureon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "alureon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "image activex access Trojan" found in File System! Action Taken: No Action Taken.
Object "alureon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "image activex access Trojan" found in File System! Action Taken: No Action Taken.
Object "image activex access Trojan" found in File System! Action Taken: No Action Taken.
Object "alureon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "alureon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "alureon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "net-msv/vps Trojan" found in File System! Action Taken: No Action Taken.
Object "newmediacodec Trojan" found in File System! Action Taken: No Action Taken.
Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "banker.d Worm" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "alureon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\ChinaEffects.DropDirectory.1" refers to invalid object "{B94E7ABE-02FF-0344-A7BB-A49AAAB0DA30}". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken.
Entry "HKCR\SPhoneParser.FoundSkypeNumber" refers to invalid object "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Action Taken: No Action Taken.
Entry "HKCR\SPhoneParser.FoundSkypeNumber.1" refers to invalid object "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Action Taken: No Action Taken.
Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.
Entry "HKCR\System.Microsoft.2" refers to invalid object "{536F6056-D33D-F4AD-E9FC-22C05A975AA7}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\UCMCopy.bat". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\AdobePDF.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{C45F4811-31D5-4786-801D-F79CD06EDD85}\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\OFFICE\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton Internet Security\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton Internet Security\Norton AntiVirus\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Gemeinsame Dateien\Adobe\SING\datastore\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Animate In\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Transitions - Wipes\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Transitions - Movement\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Transitions - Dissolves\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Transform\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Tracking\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Scale\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Rotation\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Organic\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Mechanical\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Fill and Stroke\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Curves and Spins\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Blurs\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Image - Utilities\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Synthetics\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Sound Effects\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Image - Special Effects\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Miscellaneous\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Behaviors\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Backgrounds\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Image - Creative\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Lights and Optical\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Animate Out\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Graphical\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Paths\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Text\Multi-Line\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe After Effects 7.0\Support Files\Presets\Shapes\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\config\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\plugins\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\database\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\database\share\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\content\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\database\data\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\database\data\mysql\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\data\database\share\english\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\plugins\com.adobe.versioncue.tomcat_5.0.19\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Version Cue CS2\plugins\com.adobe.versioncue.tomcat_5.0.19\conf\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Acrobat 7.0\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Adobe Acrobat 7.0\Esl\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rnx". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rp". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rt". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tmp". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".torrent". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "LiveReg". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Magic Bullet Suite 2.0". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-0000-0000-0000-6028747ADE01}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-7AD7-1031-7646-A00000000001}". Action Taken: No Action Taken.
File C:\WINDOWS\msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT262.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT2B9.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT2DF.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT381.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT3E6.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT512.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT577.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT6C7.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT6D9.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT730.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT744.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT262.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT2B9.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT2DF.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT381.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT3E6.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT512.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT577.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT6C7.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT6D9.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT730.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Temp\BIT744.tmp/ac8zt2/msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-3102747477-982074722-1187186918-1006\Dc13.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP14\A0000378.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP14\A0000414.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP15\A0000888.exe tagged as "not-a-virus:FraudTool.Win32.SpywareBot.a". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP15\A0000899.exe//file1 tagged as "not-a-virus:FraudTool.Win32.SpywareBot.a". Action Taken: No Action Taken.
File C:\WINDOWS\msmdev.dll infected by "Trojan-Downloader.Win32.Agent.dag" Virus! Action Taken: No Action Taken.


vielleicht kannst du ja damit was anfangen. ansonsten hat er mir auch noch eine MWAV liste geschrieben -brauchst du die? dann poste ich sie später auch noch.
blacklight hat nichts gefunden und daher existierte auch keine loglist.
ausserdem hab ich vor silentrunner noch threatfire runtergeladen, hat auch nichts gefunden.
.......


Alt 14.09.2007, 04:10   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



Zitat:
vielleicht kannst du ja damit was anfangen.
Jo, ein paar Dateien können wir löschen lassen, mehr dazu gleich.

Zitat:
ansonsten hat er mir auch noch eine MWAV liste geschrieben -brauchst du die? dann poste ich sie später auch noch.
Wenn du nach kompletten Vorgang mit MWAV alles aus dem Virus Log Fenster abkopiert und hier hinein gepostest hast, ist das nicht mehr weiter nötig. Dann müssten wir alle wichtigen Infos schon haben.

Zitat:
blacklight hat nichts gefunden und daher existierte auch keine loglist.
Doch Blacklight erzeugt immer ein Logfile, ist im gleichen Verzeichnis zu finden, von dem es auch aufgerufen wurde. Vermutlich der Desktop. Ist aber ziemlich wurst jetzt, da Blacklight keine hidden items wohl fand.

Zitat:
ausserdem hab ich vor silentrunner noch threatfire runtergeladen, hat auch nichts gefunden.
Threatfire kenn ich nicht, ich bitte dich aber noch die Logs von silentrunners und filelist zu posten.

So und nun zum Löschen der Dateien:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\msmdev.dll
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT262.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT2B9.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT2DF.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT381.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT3E6.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT512.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT577.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT6C7.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT6D9.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT730.tmp
C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT744.tmp
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
Leere bitte auch deine Tempordner und deaktiviere die Systemwiederherstellung.
__________________
--> troyaner auf dem rechner und wahrscheinlich noch mehr.

Alt 14.09.2007, 04:23   #7
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



silent runner wollte sich gar nicht erst runterladen lassen ..da macht sich nur ein internet explorer fenster auf mit nem riesen text - möchtest du den? muss den dann splitten ist zu gross. threatrunner war die datei die sich auf der seite zum downloaden befunden hat.
mann, das ist alles was ich die letzten paar stunden hinbekommen habe
jetzt wollte ich dir gerade meine filelist hochladen und die ist auch zu gross, was genau soll ich da rauskopieren?
tut mir leid dass ich mich so anstelle, ist das erste mal dass ich nen trojaner habe. und filelisten erstelle.
vielen dank für den schnellen post zurück! ich mach mich jetzt mal dran das alles hinzukriegen.
liebe grüsse,
nicki

Alt 14.09.2007, 04:26   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



Zitat:
silent runner wollte sich gar nicht erst runterladen lassen ..da macht sich nur ein internet explorer fenster auf mit nem riesen text - möchtest du den? muss den dann splitten ist zu gross.
Silentrunners ist ein VB-Script (.vbs-Datei) - speicher die aufm Desktop und klick sie doppelt an, also ausführen. Dauert ein Moment, das Logfile schreibt silentrunners auch aum Desktop wenn du es von da ausgeführt hast. Das möchtest du posten.

Zitat:
jetzt wollte ich dir gerade meine filelist hochladen und die ist auch zu gross, was genau soll ich da rauskopieren?
Wie es in meinem Posting stand, poste von den einzelnen Ordnern nur Datein der letzen 30 Tage.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.09.2007, 04:52   #9
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



ok sorry jetzt hab ichs:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"(Default)" = "(empty string)" [file not found]
"Uniblue RegistryBooster 2" = "C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"HWSetup" = "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP" ["TOSHIBA CO.,LTD."]
"Zooming" = "ZoomingHook.exe" ["TOSHIBA"]
"TCtryIOHook" = "TCtrlIOHook.exe" ["TOSHIBA"]
"TPSMain" = "TPSMain.exe" ["TOSHIBA Corporation"]
"Tvs" = "C:\Programme\TOSHIBA\Tvs\TvsTray.exe" ["TOSHIBA Corporation"]
"NDSTray.exe" = "NDSTray.exe" ["TOSHIBA CORPORATION"]
"TFncKy" = "TFncKy.exe" ["TOSHIBA Corporation"]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]
"ThreatFire" = "C:\Programme\ThreatFire\TFTray.exe" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{88418AA3-16F5-4FC2-A9D8-90B1266DF841}\(Default) = (no title provided)
-> {HKLM...CLSID} = "MSVPS System"
\InProcServer32\(Default) = "C:\WINDOWS\nsduo.dll" [empty string]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"msmhost" = "{4A5C02C2-D26A-4F0E-8607-EE401DA6A9FA}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\msmhost.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Nicola Aigner\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Privacy Protection"
"Source" = "file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL" = ""


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Nicola Aigner" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\Nicola Aigner\Startmenü\Programme\Autostart
"Adobe Gamma" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
"RAMASST" -> shortcut to: "C:\WINDOWS\system32\RAMASST.exe" ["Matsushita Electric Industrial Co., Ltd."]


Enabled Scheduled Tasks:
------------------------

"AntiSpywareBot Scheduled Scan" -> launches: "C:\Programme\AntiSpywareBot\AntiSpywareBot.exe scheduled" [file not found]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
"SpywareBot Scheduled Scan" -> launches: "C:\Programme\SpywareBot\SpywareBot.exe scheduled" [file not found]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDetect.exe" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{D0943516-5076-4020-A3B5-AEFAF26AB263}" = "Veoh Browser Plug-in"
-> {HKLM...CLSID} = "Veoh Browser Plug-in"
\InProcServer32\(Default) = "C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll" ["Veoh Networks Inc"]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{670C5F66-0866-4DD7-8A3F-1EDE62C2E8BB}\
"ButtonText" = "eBay"
"Exec" = "C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0\bin\npjpi150.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
ConfigFree Service, CFSvcs, "C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe" ["TOSHIBA CORPORATION"]
DVD-RAM_Service, DVD-RAM_Service, "C:\WINDOWS\system32\DVDRAMSV.exe" ["Matsushita Electric Industrial Co., Ltd."]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"]
PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"]
ThreatFire, ThreatFire, "C:\Programme\ThreatFire\TFService.exe service" ["PC Tools"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "TfKbMon" ["PC Tools"]


---------- (launch time: 2007-09-14 05:50:22)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 52 seconds, including 27 seconds for message boxes)

Alt 14.09.2007, 04:58   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



Ok, ich schaus mir gleich mal an. Konntest du die Dateien mit dem Avenger löschen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.09.2007, 05:09   #11
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



hier die filelist, der tempordner ist einfach zu gross, hab jetzt die letzten drei tage dringelassen - vielleicht verstehe ich das ja schon wieder nicht aber der die dateien für den letzten monat sind einfach zu viele für nen post.
filelist:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\

14.09.2007 03:47 1.609.027.584 hiberfil.sys
14.09.2007 03:47 2.145.386.496 pagefile.sys
14.09.2007 03:26 0 23990098.$$$
11.09.2007 09:48 211 boot.ini

12 Datei(en) 3.754.718.393 Bytes
0 Verzeichnis(se), 26.935.054.336 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\WINDOWS\system32

13.09.2007 06:26 3.002 CONFIG.NT
13.09.2007 06:00 1.158 wpa.dbl
06.09.2007 12:09 801.144 aswBoot.exe
06.09.2007 12:00 95.608 AvastSS.scr
1890 Datei(en) 364.506.950 Bytes
0 Verzeichnis(se), 26.934.927.360 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\WINDOWS\Prefetch

14.09.2007 03:56 14.622 FIND.EXE-0EC32F1E.pf
14.09.2007 03:56 24.026 VERCLSID.EXE-3667BD89.pf
14.09.2007 03:56 16.958 CMD.EXE-087B4001.pf
14.09.2007 03:56 18.780 NOTEPAD.EXE-336351A9.pf
14.09.2007 03:54 17.928 REGSVR32.EXE-25EEFE2F.pf
14.09.2007 03:53 109.458 FIREFOX.EXE-201B1937.pf
14.09.2007 03:52 43.812 AUPDATE.EXE-089630E1.pf
14.09.2007 03:52 78.616 LUCOMS~1.EXE-02DB5950.pf
14.09.2007 03:52 30.150 TFUD.EXE-08D91D7F.pf
14.09.2007 03:49 27.296 WUAUCLT.EXE-399A8E72.pf
14.09.2007 03:48 33.992 WMIPRVSE.EXE-28F301A9.pf
14.09.2007 03:48 16.938 ALG.EXE-0F138680.pf
14.09.2007 03:48 46.854 ASHWEBSV.EXE-091EF0CF.pf
14.09.2007 03:48 48.534 ASHMAISV.EXE-24E25810.pf
14.09.2007 03:48 1.465.748 NTOSBOOT-B00DFAAD.pf
14.09.2007 03:46 39.028 LOGONUI.EXE-0AF22957.pf
14.09.2007 03:43 12.920 TFGUI.EXE-28D90B2B.pf
14.09.2007 03:43 26.898 TFSERVICE.EXE-06F99354.pf
14.09.2007 03:43 18.090 TFTRAY.EXE-2C0F09B9.pf
14.09.2007 03:42 42.526 MSIEXEC.EXE-2F8A8CAE.pf
14.09.2007 03:42 21.532 IS-GMS9S.TMP-0644B532.pf
14.09.2007 03:42 15.548 TFINSTALL.EXE-366F18C3.pf
14.09.2007 03:37 76.656 SKYPEPM.EXE-03F1BFBD.pf
14.09.2007 03:37 13.772 FSBL.EXE-14658CA8.pf
14.09.2007 03:37 6.964 WDFMGR.EXE-2CF4013B.pf
14.09.2007 03:37 19.036 SVCHOST.EXE-3530F672.pf
14.09.2007 03:37 37.240 SDTRAYAPP.EXE-1A2007EF.pf
14.09.2007 02:35 67.466 GOOGLEUPDATER.EXE-36CE3796.pf
14.09.2007 02:35 53.582 RAMASST.EXE-272A2FA9.pf
14.09.2007 02:35 55.960 SKYPE.EXE-21F19BC8.pf
14.09.2007 02:35 36.286 MSMSGS.EXE-32066BA5.pf
14.09.2007 02:35 12.304 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
14.09.2007 02:35 40.126 APNTEX.EXE-2E1C35C0.pf
14.09.2007 02:35 15.300 CTFMON.EXE-0E17969B.pf
14.09.2007 02:21 53.364 SCANNINGPROCESS.EXE-1B01680B.pf
14.09.2007 02:21 26.444 CSCRIPT.EXE-1C26180C.pf
14.09.2007 02:21 100.302 IEXPLORE.EXE-2CA9778D.pf
14.09.2007 02:21 50.640 MEXE.COM-25591BA8.pf
14.09.2007 02:21 18.598 MWAVL.EXE-3B979C5C.pf
14.09.2007 02:20 84.166 MWAV(2).EXE-03D4F9C2.pf
14.09.2007 02:15 51.514 RUNDLL32.EXE-13404D23.pf
14.09.2007 02:15 11.128 GETVLIST.EXE-1328B527.pf
14.09.2007 02:09 87.292 MWAV.EXE-06AD49F5.pf
14.09.2007 01:42 17.722 SETUP_WM.EXE-19AC5A9B.pf
14.09.2007 00:54 21.442 WMPLAYER.EXE-09969338.pf
14.09.2007 00:53 13.050 VLC.EXE-29851A71.pf
14.09.2007 00:36 31.884 ASHSIMPL.EXE-007287FE.pf
14.09.2007 00:35 69.678 ASHAVAST.EXE-0274A551.pf
14.09.2007 00:34 44.150 SWDOCTOR.EXE-13B584DD.pf
14.09.2007 00:34 61.040 UPDATE.EXE-0C3CBDEF.pf
14.09.2007 00:07 23.676 SVCNTAUX.EXE-2857762E.pf
14.09.2007 00:06 14.198 NET.EXE-01A53C2F.pf
14.09.2007 00:06 15.046 NET1.EXE-029B9DB4.pf
14.09.2007 00:06 43.548 SWDSVC.EXE-178874E9.pf
14.09.2007 00:06 24.636 RUNDLL32.EXE-1687FC74.pf
14.09.2007 00:06 13.506 RUNDLL32.EXE-451FC2C0.pf
14.09.2007 00:06 17.432 SDSETUP(6).EXE-152C98D0.pf
14.09.2007 00:06 19.210 IS-30K8J.TMP-244F08C0.pf
14.09.2007 00:06 31.338 IS-6AF71.TMP-07383A7B.pf
13.09.2007 23:00 9.012 LOGON.SCR-151EFAEA.pf
13.09.2007 22:39 42.390 IS-BNF5B.TMP-063235C2.pf
13.09.2007 22:39 22.754 SDSETUP(5).EXE-0943BB1A.pf
13.09.2007 22:38 17.636 _IU14D2N.TMP-0D93EB83.pf
13.09.2007 22:38 17.362 UNINS000.EXE-1121642F.pf
13.09.2007 22:37 22.226 LSETUP.EXE-0537B676.pf
13.09.2007 22:37 8.106 SEVINST.EXE-345130AA.pf
13.09.2007 22:37 24.178 SEVINST.EXE-02E7491A.pf
13.09.2007 22:36 17.682 IDSINST.EXE-063B5EEB.pf
13.09.2007 22:35 20.138 SETUP.OVR-10EB9DE2.pf
13.09.2007 22:32 27.716 WSCRIPT.EXE-32960AB9.pf
13.09.2007 22:32 31.424 IS-BQT1G.TMP-239E47FA.pf
13.09.2007 22:31 13.104 RUNDLL32.EXE-2AE6FCB0.pf
13.09.2007 22:30 18.546 TASKMGR.EXE-20256C55.pf
13.09.2007 22:26 18.942 UNINS000.EXE-1063764D.pf
13.09.2007 22:23 35.130 IS-QMCN6.TMP-1121FB16.pf
13.09.2007 22:23 15.002 SDSETUP(4).EXE-38F5A76B.pf
13.09.2007 22:09 17.650 IS-S718V.TMP-1BFDBAA4.pf
13.09.2007 22:09 15.002 SDSETUP(3).EXE-2022D836.pf
13.09.2007 21:27 19.526 HIJACKTHIS.EXE-0035E635.pf
13.09.2007 21:20 81.006 AVAST.SETUP-2B043760.pf
13.09.2007 21:17 11.844 SC.EXE-012262AF.pf
13.09.2007 21:16 52.700 SPYWAREBOT.EXE-176A52CA.pf
13.09.2007 21:16 20.882 LAUNCHER.EXE-34ADAE1D.pf
13.09.2007 21:16 18.302 IS-4F30M.TMP-368F9DD1.pf
13.09.2007 21:16 15.010 SETUP(2).EXE-054F0524.pf
13.09.2007 21:06 61.138 LUCALLBACKPROXY.EXE-0B5F632D.pf
13.09.2007 15:12 18.182 UNINS000.EXE-21ACA383.pf
13.09.2007 15:05 66.532 THUNDERBIRD.EXE-031A6371.pf
13.09.2007 14:50 22.482 DWWIN.EXE-30875ADC.pf
13.09.2007 14:49 56.084 DUMPREP.EXE-1B46F901.pf
13.09.2007 08:06 65.376 HELPSVC.EXE-2878DDA2.pf
13.09.2007 07:08 101.054 EXPLORER.EXE-082F38A9.pf
13.09.2007 07:08 7.186 EDI.EXE-208A2129.pf
13.09.2007 07:08 9.546 RMV.EXE-170B8323.pf
13.09.2007 06:47 10.640 TVSTRAY.EXE-089980C8.pf
13.09.2007 06:47 12.842 CEEKEY.EXE-1BE0B6E0.pf
13.09.2007 06:47 8.100 ZOOMINGHOOK.EXE-071363C8.pf
13.09.2007 06:47 11.196 TCTRLIOHOOK.EXE-0FD0AAE6.pf
13.09.2007 06:47 11.702 AGRSMMSG.EXE-0034A7F7.pf
13.09.2007 06:47 6.674 HWSETUP.EXE-06B707B7.pf
11.09.2007 22:28 353.720 Layout.ini
101 Datei(en) 4.985.674 Bytes
0 Verzeichnis(se), 26.934.951.936 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\WINDOWS

14.09.2007 03:47 1.705.617 WindowsUpdate.log
14.09.2007 03:47 50 wiaservc.log
14.09.2007 03:47 159 wiadebug.log
14.09.2007 03:47 0 0.log
14.09.2007 03:47 2.048 bootstat.dat
14.09.2007 03:46 32.562 SchedLgU.Txt
14.09.2007 02:46 4.388.993 REGBK00.ZIP
14.09.2007 02:44 50 Lic.xxx
14.09.2007 02:44 499 win.ini
14.09.2007 02:38 91.038 ntbtlog.txt
14.09.2007 02:21 85 dat.txt
14.09.2007 01:42 63.985 wmsetup.log
14.09.2007 00:06 6.022 SpywareDoctor505Installation.log
13.09.2007 22:31 730 SpywareDoctor505Uninstall.log
13.09.2007 13:33 18.250 rs.txt
13.09.2007 06:00 681.254 setupapi.log
11.09.2007 20:30 227 system.ini
10.09.2007 19:39 54.156 QTFont.qfn
08.09.2007 17:21 253.952 msmhost.dll
06.09.2007 20:19 266.240 msmdev.dll
06.09.2007 20:19 172.032 nsduo.dll

221 Datei(en) 69.649.074 Bytes
0 Verzeichnis(se), 26.934.943.744 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\WINDOWS\tasks

14.09.2007 03:55 350 Symantec NetDetect.job
14.09.2007 03:47 6 SA.DAT
13.09.2007 22:34 488 SpywareBot Scheduled Scan.job
13.09.2007 06:48 520 AntiSpywareBot Scheduled Scan.job

6 Datei(en) 1.705 Bytes
0 Verzeichnis(se), 26.934.943.744 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\WINDOWS\temp

14.09.2007 03:47 0 Perflib_Perfdata_780.dat
13.09.2007 22:34 16.384 Perflib_Perfdata_794.dat
13.09.2007 06:46 16.384 Perflib_Perfdata_7f0.dat
08.09.2007 11:47 110 DFC5A2B2.TMP

47 Datei(en) 29.899.321 Bytes
0 Verzeichnis(se), 26.934.943.744 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp

14.09.2007 03:56 114.451 filelist.txt
14.09.2007 03:54 16.384 ~DF2B3.tmp
14.09.2007 03:34 6.874.680 MWAV.LOG
14.09.2007 03:34 247.300 sfdb.dat
14.09.2007 03:26 912.163 MWAVC.LOG
14.09.2007 03:24 32.937 mwXface.log
14.09.2007 02:44 1.605 Download.log
14.09.2007 02:44 496 EUpdate.ini
14.09.2007 02:44 0 success.sem
14.09.2007 02:44 104 IUpdate.ini
14.09.2007 02:44 3.756 avp_ext.set
14.09.2007 02:44 3.756 avp.set
14.09.2007 02:44 2.414 update.txt
14.09.2007 02:44 1.196.695 File2.sdb
14.09.2007 02:44 2.068.159 File1.sdb
14.09.2007 02:44 160.926 Spyware.sdb
14.09.2007 02:44 725.450 Dir.sdb
14.09.2007 02:44 248.454 spydb.old
14.09.2007 02:44 248.454 spydb.avs
14.09.2007 02:44 1.267.280 Cid.sdb
14.09.2007 02:44 822 remove.ini
14.09.2007 02:44 39.099 krn004.avc
14.09.2007 02:44 227 httpsite.txt
14.09.2007 02:44 111 ftpsites.txt
14.09.2007 02:44 23.522 fa001.avc
14.09.2007 02:44 34.142 fa.avc
14.09.2007 02:44 20.357 ext009.avc
14.09.2007 02:44 7.609 ext005c.avc
14.09.2007 02:44 852 dailyc.avc
14.09.2007 02:44 56.962 daily.avc
14.09.2007 02:44 444 daily-ec.avc
14.09.2007 02:44 15.142 base152.avc
14.09.2007 02:44 53.530 base144.avc
14.09.2007 02:44 117.795 base049c.avc
14.09.2007 02:44 49.897 base037c.avc
14.09.2007 02:44 5.726 filelist.lst
14.09.2007 02:26 0 tmp4B2.tmp
14.09.2007 02:26 168 tmp4B2.tmp.bat
14.09.2007 02:15 340 vlist.log
14.09.2007 01:55 626.688 msvcr80.dll
14.09.2007 01:55 548.864 msvcp80.dll
14.09.2007 01:55 241.664 MYDB.DLL
14.09.2007 01:42 12.818 control.xml
13.09.2007 22:37 351.416 SNDUpdater54U.log
13.09.2007 22:37 2.838 SNDunin.log
13.09.2007 22:37 14.594 SYMEVENT.LOG
13.09.2007 22:36 5.039 IDSinst.LOG
13.09.2007 21:44 16.384 ~DF1F4.tmp
13.09.2007 21:35 49.152 ~DF4C97.tmp
13.09.2007 18:14 170 tmp11E7.tmp.bat
13.09.2007 17:20 0 BIT10A7.tmp
13.09.2007 15:19 85.946 BITDD4.tmp
13.09.2007 14:49 49.152 ~DFC09.tmp
13.09.2007 13:18 0 BITAF1.tmp
13.09.2007 13:17 0 BITAF0.tmp
13.09.2007 10:55 50.052 base151.avc
13.09.2007 10:55 27.025 avp.klb
13.09.2007 10:03 50.244 base150.avc
13.09.2007 10:03 49.959 base141.avc
13.09.2007 10:03 46.773 unp001.avc
13.09.2007 10:03 50.325 base012c.avc
13.09.2007 07:15 316 SymSCLiveUpdate.dat
13.09.2007 07:15 82.108 symcprop.dat
13.09.2007 07:12 6.189.804 Norton Internet Security 9-13-2007 7h4m6s.log
13.09.2007 07:11 3.146 LSInstall.log
13.09.2007 07:07 0 BIT78A.tmp
13.09.2007 07:06 0 BIT75D.tmp
13.09.2007 07:05 0 BIT740.tmp
13.09.2007 07:05 124 AVRES_OPTRF_LiveUpdate.dat
13.09.2007 07:05 0 BIT733.tmp
13.09.2007 07:03 0 BIT721.tmp
13.09.2007 07:03 0 BIT71D.tmp
13.09.2007 07:02 388.090 BIT6CD.tmp
13.09.2007 07:00 0 BIT6BF.tmp
13.09.2007 07:00 388.090 BIT6B2.tmp
13.09.2007 06:59 388.090 BIT6AF.tmp
13.09.2007 06:58 0 BIT47D.tmp
13.09.2007 06:57 0 BIT47A.tmp
13.09.2007 06:56 0 BIT45F.tmp
13.09.2007 06:55 0 BIT45C.tmp
13.09.2007 06:54 0 BIT3B3.tmp
13.09.2007 06:51 0 BIT34A.tmp
13.09.2007 06:48 388.090 BIT347.tmp
13.09.2007 06:27 0 BIT718.tmp
13.09.2007 06:26 388.090 BIT70F.tmp
13.09.2007 06:22 0 BIT707.tmp
13.09.2007 06:18 0 BIT6FF.tmp
13.09.2007 06:18 0 BIT6FB.tmp
13.09.2007 06:17 388.090 BIT6F8.tmp
13.09.2007 06:16 0 BIT6EF.tmp
13.09.2007 06:11 0 BIT6EB.tmp
13.09.2007 06:10 0 BIT6E2.tmp
13.09.2007 06:09 0 BIT6DF.tmp
13.09.2007 06:08 0 BIT6DC.tmp
13.09.2007 06:07 0 BIT6D3.tmp
13.09.2007 06:06 0 BIT6D1.tmp
13.09.2007 06:06 388.090 BIT477.tmp
13.09.2007 06:05 0 BIT6C2.tmp
13.09.2007 06:05 0 BIT462.tmp
13.09.2007 06:04 0 BIT6AC.tmp
13.09.2007 06:03 0 BIT6A4.tmp
13.09.2007 06:03 388.090 BIT6A1.tmp
13.09.2007 06:01 0 BIT698.tmp
13.09.2007 06:00 0 BIT695.tmp
13.09.2007 06:00 0 BIT44C.tmp
13.09.2007 06:00 388.090 BIT686.tmp
13.09.2007 05:58 0 BIT682.tmp
13.09.2007 05:57 0 BIT486.tmp
13.09.2007 05:56 0 BIT480.tmp
13.09.2007 05:54 388.090 BIT459.tmp
13.09.2007 05:53 0 BIT455.tmp
13.09.2007 05:52 388.090 BIT452.tmp
13.09.2007 05:51 0 BIT348.tmp
13.09.2007 05:50 0 BIT44F.tmp
13.09.2007 05:49 388.090 BIT43E.tmp
13.09.2007 05:48 388.090 BIT433.tmp
13.09.2007 05:46 0 BIT3B2.tmp
13.09.2007 05:45 0 BIT3AB.tmp
13.09.2007 05:44 0 BIT353.tmp
13.09.2007 05:43 0 BIT350.tmp
13.09.2007 05:42 0 BIT34C.tmp
13.09.2007 05:41 0 BIT349.tmp
13.09.2007 05:39 0 BIT346.tmp
13.09.2007 05:38 0 BIT345.tmp
13.09.2007 05:37 0 BIT344.tmp
13.09.2007 05:36 0 BIT343.tmp
13.09.2007 05:35 0 BIT342.tmp
13.09.2007 05:34 0 BIT341.tmp
13.09.2007 05:33 0 BIT340.tmp
13.09.2007 05:32 0 BIT31D.tmp
13.09.2007 05:31 0 BIT314.tmp
13.09.2007 05:30 0 BIT305.tmp
13.09.2007 05:29 0 BIT303.tmp
13.09.2007 05:28 0 BIT16C.tmp
13.09.2007 05:27 0 BIT14B.tmp
13.09.2007 05:26 0 BITD2.tmp
13.09.2007 05:26 388.090 BITD0.tmp
13.09.2007 05:25 0 BITCF.tmp
13.09.2007 05:24 0 BITC4.tmp
13.09.2007 05:23 0 BITAA.tmp
13.09.2007 05:22 0 BIT431.tmp
13.09.2007 05:21 0 BIT405.tmp
13.09.2007 05:20 319.170 945d_appcompat.txt
13.09.2007 05:18 0 BIT41E.tmp
13.09.2007 05:17 0 BIT41C.tmp
13.09.2007 05:15 0 BIT3EB.tmp
13.09.2007 05:14 0 BIT3AF.tmp
13.09.2007 05:13 0 BIT3AA.tmp
13.09.2007 05:12 0 BIT3A7.tmp
13.09.2007 05:11 0 BIT39F.tmp
13.09.2007 05:10 0 BIT359.tmp
13.09.2007 05:09 0 BIT354.tmp
13.09.2007 05:09 388.090 BIT32B.tmp
13.09.2007 05:08 0 BIT352.tmp
13.09.2007 05:07 0 BIT351.tmp
13.09.2007 05:07 0 BIT325.tmp
13.09.2007 05:06 0 BIT34E.tmp
13.09.2007 05:05 0 BIT34B.tmp
13.09.2007 05:04 0 BIT33E.tmp
13.09.2007 05:03 0 BIT33C.tmp
13.09.2007 05:02 0 BIT33A.tmp
13.09.2007 05:01 0 BIT337.tmp
13.09.2007 05:01 0 BIT331.tmp
13.09.2007 04:59 0 BIT32E.tmp
13.09.2007 04:57 0 BIT328.tmp
13.09.2007 04:55 0 BIT312.tmp
13.09.2007 04:54 0 BIT2FC.tmp
13.09.2007 04:53 0 BIT2F5.tmp
13.09.2007 04:52 0 BIT2EC.tmp
13.09.2007 04:51 0 BIT18B.tmp
13.09.2007 04:50 0 BIT181.tmp
13.09.2007 04:50 0 BIT16E.tmp
13.09.2007 04:48 0 BIT16B.tmp
13.09.2007 04:47 0 BIT152.tmp
13.09.2007 04:47 0 BIT14F.tmp
13.09.2007 04:46 388.090 BIT14E.tmp
13.09.2007 04:44 0 BIT14A.tmp
13.09.2007 04:43 0 BIT13C.tmp
13.09.2007 04:43 388.090 BIT13A.tmp
13.09.2007 04:42 0 BITE8.tmp
13.09.2007 04:41 0 BITE7.tmp
13.09.2007 04:40 0 BITDB.tmp
13.09.2007 04:39 388.090 BITDA.tmp
13.09.2007 04:38 388.090 BITC9.tmp
13.09.2007 04:36 0 BITC1.tmp
13.09.2007 04:35 0 BITBF.tmp
13.09.2007 04:34 0 BITB7.tmp
13.09.2007 04:34 0 BITB6.tmp
13.09.2007 04:33 0 BITB5.tmp
13.09.2007 04:32 98.304 ~DFCD09.tmp
13.09.2007 04:32 0 BITB3.tmp
13.09.2007 04:31 0 BITB2.tmp
13.09.2007 04:29 0 BITA9.tmp
13.09.2007 04:28 0 BITA8.tmp
13.09.2007 04:27 0 BIT95.tmp
13.09.2007 04:26 0 BIT81.tmp
13.09.2007 04:23 0 BIT2EA.tmp
13.09.2007 04:22 0 BIT224.tmp
13.09.2007 04:21 0 BIT222.tmp
13.09.2007 04:20 0 BIT1DB.tmp
13.09.2007 04:19 0 BIT1D7.tmp
13.09.2007 04:18 0 BIT1CA.tmp
13.09.2007 04:17 0 BIT194.tmp
13.09.2007 04:16 0 BIT190.tmp
13.09.2007 04:15 0 BIT18F.tmp
13.09.2007 04:14 0 BIT18D.tmp
13.09.2007 04:13 0 BIT18A.tmp
13.09.2007 04:12 0 BIT17D.tmp
13.09.2007 04:11 0 BIT16D.tmp
13.09.2007 04:10 0 BIT16A.tmp
13.09.2007 04:09 0 BIT164.tmp
13.09.2007 04:08 0 BIT151.tmp
13.09.2007 04:07 0 BIT14D.tmp
13.09.2007 04:06 0 BIT149.tmp
13.09.2007 04:05 0 BIT146.tmp
13.09.2007 04:04 0 BIT13F.tmp
13.09.2007 04:03 0 BIT13D.tmp
13.09.2007 04:02 0 BIT13B.tmp
13.09.2007 04:01 0 BIT139.tmp
13.09.2007 04:00 0 BIT134.tmp
13.09.2007 03:59 0 BIT133.tmp
13.09.2007 03:58 0 BIT12C.tmp
13.09.2007 03:57 0 BIT126.tmp
13.09.2007 03:56 0 BIT124.tmp
13.09.2007 03:55 0 BIT121.tmp
13.09.2007 03:55 388.090 BIT11E.tmp
13.09.2007 03:53 0 BITF8.tmp
13.09.2007 03:52 0 BITE9.tmp
13.09.2007 03:51 0 BITE6.tmp
13.09.2007 03:51 0 BITE5.tmp
13.09.2007 03:50 0 BITE4.tmp
13.09.2007 03:49 0 BITD9.tmp
13.09.2007 03:48 388.090 BITCE.tmp
13.09.2007 03:46 0 BITCB.tmp
13.09.2007 03:45 0 BITCA.tmp
13.09.2007 03:44 0 BITC8.tmp
13.09.2007 03:43 0 BITC7.tmp
13.09.2007 03:42 0 BITC6.tmp
13.09.2007 03:41 0 BITC3.tmp
13.09.2007 03:40 0 BITC2.tmp
13.09.2007 03:39 0 BITC0.tmp
13.09.2007 03:38 0 BITBD.tmp
13.09.2007 03:37 0 BITB1.tmp
13.09.2007 03:36 0 BITAF.tmp
13.09.2007 03:35 0 BITAD.tmp
13.09.2007 03:34 0 BITA7.tmp
13.09.2007 03:33 0 BIT9C.tmp
13.09.2007 03:32 0 BIT9A.tmp
13.09.2007 03:31 0 BIT99.tmp
13.09.2007 03:30 0 BIT94.tmp
13.09.2007 03:29 0 BIT8B.tmp
13.09.2007 03:28 0 BIT8A.tmp
13.09.2007 03:27 0 BIT83.tmp
13.09.2007 03:26 0 BIT82.tmp
13.09.2007 03:25 0 BIT80.tmp
13.09.2007 03:24 0 BIT79.tmp
13.09.2007 03:23 0 BIT75.tmp
13.09.2007 03:22 0 BIT74.tmp
13.09.2007 03:21 0 BIT72.tmp
13.09.2007 03:20 0 BIT67.tmp

2695 Datei(en) 141.061.737 Bytes
0 Verzeichnis(se), 26.934.796.288 Bytes frei

soll ich die 0 bit ordner rauslöschen und nochmal posten? weiss nicht ob das irgendeine bedeutung hat, dass der temp ordner so vollgestopft ist.
lg

Alt 14.09.2007, 05:17   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



Hmm..ich befürchte das filelist kannste knicken, mach das bitte nochmal aber diesmal mit diesem script - das ist ein von mir modifiziertes filelist-script. Speicher es auf dme Desktop ab (ist eine cmd-Datei) und klick es doppelt an. Es öffnet sich dann die listing.txt im Editor, diese listing-Datei sollte aber auch aufm Desktop liegen. Schick mir diese listing.txt per E-Mail bitte (die ist fürs TB zu groß).

=> Mail an cosinus
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.09.2007, 05:27   #13
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



also, hier der tex aus dem avenger script.
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nteclmti

*******************

Script file located at: \??\C:\xneddsku.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\msmdev.dll deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT262.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT2B9.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT2DF.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT381.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT3E6.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT512.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT577.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT6C7.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT6D9.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT730.tmp deleted successfully.
File C:\DOKUME~1\NICOLA~1\LOKALE~1\Temp\BIT744.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hab gerade temp ordner gelöscht und plop kommen wieder die fehlermeldungen und the ac8zt2 order is BACK AGAIN -KOTZ-

ausserdem gibt mir alert die warnung dass edi.exe sich aufmachen möchte - ist das dein script, soll ich das zulassen?
hab jetzt erst die systemwiederherstellung blockiert und mach nochmal nen avenger run

Alt 14.09.2007, 05:28   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



Ja kannst du zulassen.
Schick mir die listing.txt per Mail.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.09.2007, 06:08   #15
nicki123
 
troyaner auf dem rechner und wahrscheinlich noch mehr. - Standard

troyaner auf dem rechner und wahrscheinlich noch mehr.



hab gerade nochmal den spyware doctor laufen lassen, adware.agent ist immernoch da! so wie advetisement.agent - was mir egal wär der sieht nicht weiter gefährlich aus.
hast du meine email bekommen?

Antwort

Themen zu troyaner auf dem rechner und wahrscheinlich noch mehr.
adobe, antivirus, avast!, bho, browser, c:\windows\system32\cmd.exe, computer, desktop, drivers, ebay, einstellungen, google, heulen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, karte, kreditkarte, monitor, mozilla, mozilla thunderbird, privacy protection, programm, s-1-5-18, security, software, symantec, system, trend micro, trojaner, warnung, windows, windows xp



Ähnliche Themen: troyaner auf dem rechner und wahrscheinlich noch mehr.


  1. Interpol hat zugeschlagen! Interpol Troyaner/Virus legt Rechner Lahm!
    Log-Analyse und Auswertung - 30.03.2014 (7)
  2. fbdownloader auf dem PC und wahrscheinlich noch anders Zeug. Werde ihn nicht los!
    Plagegeister aller Art und deren Bekämpfung - 23.12.2013 (9)
  3. Pc Performer läßt sich nicht deinstallieren. Eventuell noch mehr Malware oder Viren auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 31.10.2013 (14)
  4. Wahrscheinlich der GVU-Virus, es kommt nur noch ein weißer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 27.07.2013 (3)
  5. kein WLAN über Fritzbox 3270 mehr, wahrscheinlich durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.07.2013 (11)
  6. Netzwerkproblem mit Windows7 - Rechner erkennt die anderen Rechner im Netz nicht mehr
    Alles rund um Windows - 19.04.2013 (0)
  7. GVU Troyaner trotz Durchlauf Kaspersky Rescue CD noch da
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (25)
  8. Laptop sehr langsam / sehr wahrscheinlich verseucht / Anti Viren Programme updaten nicht mehr
    Log-Analyse und Auswertung - 05.02.2013 (9)
  9. GVU-Virus, Rechner als Standardnutzer nicht mehr nutzbar, Rechner funktioniert nur als Admin oder im Abgesicherten Modus als Standardnutzer
    Log-Analyse und Auswertung - 22.01.2013 (31)
  10. mahmud.exe, wahrscheinlich noch mehr...
    Log-Analyse und Auswertung - 08.12.2011 (12)
  11. XP REchner: kann nicht erkennen, ob ich immer noch Trojaner auf meinem Rechner habe
    Plagegeister aller Art und deren Bekämpfung - 13.09.2011 (43)
  12. Wahrscheinlich virus Kein Internetverbindung mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 11.06.2010 (0)
  13. Rechner befallen von Trojanern (wahrscheinlich ihaupd32.exe)
    Plagegeister aller Art und deren Bekämpfung - 02.04.2010 (8)
  14. dropper.gen und wahrscheinlich mehr, bitte log auswerten
    Log-Analyse und Auswertung - 11.02.2010 (3)
  15. Vista atartet nicht mehr wahrscheinlich Virus
    Plagegeister aller Art und deren Bekämpfung - 04.08.2009 (1)
  16. Troyaner TR/Agent.kro auf dem Rechner
    Log-Analyse und Auswertung - 28.04.2008 (8)
  17. Wahrscheinlich verseuchter Rechner...
    Log-Analyse und Auswertung - 27.06.2006 (5)

Zum Thema troyaner auf dem rechner und wahrscheinlich noch mehr. - wie gesagt ein trojaner ist sicher drauf, was inzwischen noch alles da ist weiss ich nicht, mein syware doctor findet: rogue.antispyware.ultimate_defender adware.agent.bn adware advertising adware.component.generic mein desktop ist inzwischen rot - troyaner auf dem rechner und wahrscheinlich noch mehr....
Archiv
Du betrachtest: troyaner auf dem rechner und wahrscheinlich noch mehr. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.