Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: trojan.killAV

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.09.2007, 14:51   #1
visore
 
trojan.killAV - Standard

trojan.killAV



Hi all,
ich hab mir wohl nen harten trojaner reingeholt. der name steht oben.

dazu kommt noch das ich systemsteuerung nicht mehr habe, auf software nicht mehr zugreifen kann etc.

Von google habe ich erfahren:

Trojan.KillAV.E ist ein weiterer aktueller Trojaner, der Schutzprogramme beendet, ein Browser Helper Object (BHO) installiert, um Porno-Dialer unbemerkt zu installieren und läd und installiert danach einen Keylogger, um Daten von Online-Banking Accounts oder anderen Accounts im Finanz-Bereich zu stehlen.

mein HijackThis file:

Logfile of HijackThis v1.99.1
Scan saved at 14:47:16, on 24.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
J:\WINDOWS\system32\spoolsv.exe
J:\WINDOWS\Explorer.exe
J:\WINDOWS\system32\printer.exe
J:\WINDOWS\ALCWZRD.EXE
J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
J:\WINDOWS\gtwatch.exe
J:\WINDOWS\system32\RunDLL32.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
J:\Programme\FRITZ!DSL\StCenter.exe
J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\slserv.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
J:\Programme\Spybot - Search & Destroy\SpybotSD.exe
J:\Programme\Internet Explorer\IEXPLORE.EXE
J:\DOKUME~1\Daniela\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe J:\WINDOWS\system32\printer.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - j:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [osCheck] "J:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [Gtwatch] J:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinAVX] J:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Run: [ccApp] J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKCU\..\Run: [swg] J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WinAVX] J:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] J:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = J:\Programme\FRITZ!DSL\StCenter.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - J:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs: systems.txt
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - J:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - J:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - J:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - J:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe


ich danke im vorraus und hoffe ihr könnt mir weiterhelfen.

mfg
visore

Alt 24.09.2007, 15:25   #2
BataAlexander
> MalwareDB
 
trojan.killAV - Standard

trojan.killAV



Deaktivere den Tea Timer

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Führe ein Java Update durch! Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!
__________________

__________________

Alt 24.09.2007, 16:32   #3
visore
 
trojan.killAV - Standard

trojan.killAV



danke erstma für deine schnelle antwort.
hier ist der rapport


SmitFraudFix v2.227

Scan done at 16:25:30,98, 24.09.2007
Run from J:\Dokumente und Einstellungen\Daniela\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

J:\WINDOWS\system32\printer.exe Deleted
J:\WINDOWS\system32\WinAvXX.exe Deleted
J:\DOKUME~1\Daniela\STARTM~1\PROGRA~1\AUTOST~1\system.exe Deleted
J:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\autorun.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B507FFD3-3819-4DA3-A383-907EF1914230}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B507FFD3-3819-4DA3-A383-907EF1914230}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B507FFD3-3819-4DA3-A383-907EF1914230}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


mfg
visore
__________________

Alt 24.09.2007, 17:32   #4
BataAlexander
> MalwareDB
 
trojan.killAV - Standard

trojan.killAV



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 25.09.2007, 14:04   #5
visore
 
trojan.killAV - Standard

trojan.killAV



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:35, on 25.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
J:\WINDOWS\Explorer.exe
J:\WINDOWS\system32\spoolsv.exe
J:\WINDOWS\system32\printer.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
J:\WINDOWS\system32\RunDLL32.exe
J:\WINDOWS\gtwatch.exe
J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
J:\WINDOWS\ALCWZRD.EXE
J:\Programme\Java\jre1.6.0_02\bin\jusched.exe
J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
J:\Programme\FRITZ!DSL\StCenter.exe
J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\slserv.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Internet Explorer\IEXPLORE.EXE
J:\WINDOWS\system32\wuauclt.exe
J:\Dokumente und Einstellungen\Daniela\Desktop\This.com.exe

F2 - REG:system.ini: Shell=Explorer.exe J:\WINDOWS\system32\printer.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - j:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ccApp] J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gtwatch] J:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [osCheck] "J:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WinAVX] J:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [swg] J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WinAVX] J:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: system.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: system.exe (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = J:\Programme\FRITZ!DSL\StCenter.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - J:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - J:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - J:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - J:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - J:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 6426 bytes


aber den log hab ich ja oben schon gepostet.
gestern konnte ich auf systemsteurung zugreifen nachdem ich das mit smitfraud gemacht hab jetz kommt wieder der fehler: dieser vorgang wurde aufgrund von Einschärnkungen abgebrochen, die für diesen Computer gelten. Wenden sie sich an den System administrator

es kommt auch immer eine meldung:
Windows Security Alert

Warning! Potential Spyware Operation!

Your Computer is making unauthorized copies of your system and internet files. Run fukk scan now to pervent any unathorised access to your files! Click yes to download spyware remover ...


Alt 25.09.2007, 14:41   #6
BataAlexander
> MalwareDB
 
trojan.killAV - Standard

trojan.killAV



Der Schädling wurde zwischenzeilich von Smitfraudfix gelöscht.
Nun ist er wieder da. Du musst irgendwas gemacht haben (Webseite besucht, ein Programm installiert/benuzt haben das den Schädling mitbringt)

Daher:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl
__________________
--> trojan.killAV

Alt 25.09.2007, 14:47   #7
visore
 
trojan.killAV - Standard

trojan.killAV



ok hoffe es ist richtig

Verzeichnis von J:\

25.09.2007 13:59 2.145.386.496 pagefile.sys
24.09.2007 16:28 2.489 rapport.txt
24.09.2007 16:27 2.523 rapport2.txt
01.09.2007 16:40 210 boot.ini

Verzeichnis von J:\WINDOWS\system32

24.09.2007 16:34 5.214 jupdate-1.6.0_02-b06.log
24.09.2007 16:27 1.796 tmp.reg
24.09.2007 16:27 0 tmp.txt
24.09.2007 08:35 63.804 nvapps.xml
23.09.2007 14:09 7.680 WinAvXX.exe
23.09.2007 12:18 2.206 wpa.dbl
21.09.2007 12:03 60.800 S32EVNT1.DLL
06.09.2007 04:50 17.474.680 MRT.exe
06.09.2007 00:22 289.144 VCCLSID.exe
04.09.2007 19:11 146.650 BuzzingBee.wav
04.09.2007 19:11 940.794 LoopyMusic.wav
01.09.2007 19:47 664 d3d9caps.dat
01.09.2007 18:21 90.296 FNTCACHE.DAT
01.09.2007 18:08 128.914 TZLog.log
01.09.2007 15:49 0 h323log.txt
01.09.2007 15:25 63.778 perfc007.dat
01.09.2007 15:25 391.330 perfh007.dat
01.09.2007 15:25 52.900 perfc009.dat
01.09.2007 15:25 380.486 perfh009.dat
01.09.2007 15:25 897.954 PerfStringBackup.INI
01.09.2007 15:22 23.392 nscompat.tlb
01.09.2007 15:22 16.832 amcompat.tlb
01.09.2007 15:08 237 $winnt$.inf
01.09.2007 15:01 488 WindowsLogon.manifest
01.09.2007 15:01 488 logonui.exe.manifest
01.09.2007 15:01 749 nwc.cpl.manifest
01.09.2007 15:01 749 sapi.cpl.manifest
01.09.2007 15:01 749 cdplayer.exe.manifest
01.09.2007 15:01 749 wuaucpl.cpl.manifest
01.09.2007 15:01 749 ncpa.cpl.manifest
01.09.2007 14:59 21.740 emptyregdb.dat


Verzeichnis von J:\WINDOWS\Prefetch

25.09.2007 14:42 13.906 VERCLSID.EXE-3667BD89.pf
25.09.2007 14:38 11.870 RUNDLL32.EXE-43B094A7.pf
25.09.2007 14:38 79.522 IEXPLORE.EXE-2CA9778D.pf
25.09.2007 14:37 68.420 COH32.EXE-1453A4B6.pf
25.09.2007 14:35 12.194 RUNDLL32.EXE-132BCEDF.pf
25.09.2007 14:35 17.128 TASKMGR.EXE-20256C55.pf
25.09.2007 14:35 57.314 NAVW32.EXE-20C61389.pf
25.09.2007 14:34 76.152 MCUI32.EXE-316ABBA2.pf
25.09.2007 14:32 30.384 SSAUTORN.EXE-26BC4D68.pf
25.09.2007 14:31 69.274 LUCALLBACKPROXY.EXE-0B5F632D.pf
25.09.2007 14:30 47.648 LUCOMS~1.EXE-02DB5950.pf
25.09.2007 14:30 53.894 LUALL.EXE-0DE1F33B.pf
25.09.2007 14:13 29.612 WMIPRVSE.EXE-28F301A9.pf
25.09.2007 14:12 30.890 AUPDATE.EXE-089630E1.pf
25.09.2007 14:10 13.590 SYMLCSVC.EXE-04DC2DC5.pf
25.09.2007 14:10 15.794 SYMLCSV1.EXE-1545B301.pf
25.09.2007 14:01 27.102 WUAUCLT.EXE-399A8E72.pf
25.09.2007 14:01 1.101.530 NTOSBOOT-B00DFAAD.pf
25.09.2007 09:05 84.836 NAVSTUB.EXE-11EA4FE9.pf
25.09.2007 09:00 17.108 RUNDLL32.EXE-257AD62C.pf
25.09.2007 09:00 67.934 WINLOGON.EXE-32C57D49.pf
25.09.2007 09:00 36.052 CSRSS.EXE-12B63473.pf
25.09.2007 08:59 36.062 CONTROL.EXE-013DBFB5.pf
25.09.2007 08:59 13.102 RUNDLL32.EXE-1223DA8D.pf
25.09.2007 08:59 17.064 IMAPI.EXE-0BF740A4.pf
25.09.2007 08:59 21.892 RUNDLL32.EXE-3DE1952F.pf
25.09.2007 08:59 72.502 CCAPP.EXE-2EA3695D.pf
25.09.2007 08:59 13.612 STCENTER.EXE-2DCE9FDD.pf
25.09.2007 08:59 14.508 WINAVXX.EXE-050EF48B.pf
25.09.2007 08:59 114.766 EXPLORER.EXE-082F38A9.pf
25.09.2007 08:59 26.720 USERINIT.EXE-30B18140.pf
25.09.2007 08:59 17.010 PIFSVC.EXE-29FA40EF.pf
25.09.2007 08:59 7.966 SYSTEM.EXE-00508A24.pf
25.09.2007 08:59 15.340 PRINTER.EXE-0E099EB1.pf
25.09.2007 08:59 46.456 LOGONUI.EXE-0AF22957.pf
24.09.2007 20:11 15.384 RUNDLL32.EXE-2A94BB85.pf
24.09.2007 20:11 15.528 RUNDLL32.EXE-2E5AF1D7.pf
24.09.2007 19:19 13.030 SYMLCSV1.EXE-338E8C34.pf
24.09.2007 19:09 43.606 MARINESHARPSHOOTER3.EXE-17B76A97.pf
24.09.2007 16:34 73.534 MSIEXEC.EXE-2F8A8CAE.pf
24.09.2007 15:05 14.132 REGEDIT.EXE-1B606482.pf
24.09.2007 14:58 54.486 DUMPREP.EXE-1B46F901.pf
24.09.2007 14:32 25.956 REGSVR32.EXE-25EEFE2F.pf
24.09.2007 09:26 18.250 ALCWZRD.EXE-17389FC3.pf
24.09.2007 09:26 7.352 GTWATCH.EXE-109BEB81.pf
24.09.2007 09:26 8.464 E_FATIAAE.EXE-034DE4DC.pf
24.09.2007 09:26 11.744 AUTORUN.EXE-1876A85F.pf
24.09.2007 09:26 11.972 HDAUDPROPSHORTCUT.EXE-368919FF.pf
24.09.2007 09:20 37.614 WMPLAYER.EXE-09969333.pf
24.09.2007 09:19 12.304 CB.EXE-2A89850D.pf
24.09.2007 09:19 12.148 RUNDLL32.EXE-451FC2C0.pf
24.09.2007 09:17 60.542 RSTRUI.EXE-03C49A96.pf
24.09.2007 09:15 12.466 _IU14D2N.TMP-1CEF4247.pf
24.09.2007 09:15 15.932 UNINS000.EXE-2CE9D0B9.pf
24.09.2007 09:14 20.344 UISTUB.EXE-303C717B.pf
24.09.2007 09:12 12.316 STARTUPMONITOR.EXE-2BFB346E.pf
24.09.2007 09:12 43.882 STARTUPSOFTWARE.EXE-10373559.pf
24.09.2007 09:11 23.242 NWIZ.EXE-2D0F9FBC.pf
24.09.2007 09:06 66.662 MIGWIZ.EXE-3B47BF81.pf
24.09.2007 08:54 17.554 IS-3QJDH.TMP-17FF347D.pf
24.09.2007 08:54 11.916 ARRANGESTARTUP.EXE-2CFB9D1A.pf
24.09.2007 08:50 27.634 RUNDLL32.EXE-3D0A2966.pf
24.09.2007 08:49 27.122 RUNDLL32.EXE-3E9D6DDC.pf
23.09.2007 20:07 28.338 RUNDLL32.EXE-1B8FEC44.pf
23.09.2007 19:56 26.350 RUNDLL32.EXE-2D747668.pf
23.09.2007 19:56 26.350 RUNDLL32.EXE-34E26325.pf
23.09.2007 19:56 94.094 RUNDLL32.EXE-36AB48F1.pf
23.09.2007 19:56 40.920 RUNDLL32.EXE-2F244C43.pf
23.09.2007 19:55 32.866 RUNDLL32.EXE-4BF6A014.pf
23.09.2007 19:55 33.304 RUNDLL32.EXE-161A9612.pf
23.09.2007 19:29 16.230 RUNDLL32.EXE-31610E45.pf
23.09.2007 17:49 15.344 RUNDLL32.EXE-2B3D5D03.pf
23.09.2007 17:41 10.630 SOUNDMAN.EXE-19745A34.pf
23.09.2007 17:41 18.576 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
23.09.2007 17:41 10.100 JUSCHED.EXE-046A821E.pf
23.09.2007 15:55 13.596 ALCMTR.EXE-235F9538.pf
23.09.2007 15:54 17.572 RUNDLL32.EXE-40374733.pf
23.09.2007 15:54 6.160 NEROCHECK.EXE-092C6DFA.pf
23.09.2007 15:26 34.342 DFRGNTFS.EXE-269967DF.pf
23.09.2007 15:26 30.832 MMC.EXE-087543CF.pf
23.09.2007 15:07 15.530 CLEANMGR.EXE-1F86EA8E.pf
23.09.2007 14:09 9.410 WN227.EXE-1A1C25D2.pf
23.09.2007 14:00 42.284 ACRORD32.EXE-0D601CD4.pf
23.09.2007 13:48 53.052 RUNDLL32.EXE-249665FD.pf
23.09.2007 13:46 16.468 DEFRAG.EXE-273F131E.pf
23.09.2007 13:46 367.676 Layout.ini
23.09.2007 13:41 7.034 LOGON.SCR-151EFAEA.pf
23.09.2007 13:32 51.082 RUNDLL32.EXE-3B908283.pf
23.09.2007 13:32 52.420 RUNDLL32.EXE-12F56ED7.pf
23.09.2007 12:18 21.604 HELPSVC.EXE-2878DDA2.pf
23.09.2007 12:18 61.614 HELPCTR.EXE-3862B6F5.pf
23.09.2007 12:18 17.654 MSINFO32.EXE-20B2F2A1.pf
23.09.2007 09:18 61.018 WMPLAYER.EXE-0996933C.pf
22.09.2007 11:32 25.408 YUPDATER.EXE-054783A4.pf
22.09.2007 11:32 75.950 YAHOOMESSENGER.EXE-0CCD5478.pf
21.09.2007 19:17 30.964 LUPRODRG.EXE-2205332A.pf
21.09.2007 19:17 28.586 FWCFG.EXE-3AD3EDEE.pf
21.09.2007 12:04 35.862 COHUPDT.EXE-1CB4E8D8.pf
21.09.2007 12:04 48.010 COHUPDT.EXE-1B210BE3.pf
21.09.2007 12:04 32.402 LUPRODRG.EXE-05B0E271.pf
21.09.2007 12:04 9.426 DLAYUPDT.EXE-00ECDECA.pf
21.09.2007 12:04 4.962 STRIPR~1.EXE-319E25DC.pf
21.09.2007 12:03 40.548 SEVINST.EXE-02E7491A.pf
21.09.2007 12:02 22.232 SETUP.EXE-00AE9042.pf
21.09.2007 11:59 16.366 E_FARNAAE.EXE-0B452111.pf
21.09.2007 11:59 18.200 E_FAMTAAE.EXE-0CD55C71.pf
21.09.2007 11:53 62.474 ALUNOTIFY.EXE-3405B5FF.pf
21.09.2007 11:53 19.984 NOTIFYHA.EXE-325F83EB.pf
21.09.2007 11:53 43.356 RUNDLL32.EXE-3AB184A2.pf
21.09.2007 06:42 13.686 SPIDER.EXE-2D998CA6.pf
21.09.2007 06:41 16.132 MOBSYNC.EXE-173EDCEF.pf
21.09.2007 06:39 24.748 SLEDGEGAME.EXE-2874603C.pf
21.09.2007 06:37 19.046 CRUSH'EM.EXE-003CE8B6.pf
21.09.2007 06:37 38.738 YMSGR_TRAY.EXE-03863732.pf
21.09.2007 06:31 16.734 ALG.EXE-0F138680.pf
21.09.2007 06:31 6.952 WDFMGR.EXE-2CF4013B.pf
21.09.2007 06:31 18.316 SVCHOST.EXE-3530F672.pf
21.09.2007 06:31 3.770 SLSERV.EXE-1E8DF9A3.pf
21.09.2007 06:31 5.432 NVSVC32.EXE-1F9EED18.pf
21.09.2007 06:31 19.386 CCSVCHST.EXE-33FAFF2F.pf
21.09.2007 06:31 19.940 IGDCTRL.EXE-027ED68D.pf
21.09.2007 06:31 32.368 ALUSCHEDULERSVC.EXE-1D8A3E40.pf
19.09.2007 19:33 13.760 SETUP.EXE-0F40F254.pf
19.09.2007 19:33 14.974 IS-K2DK4.TMP-19C78629.pf
19.09.2007 19:23 13.990 OSCHECK.EXE-0057FF98.pf
19.09.2007 19:00 24.372 DWWIN.EXE-30875ADC.pf
19.09.2007 18:42 11.330 RUNDLL32.EXE-268BFF96.pf
16.09.2007 09:36 65.802 YAKUZA.EXE-3A7A844F.pf
13.09.2007 18:48 21.394 RUNONCE.EXE-2803F297.pf
12.09.2007 19:31 63.376 CYB01.EXE-03881D50.pf

Verzeichnis von J:\WINDOWS

25.09.2007 14:00 0 0.log
25.09.2007 14:00 1.807.358 WindowsUpdate.log
25.09.2007 14:00 159 wiadebug.log
25.09.2007 14:00 50 wiaservc.log
25.09.2007 13:59 2.048 bootstat.dat
25.09.2007 09:07 17.244 SchedLgU.Txt
24.09.2007 16:35 745.087 setupapi.log
24.09.2007 16:27 113.580 ntbtlog.txt
24.09.2007 16:25 208.662 setupact.log
24.09.2007 16:22 477 win.ini
24.09.2007 16:22 227 system.ini
19.09.2007 18:16 116 NeroDigital.ini
13.09.2007 19:05 378 wmsetup10.log
13.09.2007 19:05 50.886 wmsetup.log
07.09.2007 14:03 994 DirectX.log
06.09.2007 17:56 73.728 ALCFDRTM.VER
04.09.2007 19:11 73.728 ALCFDRTM.EXE
04.09.2007 12:01 492 MAXLINK.INI
04.09.2007 11:58 0 WATCH.INI
01.09.2007 20:14 97.818 iis6.log
01.09.2007 20:14 241.867 tsoc.log
01.09.2007 20:14 126.741 ntdtcsetup.log
01.09.2007 20:14 211.664 comsetup.log
01.09.2007 20:14 1.355 imsins.log
01.09.2007 20:14 33.717 ocmsn.log
01.09.2007 20:14 8.372 KB927891.log
01.09.2007 20:14 303.369 ocgen.log
01.09.2007 20:14 31.462 msgsocm.log
01.09.2007 20:14 626.853 FaxSetup.log
01.09.2007 20:14 31.032 updspapi.log
01.09.2007 19:52 748 unins000.dat
01.09.2007 19:52 673.546 unins000.exe
01.09.2007 18:49 1.174 OEWABLog.txt
01.09.2007 18:21 923 spupdsvc.log
01.09.2007 18:19 1.355 imsins.BAK
01.09.2007 18:19 54.490 KB899587.log
01.09.2007 18:19 55.146 KB927779.log
01.09.2007 18:19 50.937 KB927802.log
01.09.2007 18:19 52.010 KB922819.log
01.09.2007 18:19 48.454 KB923414.log
01.09.2007 18:18 52.485 KB928255.log
01.09.2007 18:18 42.064 KB931784.log
01.09.2007 18:18 49.404 KB911927.log
01.09.2007 18:18 47.609 KB901017.log
01.09.2007 18:18 48.325 KB899591.log
01.09.2007 18:17 47.282 KB920685.log
01.09.2007 18:17 49.398 KB893756.log
01.09.2007 18:17 40.577 KB923980.log
01.09.2007 18:17 48.878 KB911280.log
01.09.2007 18:17 47.921 KB936021.log
01.09.2007 18:17 48.774 KB911562.log
01.09.2007 18:16 46.622 KB938828.log
01.09.2007 18:16 45.476 KB924667.log
01.09.2007 18:16 49.064 KB896423.log
01.09.2007 18:16 48.100 KB900485.log
01.09.2007 18:16 39.016 KB924270.log
01.09.2007 18:16 45.756 KB931261.log
01.09.2007 18:16 37.304 KB924496.log
01.09.2007 18:15 46.158 KB936357.log
01.09.2007 18:15 37.552 KB921503.log
01.09.2007 18:15 44.164 KB887472.log
01.09.2007 18:15 46.973 KB938829.log
01.09.2007 18:15 44.685 KB896358.log
01.09.2007 18:15 37.136 KB925398.log
01.09.2007 18:14 37.841 KB910437.log
01.09.2007 18:14 35.585 KB911564.log
01.09.2007 18:14 47.468 KB925902.log
01.09.2007 18:14 45.421 KB929123.log
01.09.2007 18:13 36.313 KB920670.log
01.09.2007 18:13 43.441 KB891781.log
01.09.2007 18:13 36.615 KB918439.log
01.09.2007 18:13 48.681 KB902400.log
01.09.2007 18:11 35.985 KB890046.log
01.09.2007 18:11 37.858 KB926436.log
01.09.2007 18:11 32.792 KB920872.log
01.09.2007 18:11 42.912 KB930178.log
01.09.2007 18:11 31.632 KB919007.log
01.09.2007 18:10 38.404 KB914388.log
01.09.2007 18:10 37.163 KB917344.log
01.09.2007 18:10 36.707 KB905414.log
01.09.2007 18:10 41.329 KB917953.log
01.09.2007 18:10 37.930 KB932168.log
01.09.2007 18:10 34.438 KB901214.log
01.09.2007 18:10 34.226 KB923191.log
01.09.2007 18:10 29.370 KB922582.log
01.09.2007 18:09 27.267 KB918118.log
01.09.2007 18:09 32.114 KB926255.log
01.09.2007 18:09 30.754 KB888302.log
01.09.2007 18:09 36.427 KB900725.log
01.09.2007 18:09 89.604 KB937143.log
01.09.2007 18:09 54.909 KB908531.log
01.09.2007 18:08 23.604 KB938127.log
01.09.2007 18:08 24.099 KB920213.log
01.09.2007 18:08 38.806 KB933360.log
01.09.2007 18:08 28.751 KB935840.log
01.09.2007 18:08 22.170 KB916595.log
01.09.2007 18:08 28.574 KB930916.log
01.09.2007 18:08 22.271 KB904706.log
01.09.2007 18:07 26.888 KB905749.log
01.09.2007 18:07 20.628 KB923689.log
01.09.2007 18:07 22.203 KB913580.log
01.09.2007 18:06 20.573 KB896428.log
01.09.2007 18:06 16.566 KB935839.log
01.09.2007 18:06 22.542 KB894391.log
01.09.2007 18:06 14.468 KB908519.log
01.09.2007 18:06 19.973 KB920683.log
01.09.2007 18:06 14.087 KB914389.log
01.09.2007 18:05 27.785 KB890859.log
01.09.2007 18:05 8.468 KB936782.log
01.09.2007 18:05 16.753 KB928843.log
01.09.2007 17:45 8.121 KB898461.log
01.09.2007 17:30 8.976 KB893803v2.log
01.09.2007 17:22 248 accessdll.log
01.09.2007 17:20 105 avmsysnet.log
01.09.2007 17:20 1.474 avmadd32.log
01.09.2007 17:07 112.738 EPSTPLOG.TXT
01.09.2007 17:07 31 EPSMTL32.TXT
01.09.2007 17:07 25 CDED68PE.ini
01.09.2007 17:04 1.115 epsswt_log.txt
01.09.2007 16:02 1.529 wizard.log
01.09.2007 15:46 0 Sti_Trace.log
01.09.2007 15:43 1.348 regopt.log
01.09.2007 15:40 0 setuperr.log
01.09.2007 15:26 3.937 wizard.log_20070901_16_02_53
01.09.2007 15:22 1.452 COM+.log
01.09.2007 15:22 316.640 WMSysPr9.prx
01.09.2007 15:21 13.229 KB888111.log
01.09.2007 15:21 13.743 KB887797.log
01.09.2007 15:21 13.196 KB887742.log
01.09.2007 15:21 11.630 KB886677.log
01.09.2007 15:20 12.903 KB886185.log
01.09.2007 15:20 12.697 KB885894.log
01.09.2007 15:20 10.389 KB885836.log
01.09.2007 15:20 11.162 KB885835.log
01.09.2007 15:20 11.019 KB885523.log
01.09.2007 15:19 8.566 KB884868.log
01.09.2007 15:19 8.623 KB884575.log
01.09.2007 15:19 8.557 KB884020.log
01.09.2007 15:19 8.266 KB884018.log
01.09.2007 15:19 7.734 KB883667.log
01.09.2007 15:18 7.243 KB883529.log
01.09.2007 15:18 6.884 KB883517.log
01.09.2007 15:18 8.182 KB873339.log
01.09.2007 15:18 8.864 KB834707.log
01.09.2007 15:11 966.055 setuplog.txt
01.09.2007 15:09 8.192 REGLOCS.OLD
01.09.2007 15:02 5.013 KB835221.log
01.09.2007 15:02 0 control.ini
01.09.2007 15:02 4.161 ODBCINST.INI
01.09.2007 15:01 749 WindowsShell.Manifest
01.09.2007 14:59 37 vbaddin.ini
01.09.2007 14:59 36 vb.ini
01.09.2007 14:59 133 DtcInstall.log
01.09.2007 14:59 1.023 sessmgr.setup.log
01.09.2007 14:50 200 cmsetacl.log


Verzeichnis von J:\WINDOWS\tasks

25.09.2007 13:59 6 SA.DAT
24.09.2007 20:00 610 Norton AntiVirus Online - Systemprfung ausfhren - Daniela.job

Verzeichnis von J:\WINDOWS\temp

21.09.2007 12:04 4.118 SRTSP_Setup_10.2.1.8.log
21.09.2007 12:04 363.088 SRTSP_MSI_U_(1)10.1.5.4.log
21.09.2007 12:04 6.637 srtUnin.log
21.09.2007 12:03 431.714 SRTSP_MSI_I_10.2.1.8.log
21.09.2007 12:03 17.454 SYMEVENT.LOG
04.09.2007 11:57 242 Message.ini
01.09.2007 18:13 6.019 NetFxUpdate_v1.1.4322.log
01.09.2007 17:39 1.575 Norton_SPALOG_9_1_2007_1109890.txt
01.09.2007 17:37 15.623 IDSinst.LOG
01.09.2007 17:37 1.659 Norton_SPALOG_9_1_2007_1105546.txt
01.09.2007 15:06 25.657 java_install.log
01.09.2007 15:05 7.446 ASPNETSetup.log


Verzeichnis von J:\DOKUME~1\Daniela\LOKALE~1\Temp

25.09.2007 14:42 118.689 filelist.txt
25.09.2007 14:04 972 jusched.log
25.09.2007 13:59 32.768 ~DF4E0C.tmp
25.09.2007 13:59 193 osCheck Vista Migration 2007-09-25 13h59m54s.log
25.09.2007 08:56 32.768 ~DF221D.tmp
25.09.2007 08:56 193 osCheck Vista Migration 2007-09-25 08h56m40s.log
24.09.2007 16:35 585 java_install_reg.log
24.09.2007 16:34 0 java_install.log
24.09.2007 16:33 1.160 jinstall.cfg
24.09.2007 16:29 32.768 ~DF4E49.tmp
24.09.2007 16:29 193 osCheck Vista Migration 2007-09-24 16h29m23s.log

Alt 25.09.2007, 14:51   #8
BataAlexander
> MalwareDB
 
trojan.killAV - Standard

trojan.killAV



Super
Dauert einen Augenblick, melde mich gleich.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 25.09.2007, 14:55   #9
visore
 
trojan.killAV - Standard

trojan.killAV



solche leute wie dich gibt es nicht viele. der sich zeit nimmt für andre und das ja eigentlich auch kostenlos.
sowas wie dich braucht mehr anerkennung *fettes lob*
__________________
Best forum ever

Alt 25.09.2007, 15:30   #10
BataAlexander
> MalwareDB
 
trojan.killAV - Standard

trojan.killAV



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
J:\WINDOWS\system32\7.680 WinAvXX.exe
J:\WINDOWS\system32\printer.exe
J:\WINDOWS\system32\system.exe
J:\WINDOWS\system32\autorun.exe
J:\WINDOWS\system.exe
J:\WINDOWS\autorun.exe
J:\system.exe
J:\autorun.exe
J:\WINDOWS\Prefetch\WINAVXX.EXE-050EF48B.pf
J:\WINDOWS\Prefetch\PRINTER.EXE-0E099EB1.pf
J:\WINDOWS\Prefetch\_IU14D2N.TMP-1CEF4247.pf
J:\WINDOWS\Prefetch\IS-3QJDH.TMP-17FF347D.pf
J:\WINDOWS\Prefetch\WN227.EXE-1A1C25D2.pf
J:\WINDOWS\Prefetch\STRIPR~1.EXE-319E25DC.pf
J:\WINDOWS\Prefetch\SYSTEM.EXE-00508A24.pf
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Dann:

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

F2 - REG:system.ini: Shell=Explorer.exe J:\WINDOWS\system32\printer.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [WinAVX] J:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] J:\WINDOWS\system32\WinAvXX.exe
O4 - S-1-5-18 Startup: system.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: system.exe (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe

dann Klicke Fix Checked. Schließe HiJackThis,Reboote.
Dann starte den Rechner im normalen Modus neu.

Dann poste ein neues HJt Logfile

Anschließend

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries


* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Dann:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Bin erst gegen Abend wieder on.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 26.09.2007, 14:30   #11
visore
 
trojan.killAV - Standard

trojan.killAV



sry das ich so spät antworte

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tsmeiuhr

*******************

Script file located at: \??\J:\WINDOWS\kgsklbeb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at J:\Avenger

*******************

Beginning to process script file:



File J:\WINDOWS\system32\7.680 WinAvXX.exe not found!
Deletion of file J:\WINDOWS\system32\7.680 WinAvXX.exe failed!

Could not process line:
J:\WINDOWS\system32\7.680 WinAvXX.exe
Status: 0xc0000034

File J:\WINDOWS\system32\printer.exe deleted successfully.


File J:\WINDOWS\system32\system.exe not found!
Deletion of file J:\WINDOWS\system32\system.exe failed!

Could not process line:
J:\WINDOWS\system32\system.exe
Status: 0xc0000034



File J:\WINDOWS\system32\autorun.exe not found!
Deletion of file J:\WINDOWS\system32\autorun.exe failed!

Could not process line:
J:\WINDOWS\system32\autorun.exe
Status: 0xc0000034



File J:\WINDOWS\system.exe not found!
Deletion of file J:\WINDOWS\system.exe failed!

Could not process line:
J:\WINDOWS\system.exe
Status: 0xc0000034



File J:\WINDOWS\autorun.exe not found!
Deletion of file J:\WINDOWS\autorun.exe failed!

Could not process line:
J:\WINDOWS\autorun.exe
Status: 0xc0000034



File J:\system.exe not found!
Deletion of file J:\system.exe failed!

Could not process line:
J:\system.exe
Status: 0xc0000034



File J:\autorun.exe not found!
Deletion of file J:\autorun.exe failed!

Could not process line:
J:\autorun.exe
Status: 0xc0000034

File J:\WINDOWS\Prefetch\WINAVXX.EXE-050EF48B.pf deleted successfully.
File J:\WINDOWS\Prefetch\PRINTER.EXE-0E099EB1.pf deleted successfully.
File J:\WINDOWS\Prefetch\_IU14D2N.TMP-1CEF4247.pf deleted successfully.
File J:\WINDOWS\Prefetch\IS-3QJDH.TMP-17FF347D.pf deleted successfully.
File J:\WINDOWS\Prefetch\WN227.EXE-1A1C25D2.pf deleted successfully.
File J:\WINDOWS\Prefetch\STRIPR~1.EXE-319E25DC.pf deleted successfully.
File J:\WINDOWS\Prefetch\SYSTEM.EXE-00508A24.pf deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
__________________
Best forum ever

Alt 26.09.2007, 14:34   #12
BataAlexander
> MalwareDB
 
trojan.killAV - Standard

trojan.killAV



ich hab mich natürlich verschrieben...

Gleiches Spiel wie eben, mit diesem Script
Zitat:
Files to delete:
J:\WINDOWS\system32\WinAvXX.exe
Dannach bitte noch mal

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

und ein neues HJT Log

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 26.09.2007, 14:40   #13
visore
 
trojan.killAV - Standard

trojan.killAV



wenn ich mit dem avenger die datei löschen will kommt meldung:
Error: selected file does not appear to be a valid script.

hijackthis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:12, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\slserv.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
J:\WINDOWS\system32\RunDLL32.exe
J:\WINDOWS\gtwatch.exe
J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
J:\WINDOWS\ALCWZRD.EXE
J:\Programme\Java\jre1.6.0_02\bin\jusched.exe
J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
J:\Programme\FRITZ!DSL\StCenter.exe
J:\Programme\Internet Explorer\IEXPLORE.EXE
J:\WINDOWS\system32\wuauclt.exe
J:\DOKUME~1\Daniela\LOKALE~1\Temp\Temporäres Verzeichnis 2 für avenger.zip\avenger.exe
J:\Dokumente und Einstellungen\Daniela\Desktop\HiJackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - j:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ccApp] J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gtwatch] J:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [osCheck] "J:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = J:\Programme\FRITZ!DSL\StCenter.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - J:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - J:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - J:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - J:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - J:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 6048 bytes



und immer wenn ich pc starte sagt er mir der angebene netzwerkname wird bereits im netzwerk benutzt.


teil 2

rapport

SmitFraudFix v2.227

Scan done at 14:46:51,68, 26.09.2007
Run from J:\Dokumente und Einstellungen\Daniela\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 atdmt.com
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 engine.awaps.net
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 www.awaps.net
192.168.200.3 Viruslist.com - Âñå óãðîçû


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B507FFD3-3819-4DA3-A383-907EF1914230}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B507FFD3-3819-4DA3-A383-907EF1914230}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B507FFD3-3819-4DA3-A383-907EF1914230}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


dazu kommt das er mir zeigte das ich die regclean nich löschen kann weil die vom administrator deaktviert wurde.

der HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:51, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\slserv.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
J:\WINDOWS\system32\RunDLL32.exe
J:\WINDOWS\gtwatch.exe
J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
J:\WINDOWS\ALCWZRD.EXE
J:\Programme\Java\jre1.6.0_02\bin\jusched.exe
J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
J:\Programme\FRITZ!DSL\StCenter.exe
J:\Programme\Internet Explorer\IEXPLORE.EXE
J:\WINDOWS\system32\wuauclt.exe
J:\Dokumente und Einstellungen\Daniela\Desktop\HiJackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - j:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ccApp] J:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gtwatch] J:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [osCheck] "J:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] J:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = J:\Programme\FRITZ!DSL\StCenter.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - J:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - J:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - J:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - J:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - J:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - J:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - J:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 5873 bytes
__________________
Best forum ever

Geändert von visore (26.09.2007 um 14:52 Uhr)

Alt 26.09.2007, 14:58   #14
BataAlexander
> MalwareDB
 
trojan.killAV - Standard

trojan.killAV



Irgendwas auf Deinem Rechner schreibt das alles zurück?

1. Führe bitte GMER aus
2. Warum liegt Windows auf J:/ (Mulitboot)?
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 26.09.2007, 15:00   #15
visore
 
trojan.killAV - Standard

trojan.killAV



kp also ich hab nur 1 festplatte und umgesteckt oda so hab ich nichts. meinse es wäre net besser wenn ich einfach formatiere.

gner not found wie du schon sagtest.
__________________
Best forum ever

Geändert von visore (26.09.2007 um 15:09 Uhr)

Antwort

Themen zu trojan.killAV
antivirus, appinit_dlls, bho, browser, dll, drivers, dsl, e-banking, explorer, file, google, helper, hijack, hijackthis, internet, internet explorer, microsoft, nvidia, object, rundll, software, symantec, temp, trojan.killav, trojaner, unbemerkt, usb, windows, windows xp, yahoo



Ähnliche Themen: trojan.killAV


  1. Wie bekomme ich den BAT/KillAV.FN.1 / TR/Spay 220.160.19 / TR/FakeAV.afsr von meinem Rechner herunter?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2013 (3)
  2. Erst Exploit.2010-0840.BC aus Avira, dann Trojan.KillAV aus Malwarebytes
    Log-Analyse und Auswertung - 30.11.2011 (34)
  3. Virus Win32: KillAV-CP [Trj] Problem..
    Plagegeister aller Art und deren Bekämpfung - 28.09.2010 (1)
  4. TR/Killav.32256
    Plagegeister aller Art und deren Bekämpfung - 04.03.2010 (8)
  5. win32:killAV-KH und msn?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (3)
  6. Trojan KillAV eingefangen
    Log-Analyse und Auswertung - 05.04.2009 (65)
  7. Hilfe bei TR/Killav.ac
    Mülltonne - 12.12.2008 (1)
  8. TR/Vundo.Gen und tr/killav.ac
    Mülltonne - 06.12.2008 (0)
  9. win32.killAV.wk
    Plagegeister aller Art und deren Bekämpfung - 14.07.2008 (0)
  10. Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen!
    Plagegeister aller Art und deren Bekämpfung - 08.04.2008 (13)
  11. verzeifelt, trojan.Perfcoo u. trojan.KillAV
    Log-Analyse und Auswertung - 19.10.2007 (40)
  12. Brauche Hilfe gegen Trojan.KillAV
    Plagegeister aller Art und deren Bekämpfung - 07.10.2007 (18)
  13. Trojan.KillAV.FG
    Log-Analyse und Auswertung - 12.02.2007 (2)
  14. I-net spinnt, Comp spinnt = Trojan.Lowzones + Trojan.KillAV
    Plagegeister aller Art und deren Bekämpfung - 13.07.2005 (11)
  15. TR/Killav.BB.1
    Plagegeister aller Art und deren Bekämpfung - 05.06.2004 (5)
  16. Trojaner TR/Killav.BB.1
    Plagegeister aller Art und deren Bekämpfung - 05.05.2004 (3)
  17. TR/KILLAV.BE
    Plagegeister aller Art und deren Bekämpfung - 01.03.2004 (2)

Zum Thema trojan.killAV - Hi all, ich hab mir wohl nen harten trojaner reingeholt. der name steht oben. dazu kommt noch das ich systemsteuerung nicht mehr habe, auf software nicht mehr zugreifen kann etc. - trojan.killAV...
Archiv
Du betrachtest: trojan.killAV auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.