| |
| |||||||
Log-Analyse und Auswertung: Trojaner TR/Agent.FMC | xxywwwx.dllWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte. |
 |
27.11.2007, 19:28
| #1 |
| |  Trojaner TR/Agent.FMC | xxywwwx.dll Hallo, gestern ist ein Problem beim booten aufgetaucht. Kurz nach dem 1. Windowsscreen erschien ein Bluescreen und der Rechner startete neu. Das wiederholte sich dann immer wieder. Habe das System drüberinstalliert und konnte so wieder booten. Ein Scan mit Antivir hat mir folgendes Ergebnis geliefert: TR/Agent.FMC in der Datei C:\WINDOWS\system32\xxywwwx.dll Leider kann ich in Google weder zur Datei, noch zu dem Trojaner etwas finden. Mit HijackThis oder Antivir lässt sich die Datei auch nicht entfernen. Ich hoffe, es weiß jemand Rat. Danke im Voraus Logfile of HijackThis v1.99.1 Scan saved at 20:15:37, on 27.11.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvsvc32.exe C:\Dokumente und Einstellungen\jLn.JULIAN\Desktop\hijackthis_199\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe O2 - BHO: (no name) - {17B88DF7-95AB-44DA-8ECD-5FF0B6CAEC67} - C:\WINDOWS\system32\xxywwwx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{B0E4F158-415D-4513-A64E-0E781D0F81B3}: NameServer = 217.237.150.51 217.237.148.22 O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
27.11.2007, 21:12
| #2 | |||
  | Trojaner TR/Agent.FMC | xxywwwx.dll Hallo
__________________Zitat:
Zitat:
Zitat:
Das Servicepack 2 ist pflicht, warum ist es nicht auf deinem Rechner zu finden? Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler Mein Rat ist, da du ja eh schon neuinstallieren wolltest, besorge dir das Servicepack 2 und folge anschließend dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung! MFG Geändert von nochdigger (27.11.2007 um 21:23 Uhr) Grund: Frage vergessen |
|
27.11.2007, 21:46
| #3 | ||||
| | Trojaner TR/Agent.FMC | xxywwwx.dll Vielen Dank für deine Nachricht!
__________________Zitat:
Zitat:
 (die paar englischen Resultate waren auch nicht sehr ergiebig)Zitat:
Zitat:
Das Dingen muss man doch irgendwie entfernen können ...? Thanks a lot! |
|
27.11.2007, 22:21
| #4 | ||
| | Trojaner TR/Agent.FMC | xxywwwx.dll Hallo Zitat:
Zitat:
Ich habe auch nur gemeint, die Gelegenheit ist günstig, da evtl. noch nicht viel Software installiert sei und das Formatieren nicht soooo wehtut  Versuch es mal mit Vundofix Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. Erstelle ein neues HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. This.exe und berichte bitte was sich getan hat. MFG |
|
27.11.2007, 22:47
| #5 |
| | Trojaner TR/Agent.FMC | xxywwwx.dll hmmmpf, nee der vundo findet nichts. werde mich wohl am we hin setzen und die mühle wieder platt machen. ärgz, wie ich das hassen.  danke für deine hilfe. falls jemand doch noch eine lösung für das problem findet, bitte hier posten ... |
|
28.11.2007, 04:39
| #6 |
| | Trojaner TR/Agent.FMC | xxywwwx.dll Moin dann machen wir so weiter Lade dir Combofix sowie Filelist und führe es aus ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp MFG |
|
28.11.2007, 17:58
| #7 |
| | Trojaner TR/Agent.FMC | xxywwwx.dll tachchen, hier bin ich wieder ... hier also der combofix report: ComboFix 07-11-19.4C - jLn 2007-11-28 18:50:34.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.619 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\jLn.JULIAN\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-10-28 bis 2007-11-28 )))))))))))))))))))))))))))))) . 2007-11-28 18:43 <DIR> d-------- C:\Programme\MM-Exporter 2007-11-28 18:43 608,448 --a------ C:\WINDOWS\system32\ComCtl32.ocx 2007-11-28 18:43 209,608 --a------ C:\WINDOWS\system32\Tabctl32.ocx 2007-11-28 18:43 203,976 --a------ C:\WINDOWS\system32\RICHTX32.OCX 2007-11-28 18:43 140,488 --a------ C:\WINDOWS\system32\COMDLG32.OCX 2007-11-28 18:39 <DIR> d-------- C:\WINDOWS\LastGood 2007-11-28 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü 2007-11-28 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü 2007-11-28 18:39 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe 2007-11-28 18:39 27,136 --a--c--- C:\WINDOWS\system32\dllcache\irmon.dll 2007-11-28 18:39 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll 2007-11-27 23:26 <DIR> d-------- C:\VundoFix Backups 2007-11-27 22:40 2,981,888 --------- C:\WINDOWS\system32\xpsp2res.dll 2007-11-27 22:40 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll 2007-11-27 22:40 1,689,088 --------- C:\WINDOWS\system32\d3d9.dll 2007-11-27 22:40 848,384 --------- C:\WINDOWS\system32\ir41_32.ax 2007-11-27 22:40 526,848 --------- C:\WINDOWS\system32\p2psvc.dll 2007-11-27 22:40 438,784 --------- C:\WINDOWS\system32\xpob2res.dll 2007-11-27 22:40 425,472 --------- C:\WINDOWS\system32\html.iec 2007-11-27 22:40 384,512 --------- C:\WINDOWS\system32\mp4sdmod.dll 2007-11-27 22:40 338,432 --------- C:\WINDOWS\system32\ir41_qcx.dll 2007-11-27 22:40 312,320 --------- C:\WINDOWS\system32\p2pgraph.dll 2007-11-27 22:40 310,272 --------- C:\WINDOWS\system32\mp43dmod.dll 2007-11-27 22:40 286,792 --------- C:\WINDOWS\system32\slextspk.dll 2007-11-27 22:40 275,200 --------- C:\WINDOWS\system32\drivers\bthport.sys 2007-11-27 22:40 199,680 --------- C:\WINDOWS\system32\iac25_32.ax 2007-11-27 22:40 188,508 --------- C:\WINDOWS\system32\slgen.dll 2007-11-27 22:40 183,808 --------- C:\WINDOWS\system32\wuaueng1.dll 2007-11-27 22:40 129,536 --------- C:\WINDOWS\system32\xmlprov.dll 2007-11-27 22:40 120,320 --------- C:\WINDOWS\system32\wuweb.dll 2007-11-27 22:40 120,320 --------- C:\WINDOWS\system32\ir41_qc.dll 2007-11-27 22:40 118,272 --------- C:\WINDOWS\system32\mpeg2data.ax 2007-11-27 22:40 116,224 --------- C:\WINDOWS\system32\p2p.dll 2007-11-27 22:40 113,664 --------- C:\WINDOWS\system32\wucltui.dll 2007-11-27 22:40 110,592 --------- C:\WINDOWS\system32\bthprops.cpl 2007-11-27 22:40 100,992 --------- C:\WINDOWS\system32\drivers\bthpan.sys 2007-11-27 22:40 88,064 --------- C:\WINDOWS\system32\p2pnetsh.dll 2007-11-27 22:40 86,016 --------- C:\WINDOWS\system32\p2pgasvc.dll 2007-11-27 22:40 75,776 --------- C:\WINDOWS\system32\strmfilt.dll 2007-11-27 22:40 73,832 --------- C:\WINDOWS\system32\slcoinst.dll 2007-11-27 22:40 73,796 --------- C:\WINDOWS\system32\slserv.exe 2007-11-27 22:40 71,680 --------- C:\WINDOWS\system32\blastcln.exe 2007-11-27 22:40 53,248 --------- C:\WINDOWS\system32\vbicodec.ax 2007-11-27 22:40 50,688 --------- C:\WINDOWS\system32\btpanui.dll 2007-11-27 22:40 50,176 --------- C:\WINDOWS\system32\xmlprovi.dll 2007-11-27 22:40 49,152 --------- C:\WINDOWS\system32\powercfg.exe 2007-11-27 22:40 48,640 --------- C:\WINDOWS\system32\pnrpnsp.dll 2007-11-27 22:40 38,016 --------- C:\WINDOWS\system32\drivers\bthmodem.sys 2007-11-27 22:40 36,864 --------- C:\WINDOWS\system32\wups.dll 2007-11-27 22:40 35,456 --------- C:\WINDOWS\system32\drivers\bthprint.sys 2007-11-27 22:40 32,866 --------- C:\WINDOWS\system32\slrundll.exe 2007-11-27 22:40 32,866 --------- C:\WINDOWS\slrundll.exe 2007-11-27 22:40 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll 2007-11-27 22:40 30,208 --------- C:\WINDOWS\system32\bthserv.dll 2007-11-27 22:40 28,672 --------- C:\WINDOWS\system32\vidcap.ax 2007-11-27 22:40 24,576 --------- C:\WINDOWS\system32\httpapi.dll 2007-11-27 22:40 20,992 --------- C:\WINDOWS\system32\bthci.dll 2007-11-27 22:40 17,024 --------- C:\WINDOWS\system32\drivers\bthenum.sys 2007-11-27 22:40 15,872 --------- C:\WINDOWS\system32\w3ssl.dll 2007-11-27 22:40 13,824 --------- C:\WINDOWS\system32\cmsetacl.dll 2007-11-27 22:40 9,728 --------- C:\WINDOWS\system32\comsdupd.exe 2007-11-27 22:40 8,192 --------- C:\WINDOWS\system32\smbinst.exe 2007-11-27 22:40 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll 2007-11-27 22:40 7,168 --------- C:\WINDOWS\system32\kbdukx.dll 2007-11-27 22:40 7,168 --------- C:\WINDOWS\system32\kbdno1.dll 2007-11-27 22:40 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll 2007-11-27 22:40 6,144 --------- C:\WINDOWS\system32\kbdinbe1.dll 2007-11-27 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\Talkback 2007-11-26 23:56 1,140 --a------ C:\WINDOWS\mozver.dat 2007-11-26 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\MailFrontier 2007-11-26 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MailFrontier 2007-11-26 22:48 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys 2007-11-26 22:48 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-11-26 22:48 75,248 --a------ C:\WINDOWS\zllsputility.exe 2007-11-26 22:48 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-11-26 22:48 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll 2007-11-26 22:48 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-11-26 22:47 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll 2007-11-26 22:47 38,400 --------- C:\WINDOWS\system32\xxywwwx.dll 2007-11-26 22:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2007-11-26 22:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira 2007-11-26 22:28 261 --a------ C:\WINDOWS\system32\$winnt$.inf 2007-11-26 22:24 13,646 --a------ C:\WINDOWS\system32\wpa.bak 2007-11-26 22:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\GTK 2007-11-26 22:14 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\Thunderbird 2007-11-26 22:14 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\.purple 2007-11-26 22:13 <DIR> d-------- C:\WUTemp 2007-11-26 22:13 720,896 -ra------ C:\WINDOWS\system32\a3d.dll 2007-11-26 22:13 578,304 -ra------ C:\WINDOWS\system32\drivers\smwdm.sys 2007-11-26 22:13 171,776 --a------ C:\WINDOWS\system32\drivers\kmixer.sys 2007-11-26 22:13 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys 2007-11-26 22:13 140,928 --a------ C:\WINDOWS\system32\drivers\ks.sys 2007-11-26 22:13 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys 2007-11-26 22:13 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys 2007-11-26 22:13 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys 2007-11-26 22:13 48,640 --a------ C:\WINDOWS\system32\drivers\stream.sys 2007-11-26 22:13 23,552 --a------ C:\WINDOWS\system32\wdmaud.drv 2007-11-26 22:13 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys 2007-11-26 22:13 3,744 -ra------ C:\WINDOWS\system32\drivers\smsens.sys 2007-11-26 22:11 189,568 -ra------ C:\WINDOWS\system32\drivers\yk51x86.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-28 17:46 --------- d-----w C:\Programme\Mozilla Thunderbird 2007-11-27 22:31 --------- d-----w C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\.purple 2007-11-26 21:48 34,848 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-11-26 21:48 1,568 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-11-26 21:48 1,484 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-11-26 21:48 1,220 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-11-26 21:32 --------- d-----w C:\Programme\Pidgin 2007-11-26 21:32 --------- d-----w C:\Programme\Aspell 2007-11-23 22:25 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\.purple 2007-11-23 21:31 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\dvdcss 2007-11-23 18:27 --------- d-----w C:\Programme\Soulseek-Test 2007-11-23 17:51 --------- d-----w C:\Programme\CDex_150 2007-11-13 20:50 --------- d-----w C:\Programme\DivX 2007-11-08 00:34 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\gtk-2.0 2007-11-03 00:21 --------- d-----w C:\Programme\Winamp 2007-11-01 14:36 --------- d-----w C:\Programme\SFT Loader 2007-10-30 18:24 --------- d-----w C:\Programme\Real Alternative 2007-10-27 23:59 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-10-27 23:49 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Extensis 2007-10-26 21:12 --------- d-----w C:\Programme\Anti-Leech 2007-10-25 21:28 --------- d-----w C:\Programme\SEC 2007-10-25 21:27 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-10-25 21:06 --------- d-----w C:\Programme\MonitorTest 2007-10-25 19:04 --------- d-----w C:\Programme\Microsoft.NET 2007-10-22 19:10 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\CD-LabelPrint 2007-10-22 18:10 --------- d-----w C:\Programme\DVD Shrink DE 2007-10-20 14:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2007-10-19 15:53 --------- d-----w C:\Programme\VirtualDJ 2007-10-18 00:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels 2007-10-17 23:27 --------- d-----w C:\Programme\DAEMON Tools 2007-10-17 22:37 --------- d-----w C:\Programme\Bonjour 2007-10-17 22:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared 2007-10-15 17:27 --------- d-----w C:\Programme\Gemeinsame Dateien\CANON 2007-10-15 17:27 --------- d-----w C:\Programme\Canon 2007-10-15 17:25 --------- d--h--w C:\Programme\CanonBJ 2007-10-15 17:16 --------- d-----w C:\Programme\Last.fm 2007-10-13 14:54 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Cherry 2007-10-13 12:33 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Ahead 2007-10-13 12:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2007-10-13 12:22 --------- d-----w C:\Programme\Nero 2007-10-13 11:43 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\vlc 2007-10-13 10:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Cherry 2007-10-13 10:56 --------- d-----w C:\Programme\Cherry 2007-10-12 21:17 --------- d-----w C:\Programme\VideoLAN 2007-10-12 18:42 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Media Player Classic 2007-10-12 18:39 --------- d-----w C:\Programme\Avira 2007-10-12 18:33 --------- d-----w C:\Programme\XviD 2007-10-12 18:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Agfa 2007-10-12 18:14 --------- d-----w C:\Programme\Agfa 2007-10-11 22:17 --------- d-----w C:\Programme\MSXML 6.0 2007-10-11 22:17 --------- d-----w C:\Programme\MSXML 4.0 2007-10-11 22:09 --------- d-----w C:\Programme\Windows Media Connect 2 2007-10-11 17:07 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\HEXelon 2007-10-11 16:53 --------- d-----w C:\Programme\MozBackup 2007-10-11 12:25 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Talkback 2007-10-11 12:23 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Thunderbird 2007-10-10 17:46 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-10-10 17:46 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2007-10-10 17:08 --------- d-----w C:\Programme\NVIDIA 2007-10-10 16:54 --------- d-----w C:\Programme\microsoft frontpage 2007-10-10 16:53 --------- d-----w C:\Programme\Online-Dienste 2007-10-10 16:52 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-10-10 16:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-09-21 17:41 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE 2007-09-21 16:38 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll 2007-09-21 16:38 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll 2007-09-21 16:38 8,466,432 ----a-w C:\WINDOWS\system32\nvcpl.dll 2007-09-21 16:38 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe 2007-09-21 16:38 6,742,016 ----a-w C:\WINDOWS\system32\nvoglnt.dll 2007-09-21 16:38 6,238,208 ----a-w C:\WINDOWS\system32\nvdisps.dll 2007-09-21 16:38 5,700,864 ----a-w C:\WINDOWS\system32\nv4_disp.dll 2007-09-21 16:38 5,455,872 ----a-w C:\WINDOWS\system32\nvdispsr.dll 2007-09-21 16:38 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll 2007-09-21 16:38 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll 2007-09-21 16:38 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll 2007-09-21 16:38 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe 2007-09-21 16:38 425,984 ----a-w C:\WINDOWS\system32\keystone.exe 2007-09-21 16:38 37,376 ----a-w C:\WINDOWS\system32\nvcodins.dll 2007-09-21 16:38 37,376 ----a-w C:\WINDOWS\system32\nvcod.dll 2007-09-21 16:38 360,448 ----a-w C:\WINDOWS\system32\nvapi.dll 2007-09-21 16:38 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe 2007-09-21 16:38 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll 2007-09-21 16:38 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll 2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll 2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll 2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll 2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll 2007-09-21 16:38 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll 2007-09-21 16:38 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll 2007-09-21 16:38 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll 2007-09-21 16:38 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll 2007-09-21 16:38 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll 2007-09-21 16:38 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll 2007-09-21 16:38 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll 2007-09-21 16:38 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll 2007-09-21 16:38 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll 2007-09-21 16:38 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll 2007-09-21 16:38 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll 2007-09-21 16:38 3,600,384 ----a-w C:\WINDOWS\system32\nvvitvsr.dll 2007-09-21 16:38 3,522,560 ----a-w C:\WINDOWS\system32\nvvitvs.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{17B88DF7-95AB-44DA-8ECD-5FF0B6CAEC67}] 2007-11-26 22:47 38400 --------- C:\WINDOWS\system32\xxywwwx.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2007-09-21 17:38 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 20:40] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57] C:\Dokumente und Einstellungen\jLn\Startmen\Programme\Autostart\ NaturalColorLoad.lnk - C:\Programme\SEC\Natural Color\NaturalColorLoad.exe [2007-10-25 22:28:05] [hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{17B88DF7-95AB-44DA-8ECD-5FF0B6CAEC67}"= C:\WINDOWS\system32\xxywwwx.dll [2007-11-26 22:47 38400] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywwwx] xxywwwx.dll 2007-11-26 22:47 38400 C:\WINDOWS\system32\xxywwwx.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys *Newly Created Service* - ALG *Newly Created Service* - CATCHME *Newly Created Service* - DCOMLAUNCH *Newly Created Service* - FLTMGR *Newly Created Service* - HTTP *Newly Created Service* - IPNAT *Newly Created Service* - SHAREDACCESS *Newly Created Service* - WSCSVC . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-28 18:54:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-28 18:55:20 . --- E O F --- |
|
28.11.2007, 18:05
| #8 |
| | Trojaner TR/Agent.FMC | xxywwwx.dll ... und hier der von filelist: ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C33-2A77 Verzeichnis von C:\ 28.11.2007 18:55 17.176 ComboFix.txt 28.11.2007 18:37 1.610.612.736 pagefile.sys 27.11.2007 23:40 396 VundoFix.txt 27.11.2007 22:47 211 boot.ini 27.11.2007 22:34 47.564 NTDETECT.COM 27.11.2007 22:34 251.184 ntldr 13.10.2007 13:23 80 FilterLog.log 10.10.2007 17:53 0 CONFIG.SYS 10.10.2007 17:53 0 MSDOS.SYS 10.10.2007 17:53 0 IO.SYS 10.10.2007 17:53 0 AUTOEXEC.BAT 12 Datei(en) 1.610.934.299 Bytes 0 Verzeichnis(se), 7.021.658.112 Bytes frei ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C33-2A77 Verzeichnis von C:\WINDOWS\system32 28.11.2007 18:40 316.594 perfh007.dat 28.11.2007 18:40 48.156 perfc007.dat 28.11.2007 18:40 39.992 perfc009.dat 28.11.2007 18:40 311.604 perfh009.dat 28.11.2007 18:40 723.744 PerfStringBackup.INI 28.11.2007 18:39 58.726 vsconfig.xml 28.11.2007 18:38 13.646 wpa.dbl 28.11.2007 18:38 251 spupdwxp.log 28.11.2007 18:37 91.888 FNTCACHE.DAT 26.11.2007 22:50 4.212 zllictbl.dat 26.11.2007 22:47 38.400 xxywwwx.dll 26.11.2007 22:24 13.646 wpa.bak 26.11.2007 21:51 8 nvModes.dat 26.11.2007 21:50 128.151 nvapps.xml 26.11.2007 21:44 25.065 wmpscheme.xml 26.11.2007 21:41 261 $winnt$.inf 26.11.2007 21:39 2.951 CONFIG.NT 26.11.2007 21:39 16.832 amcompat.tlb 26.11.2007 21:39 23.392 nscompat.tlb 26.11.2007 21:38 488 WindowsLogon.manifest 26.11.2007 21:38 488 logonui.exe.manifest 26.11.2007 21:38 749 ncpa.cpl.manifest 26.11.2007 21:38 749 sapi.cpl.manifest 26.11.2007 21:38 749 wuaucpl.cpl.manifest 26.11.2007 21:38 749 cdplayer.exe.manifest 26.11.2007 21:38 749 nwc.cpl.manifest 26.11.2007 21:37 21.740 emptyregdb.dat 26.11.2007 21:36 0 h323log.txt 21.09.2007 18:41 356.352 NVUNINST.EXE 21.09.2007 17:38 303.104 nvwrstr.dll 21.09.2007 17:38 299.008 nvwrssk.dll 21.09.2007 17:38 315.392 nvwrsru.dll 21.09.2007 17:38 319.488 nvwrsptb.dll 21.09.2007 17:38 323.584 nvwrspt.dll 21.09.2007 17:38 294.912 nvwrspl.dll 21.09.2007 17:38 299.008 nvwrsno.dll 21.09.2007 17:38 319.488 nvwrsnl.dll 21.09.2007 17:38 196.608 nvwrsko.dll 21.09.2007 17:38 212.992 nvwrsja.dll 21.09.2007 17:38 323.584 nvwrsit.dll 21.09.2007 17:38 315.392 nvwrshu.dll 21.09.2007 17:38 278.528 nvwrshe.dll 21.09.2007 17:38 327.680 nvwrsfr.dll 21.09.2007 17:38 303.104 nvwrsfi.dll 21.09.2007 17:38 327.680 nvwrsesm.dll 21.09.2007 17:38 335.872 nvwrses.dll 21.09.2007 17:38 286.720 nvwrseng.dll 21.09.2007 17:38 335.872 nvwrsel.dll 21.09.2007 17:38 311.296 nvwrsde.dll 21.09.2007 17:38 294.912 nvwrsda.dll 21.09.2007 17:38 286.720 nvwrscs.dll 21.09.2007 17:38 282.624 nvwrsar.dll 21.09.2007 17:38 1.019.904 nvwimg.dll 21.09.2007 17:38 1.703.936 nvwdmcpl.dll 21.09.2007 17:38 81.920 nvwddi.dll 21.09.2007 17:38 3.600.384 nvvitvsr.dll 21.09.2007 17:38 3.522.560 nvvitvs.dll 21.09.2007 17:38 303.104 nvwrssl.dll 21.09.2007 17:38 356.352 nvudisp.exe 21.09.2007 17:38 1.018.772 nvucode.bin 21.09.2007 17:38 294.912 nvwrssv.dll 21.09.2007 17:38 155.716 nvsvc32.exe 21.09.2007 17:38 466.944 nvshell.dll 21.09.2007 17:38 126.976 nvrszht.dll 21.09.2007 17:38 225.280 nvrszhc.dll 21.09.2007 17:38 258.048 nvrstr.dll 21.09.2007 17:38 163.840 nvwrszhc.dll 21.09.2007 17:38 253.952 nvrssv.dll 21.09.2007 17:38 258.048 nvrssl.dll 21.09.2007 17:38 258.048 nvrssk.dll 21.09.2007 17:38 270.336 nvrsru.dll 21.09.2007 17:38 167.936 nvwrszht.dll 21.09.2007 17:38 274.432 nvrspt.dll 21.09.2007 17:38 253.952 nvrspl.dll 21.09.2007 17:38 253.952 nvrsno.dll 21.09.2007 17:38 274.432 nvrsnl.dll 21.09.2007 17:38 262.144 nvrsko.dll 21.09.2007 17:38 266.240 nvrsja.dll 21.09.2007 17:38 278.528 nvrsit.dll 21.09.2007 17:38 258.048 nvrshu.dll 21.09.2007 17:38 327.680 nvrshe.dll 21.09.2007 17:38 282.624 nvrsfr.dll 21.09.2007 17:38 249.856 nvrsfi.dll 21.09.2007 17:38 274.432 nvrsesm.dll 21.09.2007 17:38 282.624 nvrses.dll 21.09.2007 17:38 245.760 nvrseng.dll 21.09.2007 17:38 282.624 nvrsel.dll 21.09.2007 17:38 278.528 nvrsde.dll 21.09.2007 17:38 253.952 nvrsda.dll 21.09.2007 17:38 249.856 nvrscs.dll 21.09.2007 17:38 327.680 nvrsar.dll 21.09.2007 17:38 6.742.016 nvoglnt.dll 21.09.2007 17:38 286.720 nvnt4cpl.dll 21.09.2007 17:38 73.728 nvtuicpl.cpl 21.09.2007 17:38 2.854.912 nvmoblsr.dll 21.09.2007 17:38 1.146.880 nvmobls.dll 21.09.2007 17:38 81.920 nvmctray.dll 21.09.2007 17:38 458.752 nvmccssr.dll 21.09.2007 17:38 188.416 nvmccss.dll 21.09.2007 17:38 45.056 nvmccsrs.dll 21.09.2007 17:38 229.376 nvmccs.dll 21.09.2007 17:38 1.478.656 nview.dll 21.09.2007 17:38 3.166.208 nvgamesr.dll 21.09.2007 17:38 3.330.048 nvgames.dll 21.09.2007 17:38 307.200 nvexpbar.dll 21.09.2007 17:38 1.339.392 nvdspsch.exe 21.09.2007 17:38 5.455.872 nvdispsr.dll 21.09.2007 17:38 6.238.208 nvdisps.dll 21.09.2007 17:38 17.527 nvdisp.nvu 21.09.2007 17:38 1.073.152 nvcpluir.dll 21.09.2007 17:38 753.664 nvcplui.exe 21.09.2007 17:38 8.466.432 nvcpl.dll 21.09.2007 17:38 413.696 nvcpl.cpl 21.09.2007 17:38 147.456 nvcolor.exe 21.09.2007 17:38 37.376 nvcodins.dll 21.09.2007 17:38 37.376 nvcod.dll 21.09.2007 17:38 2.334.720 nvwss.dll 21.09.2007 17:38 2.416.640 nvwssr.dll 21.09.2007 17:38 442.368 nvappbar.exe 21.09.2007 17:38 360.448 nvapi.dll 21.09.2007 17:38 5.700.864 nv4_disp.dll 21.09.2007 17:38 1.626.112 nwiz.exe 21.09.2007 17:38 290.816 nvwrsth.dll 21.09.2007 17:38 425.984 keystone.exe 21.09.2007 17:38 266.240 nvrsptb.dll 21.09.2007 17:38 253.952 nvrsth.dll 1977 Datei(en) 402.879.082 Bytes 0 Verzeichnis(se), 7.021.531.136 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C33-2A77 Verzeichnis von C:\WINDOWS\Prefetch 28.11.2007 18:56 10.178 FIND.EXE-0EC32F1E.pf 28.11.2007 18:56 14.546 GUARDGUI.EXE-3AFB6D88.pf 28.11.2007 18:55 13.512 NOTEPAD.EXE-336351A9.pf 28.11.2007 18:55 8.694 NIRCMD.EXE-2C39EF53.pf 28.11.2007 18:55 13.892 REGEDIT.EXE-1B606482.pf 28.11.2007 18:55 53.820 CATCHME.CFEXE-0F2A0789.pf 28.11.2007 18:55 8.132 NIRCMD.CFEXE-19FF4781.pf 28.11.2007 18:55 18.578 DUMPHIVE.CFEXE-2ED3B134.pf 28.11.2007 18:55 3.926 GREP.CFEXE-20443039.pf 28.11.2007 18:54 12.164 CMD.EXE-087B4001.pf 28.11.2007 18:54 26.030 CSCRIPT.EXE-1C26180C.pf 28.11.2007 18:54 25.748 WMIPRVSE.EXE-28F301A9.pf 28.11.2007 18:54 16.026 IMAPI.EXE-0BF740A4.pf 28.11.2007 18:54 6.912 SWREG.CFEXE-2BF4FFCD.pf 28.11.2007 18:54 68.428 EXPLORER.EXE-082F38A9.pf 28.11.2007 18:54 3.838 MTEE.CFEXE-1E067BC7.pf 28.11.2007 18:54 12.580 FINDSTR.EXE-0CA6274B.pf 28.11.2007 18:54 61.212 CATCHME.EXE-334C4B6E.pf 28.11.2007 18:54 16.760 REGT.CFEXE-15DB5DAE.pf 28.11.2007 18:54 13.182 REG.EXE-0D2A95F7.pf 28.11.2007 18:54 7.384 SWXCACLS.CFEXE-365F7973.pf 28.11.2007 18:53 6.366 SWSC.CFEXE-3B4FE4FE.pf 28.11.2007 18:53 4.436 HANDLE.CFEXE-13427ED2.pf 28.11.2007 18:53 3.706 SED.CFEXE-268D7E58.pf 28.11.2007 18:53 9.932 SORT.EXE-194AE83C.pf 28.11.2007 18:53 2.862 VFIND.EXE-0CB9A64E.pf 28.11.2007 18:52 9.992 VFIND.CFEXE-2033727F.pf 28.11.2007 18:50 10.670 ATTRIB.EXE-39EAFB02.pf 28.11.2007 18:50 3.802 SF.CFEXE-164B3B2D.pf 28.11.2007 18:49 18.446 SETPATH.CFEXE-034E3D26.pf 28.11.2007 18:49 53.188 ERUNT.CFEXE-039977DB.pf 28.11.2007 18:49 6.896 SWREG.EXE-3688D00C.pf 28.11.2007 18:48 4.962 CHCP.COM-18156052.pf 28.11.2007 18:48 8.252 NIRCMD.EXE-1F7FED22.pf 28.11.2007 18:48 14.762 COMBOFIX.EXE-27214C61.pf 28.11.2007 18:48 18.454 RUNDLL32.EXE-2A94BB85.pf 28.11.2007 18:48 33.226 RUNDLL32.EXE-2576181F.pf 28.11.2007 18:46 68.126 THUNDERBIRD.EXE-031A6371.pf 28.11.2007 18:45 27.096 UPDCLIENT.EXE-215FC96B.pf 28.11.2007 18:44 86.584 FIREFOX.EXE-1D57670A.pf 28.11.2007 18:44 24.282 TOTALCMD.EXE-2CEAD4AB.pf 28.11.2007 18:44 25.136 MM-EXPORTER.EXE-291845DA.pf 28.11.2007 18:44 6.024 TC UP.EXE-159329D7.pf 28.11.2007 18:43 14.286 _REGDLL.TMP-1817F72A.pf 28.11.2007 18:43 11.578 IS-L8PUH.TMP-0490D137.pf 28.11.2007 18:43 22.314 MM-EXPORTER_233_SETUP.EXE-1C4C80A7.pf 28.11.2007 18:42 28.056 WMIADAP.EXE-2DF425B2.pf 28.11.2007 18:40 16.770 RUNDLL32.EXE-1218E1AC.pf 28.11.2007 18:40 22.576 FSQUIRT.EXE-3954ECEA.pf 28.11.2007 18:40 35.726 ZLCLIENT.EXE-0120F620.pf 28.11.2007 18:40 25.578 RUNDLL32.EXE-31247066.pf 28.11.2007 18:40 10.560 NWIZ.EXE-2D0F9FBC.pf 28.11.2007 18:40 53.750 AVGNT.EXE-18356F59.pf 28.11.2007 18:40 21.074 RUNDLL32.EXE-247FE6B9.pf 28.11.2007 18:40 23.606 MSIEXEC.EXE-2F8A8CAE.pf 28.11.2007 18:40 16.406 RUNDLL32.EXE-409BCEB3.pf 28.11.2007 18:40 18.616 MOFCOMP.EXE-01718E95.pf 28.11.2007 18:40 9.208 BLASTCLN.EXE-2C69E3EA.pf 28.11.2007 18:40 22.456 SHMGRATE.EXE-1BA69E68.pf 28.11.2007 18:40 24.308 SETUP50.EXE-0CDEF78F.pf 28.11.2007 18:40 15.418 MSDTC.EXE-0E6E4AF7.pf 28.11.2007 18:40 21.394 UNREGMP2.EXE-07CACB61.pf 28.11.2007 18:39 14.292 RUNDLL32.EXE-4499C56E.pf 28.11.2007 18:39 8.522 LOGAGENT.EXE-027AF92B.pf 28.11.2007 18:39 13.900 REGSVR32.EXE-25EEFE2F.pf 28.11.2007 18:39 4.878 SPUPDSVC.EXE-21B36524.pf 28.11.2007 18:39 13.858 RUNDLL32.EXE-169CA248.pf 28.11.2007 18:39 61.448 IE4UINIT.EXE-169A5A39.pf 28.11.2007 18:39 20.688 WUAUCLT.EXE-399A8E72.pf 28.11.2007 18:39 10.198 ZCLIENTM.EXE-360CFDB5.pf 28.11.2007 18:39 14.626 ALG.EXE-0F138680.pf 28.11.2007 18:39 8.672 WSCNTFY.EXE-1B24F5EB.pf 28.11.2007 18:39 630.294 NTOSBOOT-B00DFAAD.pf 73 Datei(en) 2.077.798 Bytes 0 Verzeichnis(se), 7.021.559.808 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C33-2A77 Verzeichnis von C:\WINDOWS 28.11.2007 18:44 1.993 WindowsUpdate.log 28.11.2007 18:40 28.964 spupdsvc.log 28.11.2007 18:40 1.174 OEWABLog.txt 28.11.2007 18:40 360 DtcInstall.log 28.11.2007 18:40 630 wmsetup.log 28.11.2007 18:39 316.640 WMSysPr9.prx 28.11.2007 18:39 1.019.506 setupapi.log 28.11.2007 18:39 96.959 iis6.log 28.11.2007 18:39 25.489 comsetup.log 28.11.2007 18:39 16.271 ntdtcsetup.log 28.11.2007 18:39 2.446 tabletoc.log 28.11.2007 18:39 4.757 imsins.log 28.11.2007 18:39 2.292 ocmsn.log 28.11.2007 18:39 21.201 tsoc.log 28.11.2007 18:39 2.112 msgsocm.log 28.11.2007 18:39 3.751 medctroc.Log 28.11.2007 18:39 32.759 ocgen.log 28.11.2007 18:39 28.753 FaxSetup.log 28.11.2007 18:39 6.034 netfxocm.log 28.11.2007 18:39 21.720 msmqinst.log 28.11.2007 18:39 0 0.log 28.11.2007 18:38 806.698 setuplog.txt 28.11.2007 18:38 2.048 bootstat.dat 27.11.2007 23:47 1.210 SchedLgU.Txt 27.11.2007 23:27 1.393 imsins.BAK 27.11.2007 23:27 455.828 svcpack.log 27.11.2007 22:50 175.372 setupact.log 27.11.2007 22:47 200 cmsetacl.log 27.11.2007 22:47 508 win.ini 27.11.2007 22:41 1.330 sessmgr.setup.log 26.11.2007 23:56 1.140 mozver.dat 26.11.2007 23:27 91 wininit.ini 26.11.2007 22:13 7.194 Windows Update.log 26.11.2007 22:01 3.078 Ascd_tmp.ini 26.11.2007 21:59 0 nsreg.dat 26.11.2007 21:43 8.192 REGLOCS.OLD 26.11.2007 21:39 0 control.ini 26.11.2007 21:39 299.552 WMSysPrx.prx 26.11.2007 21:39 4.161 ODBCINST.INI 26.11.2007 21:38 749 WindowsShell.Manifest 26.11.2007 21:37 36 vb.ini 26.11.2007 21:37 37 vbaddin.ini 26.11.2007 21:34 50 wiaservc.log 26.11.2007 21:34 409 wiadebug.log 26.11.2007 21:34 0 Sti_Trace.log 26.11.2007 21:30 1.348 regopt.log 26.11.2007 21:30 231 system.ini 26.11.2007 21:29 0 setuperr.log 08.11.2007 16:59 136.704 catchme.exe 21.06.2007 21:55 42.384 zllsputility_loc0407.dll 21.06.2007 21:54 75.248 zllsputility.exe 17.06.2007 00:11 51.200 NirCmd.exe 87 Datei(en) 7.481.982 Bytes 0 Verzeichnis(se), 7.021.547.520 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C33-2A77 Verzeichnis von C:\WINDOWS\tasks 28.11.2007 18:38 6 SA.DAT 02.04.2003 13:00 65 desktop.ini 2 Datei(en) 71 Bytes 0 Verzeichnis(se), 7.021.551.616 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C33-2A77 Verzeichnis von C:\WINDOWS\temp 28.11.2007 18:38 256 ZLT04152.TMP 28.11.2007 18:38 256 ZLT0414b.TMP 2 Datei(en) 512 Bytes 0 Verzeichnis(se), 7.021.551.616 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C33-2A77 Verzeichnis von C:\DOKUME~1\JLN~1.JUL\LOKALE~1\Temp 28.11.2007 18:56 107.483 filelist.txt 1 Datei(en) 107.483 Bytes 0 Verzeichnis(se), 7.021.551.616 Bytes frei |
|
28.11.2007, 20:01
| #9 | |
| | Trojaner TR/Agent.FMC | xxywwwx.dll Hallo starte bitte HijackThis mit der Option - do a system scan only - und hake diese Einträge an : Zitat:
Lade dir Avenger Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\xxywwwx.dll
C:\WINDOWS\web\related.htm
 4.) Danach das System unverzüglich neu starten lassen 5.) Erstelle und poste ein neues Logfile mit Hijackthis. Poste ausserdem den Inhalt der C:\avenger.txt Datei. MFG |
|
28.11.2007, 22:37
| #10 |
| | Trojaner TR/Agent.FMC | xxywwwx.dll hallo,  danke für deine hilfe, habe aber jetzt einfach die zeit dafür installiert das system neu aufzusetzen ... habe die installationsanweisung des boards genutzt und bin jetzt mit einem frischen, aktuellen system am start. denke deine mühe wird auch anderen geplagten noch von nutzen sein. also nochmal vielen dank! gruß |
|
29.11.2007, 05:05
| #11 | |
| | Trojaner TR/Agent.FMC | xxywwwx.dll Hallo Zitat:
MFG |
|
02.12.2007, 10:55
| #12 |
| | Trojaner TR/Agent.FMC | xxywwwx.dll HI ihr alle zusammen, ich hab auch diesen wunderschönen TR/Agent.FMC wollte mal erfragen, ob ich den nach der Anleitung auf seite 1 entfernen kann. Ahso muss wohl dazu sagen, dass bei mir des AntiVir folgende dll. datei anzeigt C:\WINDOWS\system32\wvuspon.dll Bin euch sehr dankbar!greetz Logfile of HijackThis v1.99.1 Scan saved at 11:58:53, on 02.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\VNICMon.exe C:\Programme\iRiver\iHP100\iHPDetect.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\WebRebates4\webrebates.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\WebRebates4\w11150.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Niclas Holland\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe O4 - HKLM\..\Run: [FirewallSvr] C:\WINDOWS\FirewallSvr.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [wutmblskvn] C:\WINDOWS\system32\mvrxloq.exe O4 - HKLM\..\Run: [mdcbkh] C:\WINDOWS\mdcbkh.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Brmoh] C:\Program Files\Ickdivo\Lcoh.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB O16 - DPF: {4AE9E3BF-409D-4F61-9804-920968603919} (Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/155fa552...dxIE601_de.cab O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe Geändert von NickNack (02.12.2007 um 11:07 Uhr) |
|
| Themen zu Trojaner TR/Agent.FMC | xxywwwx.dll |
| antivir, avira, bho, bluescree, bluescreen, booten, desktop, einstellungen, explorer, firefox, geliefert, google, hijack, hijackthis, internet, internet explorer, monitor, mozilla, mozilla firefox, mozilla thunderbird, nvidia, problem, programme, rundll, scan, system, system32, trojaner, windows xp |
