Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner - eScan und Silentrunner result- und jetzt?

Trojaner - eScan und Silentrunner result- und jetzt?


Plagegeister aller Art und deren Bekämpfung: Trojaner - eScan und Silentrunner result- und jetzt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 05.03.2008, 16:02   #1
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Hallo,
AbtiVir hat mir gemeldet, dass ich den Trojaner TR/Dropper.gem habe. Daraufhin habe ich, wie in diesem forum an anderer Stelle beschrieben einen eScan durchgeführt sowie den Silentrunner laufen lassen. Ich weiß nur nicht, wie es jetzt weiter gehen soll, anscheinend wurden mehrere Sachen gefunden, aber wie ich das jetzt loskriege weiß ich immer noch nicht.

Also, zunächst das Ergebnis vom eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.7.6
Sprache: English
C:\DOKUME~1\LENAWI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 15:37:49,10
Batchende: 15:38:14,15




Und die Ergebnisse von Silentrunner

"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"gxqlexh" = "c:\dokumente und einstellungen\lena wilk\lokale einstellungen\anwendungsdaten\gxqlexh.exe gxqlexh" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"S3TRAY2" = "S3Tray2.exe" ["S3 Graphics, Inc."]
"TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"TPKMAPHELPER" = "C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper" ["IBM Corp."]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"TP4EX" = "tp4ex.exe" ["IBM Corporation"]
"EZEJMNAP" = "C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" ["IBM Corp."]
"UC_Start" = "C:\Programme\IBM\Updater\\ucstartup.exe" [null data]
"UC_SMB" = (empty string) [file not found]
"(Default)" = (empty string) [file not found]
"IBMPRC" = "C:\IBMTOOLS\UTILS\ibmprc.exe" ["IBM Corp."]
"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]
"BMMLREF" = "C:\Programme\ThinkPad\Utilities\BMMLREF.EXE" [null data]
"BMMMONWND" = "rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor" [MS]
"WinDSL MTU-Adjust" = "WinDSL_MTU.exe" ["Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"pdfSaver3" = (empty string) [file not found]
"MMReminderService" = "C:\Programme\Mindjet\MindManager 6\MMReminderService.exe" [file not found]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
<<!>> QConGina\DLLName = "QConGina.dll" ["IBM Corp."]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Lena wilk\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
IBM KCU Service, TpKmpSVC, "C:\WINDOWS\system32\TpKmpSVC.exe" [null data]
IBM PM Service, IBMPMSVC, "C:\WINDOWS\System32\ibmpmsvc.exe" [null data]
IBM Rapid Restore Ultra Service, IBM Rapid Restore Ultra Service, ""C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe"" [empty string]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
QCONSVC, QCONSVC, "System32\QCONSVC.EXE" ["IBM Corp."]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor PIXMA iP1500\Driver = "CNMLM5y.DLL" ["CANON INC."]


---------- (launch time: 2008-03-05 15:50:29)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 52 seconds, including 18 seconds for message boxes)





--> Wer kann mir sagen, was ich jetzt mit dieser Info anfangen kann

Alt 05.03.2008, 16:04   #2
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Moment, sehe jetzt gerade selber, dass das nicht meine vollständigen Ergebnisse des eScans sind... da hat was mit der find.bat datei nicht geklappt... Mist. Ich versuchs nochmal.
__________________
Alt 05.03.2008, 16:13   #3
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Schon wieder ich selber. Also wer kann mir erst mal erklären, was ich mit dieser find.bat datei falsch mache? Der Report zeigt nach wie vor nichts an...
__________________
Alt 05.03.2008, 18:35   #4
nochdigger
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Hallo

wie es scheint hast du einen Swizzor.
Lass bitte mal Combofix dein System überprüfen
ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Anschließend erstelle bitte ein Log mit Smitfraudfix
Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MFG

Alt 05.03.2008, 18:43   #5
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Äh... wenn ich Combi-Fix starte kommt die Meldung, dass nicht alle Comupter das heil überstehen... ist das etwa ernst gemeint? Ich schreibe gerade meine Abschlussarbeit auf dem Ding, das geht nicht... Keine andere Idee?


Alt 05.03.2008, 18:50   #6
nochdigger
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Hallo

gut dann Hijackthis (benenne aber die *.exe um) und die Filelist

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

Alt 05.03.2008, 18:52   #7
blow-in
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Es ist eigentlich angesagt, dass wichtige Dateien nicht nur auf dem PC sich befinden sollen, sondern auch auf einem anderen Medium. Wie schnell passiert es, das ein Medium nicht mehr funktioniert. Dann ist man gut beraten eine Sicherungskopie zu haben. Früher hatte da eine Diskette gereicht. Jetzt muss halt mal eine CD-RW herhalten oder auch ein USB Stick.

Alt 05.03.2008, 18:56   #8
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Das erste Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 18:54:53, on 05.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Lena wilk\Eigene Dateien\temp\hijackthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.168.35.5:3128
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [gxqlexh] c:\dokumente und einstellungen\lena wilk\lokale einstellungen\anwendungsdaten\gxqlexh.exe gxqlexh
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143205183887
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143205171099
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A16D9B9B-1DBB-487E-8F14-E3A1A1A2563B}: Domain = vpn.uni-koeln.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A16D9B9B-1DBB-487E-8F14-E3A1A1A2563B}: NameServer = 134.95.129.23,134.95.19.48
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.uni-koeln.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.uni-koeln.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Alt 05.03.2008, 18:57   #9
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


P.S. Ich sichere meine Arbeit JEDEN Tag, aber es wäre schon nervig wenn zum beispiel Programme kaputt gehen würde oder so...

Alt 05.03.2008, 19:05   #10
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


So und hier die Ergebnisse der letzten 30 Tage:

Verzeichnis von C:\
05.03.2008 16:26 258.461.696 hiberfil.sys
05.03.2008 16:26 390.070.272 pagefile.sys
05.03.2008 15:29 0 23990098.$$$

Verzeichnis von C:\WINDOWS\system32

05.03.2008 16:27 2.278 wpa.dbl
08.01.2008 21:15 171.488 FNTCACHE.DAT

Verzeichnis von C:\WINDOWS

05.03.2008 16:30 1.673.455 setupapi.log
05.03.2008 16:27 54.156 QTFont.qfn
05.03.2008 16:26 0 0.log
05.03.2008 16:26 2.045.684 WindowsUpdate.log
05.03.2008 16:26 2.048 bootstat.dat
05.03.2008 16:21 26 Lic.xxx
05.03.2008 16:17 356.558 ntbtlog.txt
05.03.2008 16:16 32.594 SchedLgU.Txt
05.03.2008 09:37 73.704 wmsetup.log
25.02.2008 09:25 215 wiadebug.log
20.02.2008 13:28 50 wiaservc.log

Verzeichnis von C:\WINDOWS\Prefetch

05.03.2008 18:59 13.814 CMD.EXE-087B4001.pf
05.03.2008 18:58 66.446 WINRAR.EXE-3588DFE8.pf
05.03.2008 18:55 23.836 NOTEPAD.EXE-336351A9.pf
05.03.2008 18:52 19.232 VERCLSID.EXE-3667BD89.pf
05.03.2008 18:41 4.868 SED.CFEXE-268D7E58.pf
05.03.2008 18:41 7.564 PSEXEC.CFEXE-2CB6A9EC.pf
05.03.2008 18:40 7.112 SWREG.CFEXE-2BF4FFCD.pf
05.03.2008 18:40 6.824 CF11322.EXE-2B736E2A.pf
05.03.2008 18:40 11.312 NIRCMD.CFEXE-19FF4781.pf
05.03.2008 18:40 3.756 GREP.CFEXE-20443039.pf
05.03.2008 18:40 4.074 MTEE.CFEXE-1E067BC7.pf
05.03.2008 18:40 5.238 CHCP.COM-18156052.pf
05.03.2008 18:40 9.276 NIRCMD.COM-323C21EC.pf
05.03.2008 18:40 5.768 LISTDLLS.CFEXE-163777B3.pf
05.03.2008 18:40 10.464 FINDSTR.EXE-0CA6274B.pf
05.03.2008 18:40 9.652 NIRCMD.COM-223F42C3.pf
05.03.2008 18:40 11.330 RUNDLL32.EXE-4C45840F.pf
05.03.2008 18:40 6.364 SWREG.CFEXE-287CC9EF.pf
05.03.2008 18:40 11.984 GRPCONV.EXE-111CD845.pf
05.03.2008 18:40 16.992 RUNONCE.EXE-2803F297.pf
05.03.2008 18:40 6.018 SWXCACLS.CFEXE-24057B3B.pf
05.03.2008 18:40 56.178 COMBOFIX.EXE-0FF9E176.pf
05.03.2008 18:28 88.830 SOFFICE.BIN-25675DF3.pf
05.03.2008 18:28 37.132 SOFFICE.EXE-1D77C8CC.pf
05.03.2008 18:27 6.314 SWRITER.EXE-20942C0D.pf
05.03.2008 17:50 56.962 WMPLAYER.EXE-09969332.pf
05.03.2008 17:49 19.670 SIMPLESUDOKU.EXE-2EC3A93E.pf
05.03.2008 17:26 22.144 DWP.EXE-36074FCA.pf
05.03.2008 17:26 79.578 VISUALCOMPOSER.EXE-1ABF5AB2.pf
05.03.2008 17:22 82.624 WINWORD.EXE-259486DA.pf
05.03.2008 17:00 392.254 Layout.ini
05.03.2008 16:31 50.182 SKYPEPM.EXE-03F1BFBD.pf
05.03.2008 16:31 86.510 WMIPRVSE.EXE-28F301A9.pf
05.03.2008 16:31 77.800 SKYPE.EXE-21F19BC8.pf
05.03.2008 16:31 92.912 FIREFOX.EXE-1D57670A.pf
05.03.2008 16:30 76.416 VPNGUI.EXE-10986A0F.pf
05.03.2008 16:30 7.948 IPSECDIALER.EXE-2368204B.pf
05.03.2008 16:29 5.602 UCGATHER.EXE-21718AFE.pf
05.03.2008 16:28 80.722 IPODSERVICE.EXE-233792DA.pf
05.03.2008 16:28 705.326 NTOSBOOT-B00DFAAD.pf
05.03.2008 16:15 30.560 QCTRAY.EXE-2259B419.pf
05.03.2008 16:15 33.970 LOGONUI.EXE-0AF22957.pf
05.03.2008 16:08 55.782 KAVSS.EXE-21DF8F81.pf
05.03.2008 16:07 57.882 GETVLIST.EXE-328BD5DF.pf
05.03.2008 16:06 47.274 SCANNINGPROCESS.EXE-0EDA90FA.pf
05.03.2008 16:06 17.166 MWAVL.EXE-04C657CE.pf
05.03.2008 16:06 11.956 MEXE.COM-3511088B.pf
05.03.2008 16:05 96.362 MWAV.EXE-00871A64.pf
05.03.2008 16:05 10.622 REG.EXE-0D2A95F7.pf
05.03.2008 16:05 5.466 MORE.COM-32DCB7E4.pf
05.03.2008 15:48 74.082 WSCRIPT.EXE-32960AB9.pf
05.03.2008 15:43 13.378 NET1.EXE-029B9DB4.pf
05.03.2008 15:43 45.480 NET.EXE-01A53C2F.pf
05.03.2008 15:43 27.488 WGATRAY.EXE-0ED38BED.pf
05.03.2008 15:43 23.240 WUAUCLT.EXE-399A8E72.pf
05.03.2008 15:42 75.864 PYTHON.EXE-28B11BC1.pf
05.03.2008 15:00 57.112 ALG.EXE-0F138680.pf
05.03.2008 11:29 83.742 HELPSVC.EXE-2878DDA2.pf
05.03.2008 10:09 47.396 AVSCAN.EXE-05AECC0E.pf
05.03.2008 10:09 70.410 AVCENTER.EXE-37584419.pf
05.03.2008 10:07 17.712 MSIEXEC.EXE-2F8A8CAE.pf
05.03.2008 10:07 41.096 IDRIVER.EXE-28F432B1.pf
05.03.2008 10:07 79.850 ACRORD32.EXE-0EC716D9.pf
05.03.2008 09:36 35.290 SETUP_WM.EXE-19AC5A9B.pf
05.03.2008 09:30 41.026 ACRORD32INFO.EXE-30CEC19C.pf
05.03.2008 09:12 224.444 AVNOTIFY.EXE-22AE9451.pf
05.03.2008 09:12 40.212 UPDATE.EXE-13D57D76.pf
05.03.2008 09:12 15.186 PREUPD.EXE-358AA1C1.pf
05.03.2008 09:11 40.428 REALPLAY.EXE-39F79CBD.pf
04.03.2008 10:13 18.296 GUARDGUI.EXE-1BD45C30.pf
04.03.2008 09:12 21.336 REALSCHED.EXE-0A2A7558.pf
04.03.2008 09:12 9.734 JAVA.EXE-0967259C.pf
03.03.2008 14:14 65.350 DFRGNTFS.EXE-269967DF.pf
03.03.2008 14:14 17.788 DEFRAG.EXE-273F131E.pf
03.03.2008 11:29 94.968 OUTLOOK.EXE-27D5965C.pf
03.03.2008 10:42 58.036 SOFTWAREUPDATE.EXE-1E90DF1F.pf
03.03.2008 10:42 18.526 DLLHOST.EXE-205D880D.pf
02.03.2008 18:53 21.776 RUNDLL32.EXE-1967DC69.pf
02.03.2008 18:46 60.772 AVGNT.EXE-36CA4640.pf
02.03.2008 18:41 18.548 LAUNCHEG.EXE-2B615356.pf
28.02.2008 15:18 64.860 ITUNES.EXE-15E88941.pf
28.02.2008 14:57 78.772 OUTLOOK.EXE-22C5790A.pf
27.02.2008 15:55 13.256 CALC.EXE-02CD573A.pf
26.02.2008 13:35 44.902 DWWIN.EXE-30875ADC.pf
26.02.2008 13:34 77.676 DUMPREP.EXE-1B46F901.pf
26.02.2008 10:32 20.758 IMAPI.EXE-0BF740A4.pf
26.02.2008 10:31 9.312 RUNDLL32.EXE-451FC2C0.pf
26.02.2008 08:55 23.164 RUNDLL32.EXE-40C5E603.pf
26.02.2008 08:55 22.444 RUNDLL32.EXE-40924C97.pf
26.02.2008 08:55 23.116 RUNDLL32.EXE-1C2DA735.pf
26.02.2008 08:55 23.092 RUNDLL32.EXE-1A2AD202.pf
26.02.2008 08:55 25.350 RUNDLL32.EXE-1BFA0DC9.pf
25.02.2008 09:21 17.114 RUNDLL32.EXE-188DF14E.pf
24.02.2008 17:40 24.564 PDIRECT.EXE-2DCC7803.pf
24.02.2008 17:40 26.146 NPDAPLY.EXE-2602F7DE.pf
24.02.2008 13:56 17.666 REGSVR32.EXE-25EEFE2F.pf
22.02.2008 21:10 15.208 RUNDLL32.EXE-4242D27E.pf
22.02.2008 17:51 19.308 TASKMGR.EXE-20256C55.pf
22.02.2008 15:23 21.692 RUNDLL32.EXE-2341BBC5.pf
22.02.2008 15:23 18.768 CONTROL.EXE-013DBFB5.pf
22.02.2008 10:57 16.090 RUNDLL32.EXE-39ED32A0.pf
21.02.2008 17:56 9.318 RUNDLL32.EXE-268BFF96.pf
21.02.2008 15:37 22.674 POWERPNT.EXE-32C0D1A2.pf
21.02.2008 10:56 17.690 SNDVOL32.EXE-383480B7.pf
20.02.2008 17:33 21.032 DRWTSN32.EXE-2B4B52AC.pf
20.02.2008 13:28 11.678 SVCHOST.EXE-3530F672.pf
19.02.2008 19:53 25.264 RUNDLL32.EXE-3F6536FB.pf
19.02.2008 17:52 147.812 POWERPNT.EXE-019F2E3D.pf
19.02.2008 13:11 7.586 BRSS01A.EXE-101B5018.pf
19.02.2008 12:58 11.786 RUNDLL32.EXE-126ACBB4.pf
18.02.2008 00:01 12.804 RUNDLL32.EXE-19DA9EFA.pf
18.02.2008 00:01 12.804 RUNDLL32.EXE-46FCABD8.pf
18.02.2008 00:01 12.804 RUNDLL32.EXE-3883EEAF.pf
18.02.2008 00:01 12.804 RUNDLL32.EXE-2A0B3186.pf
18.02.2008 00:01 21.968 RUNDLL32.EXE-28535C23.pf
17.02.2008 21:09 12.804 RUNDLL32.EXE-18760E51.pf
17.02.2008 21:09 12.804 RUNDLL32.EXE-4449E57B.pf
17.02.2008 21:09 12.804 RUNDLL32.EXE-2DA95DC3.pf
17.02.2008 21:09 12.804 RUNDLL32.EXE-2F169609.pf
17.02.2008 21:09 24.344 RUNDLL32.EXE-16A6D28A.pf
17.02.2008 17:48 25.544 QCWIZARD.EXE-3AC5DB52.pf
17.02.2008 17:45 40.398 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
16.02.2008 23:37 44.146 WMPLAYER.EXE-0996933A.pf
16.02.2008 23:36 56.026 WMPLAYER.EXE-0996933B.pf
15.02.2008 12:56 52.466 EXPLORER.EXE-082F38A9.pf
15.02.2008 12:49 11.816 RUNDLL32.EXE-2923D326.pf
15.02.2008 10:15 18.398 RUNDLL32.EXE-2EAF3733.pf
15.02.2008 10:09 75.094 MOVIETHUMB.EXE-30745E5D.pf
15.02.2008 10:08 65.806 PICASA2.EXE-2435D322.pf
15.02.2008 10:08 26.054 PICASAUPDATE.EXE-05263A00.pf

Verzeichnis von C:\WINDOWS\tasks

05.03.2008 16:26 6 SA.DAT
03.03.2008 10:42 276 AppleSoftwareUpdate.job

Verzeichnis von C:\WINDOWS\temp

05.03.2008 16:30 4.557.181 dneinst.log
05.03.2008 16:27 409 WGANotify.settings
05.03.2008 16:26 255 WGAErrLog.txt
04.03.2008 09:12 1.266 qcontmp2.vbs
02.03.2008 21:25 1.266 qcontmp1.vbs
02.03.2008 18:42 193.138 eG8
02.03.2008 18:41 1.266 qcontmp50.vbs
29.02.2008 16:43 1.266 qcontmp49.vbs
29.02.2008 10:36 1.266 qcontmp48.vbs
28.02.2008 08:33 1.266 qcontmp47.vbs
27.02.2008 22:28 1.266 qcontmp46.vbs
27.02.2008 17:06 1.266 qcontmp45.vbs
27.02.2008 16:05 1.266 qcontmp44.vbs
27.02.2008 15:41 1.266 qcontmp43.vbs
26.02.2008 08:35 1.266 qcontmp42.vbs
25.02.2008 12:14 1.266 qcontmp41.vbs
25.02.2008 09:29 1.266 qcontmp40.vbs
24.02.2008 13:40 193.040 eG7
23.02.2008 19:16 1.266 qcontmp39.vbs
22.02.2008 14:41 1.266 qcontmp38.vbs
22.02.2008 10:14 1.266 qcontmp37.vbs
21.02.2008 17:50 1.266 qcontmp36.vbs
19.02.2008 19:49 1.266 qcontmp35.vbs
18.02.2008 17:48 1.266 qcontmp34.vbs
18.02.2008 08:44 1.266 qcontmp33.vbs
17.02.2008 00:00 193.305 eG6
16.02.2008 19:19 1.266 qcontmp32.vbs
16.02.2008 13:08 1.266 qcontmp31.vbs
16.02.2008 12:22 1.266 qcontmp30.vbs
16.02.2008 12:02 1.266 qcontmp29.vbs
15.02.2008 17:06 1.266 qcontmp28.vbs
15.02.2008 12:32 1.266 qcontmp27.vbs
15.02.2008 09:57 1.266 qcontmp26.vbs
14.02.2008 17:10 1.266 qcontmp25.vbs
14.02.2008 16:31 1.266 qcontmp24.vbs
14.02.2008 01:34 1.266 qcontmp23.vbs
13.02.2008 17:14 1.266 qcontmp22.vbs
13.02.2008 17:07 1.266 qcontmp21.vbs
13.02.2008 15:35 1.266 qcontmp20.vbs
11.02.2008 10:03 193.040 eG5
08.02.2008 18:52 1.266 qcontmp19.vbs
08.02.2008 11:04 1.266 qcontmp18.vbs
08.02.2008 10:56 1.266 qcontmp17.vbs
07.02.2008 11:00 1.266 qcontmp16.vbs
07.02.2008 10:55 1.266 qcontmp15.vbs
06.02.2008 22:33 1.266 qcontmp14.vbs
06.02.2008 08:58 1.266 qcontmp13.vbs
05.02.2008 23:11 1.266 qcontmp12.vbs
05.02.2008 10:22 1.266 qcontmp11.vbs
04.02.2008 12:00 1.266 qcontmp10.vbs
04.02.2008 11:57 1.266 qcontmp9.vbs
03.02.2008 11:50 1.266 qcontmp8.vbs
03.02.2008 00:00 193.313 eG4
02.02.2008 15:19 1.266 qcontmp7.vbs
02.02.2008 12:55 1.266 qcontmp6.vbs
01.02.2008 17:04 1.266 qcontmp5.vbs
01.02.2008 16:28 1.266 qcontmp4.vbs
01.02.2008 10:50 1.266 qcontmp3.vbs

Verzeichnis von C:\DOKUME~1\LENAWI~1\LOKALE~1\Temp

05.03.2008 18:59 132.651 filelist.txt
05.03.2008 18:39 1.580.761 p1d70sqz.exe
05.03.2008 17:22 32.768 Engelslieder.doc
05.03.2008 16:33 16.384 ~DFCEC3.tmp
05.03.2008 16:32 187.794 jusched.log
05.03.2008 16:25 2.576.166 MWAV.LOG
05.03.2008 16:25 72.280 sfdb.dat
05.03.2008 16:23 361.474 MWAVC.LOG
05.03.2008 16:21 22 pinfect.zip
05.03.2008 16:08 262 vlist.log
05.03.2008 16:08 8.689.006 vlist.txt
05.03.2008 14:47 167.694 4f45_appcompat.txt
05.03.2008 12:49 626.688 msvcr80.dll
05.03.2008 12:49 548.864 msvcp80.dll
05.03.2008 12:49 241.664 MYDB.DLL
05.03.2008 09:36 12.818 control.xml
02.03.2008 18:52 0 f2ak3mag.JPG
02.03.2008 18:50 0 5svlcmki.JPG
26.02.2008 16:09 194.048 esupdate.exe
26.02.2008 14:58 34.899 avp.klb
26.02.2008 14:58 6.389 daily-ec.avc
26.02.2008 14:58 14.839 dailyc.avc
26.02.2008 14:55 71.680 Reload.exe
26.02.2008 14:06 395.291 phupdn.txt
26.02.2008 13:46 18.427 global.daz
26.02.2008 13:46 110.294 phupdn.txz
26.02.2008 12:56 4.894 avp_x.set
26.02.2008 12:56 4.894 avp_ext.set
26.02.2008 12:56 4.894 avp.set
26.02.2008 12:56 40.035 fa.avc
26.02.2008 12:56 5.421 daily.avc
26.02.2008 12:56 46.418 unp033.avc
26.02.2008 12:56 11.010 ext014c.avc
26.02.2008 12:56 32.034 ext013c.avc
26.02.2008 12:56 30.276 base110c.avc
26.02.2008 12:56 29.413 fa001.avc
25.02.2008 20:03 42.496 unregx.exe
25.02.2008 20:01 461.824 msvl64.dll
25.02.2008 19:58 45.568 setpriv.exe
25.02.2008 19:58 431.168 mexe.com
25.02.2008 19:58 431.168 MWAVSCAN.COM
25.02.2008 19:56 67.072 msvlclnt.dll
25.02.2008 19:53 51.264 Getvlist.exe
25.02.2008 17:14 5.106 esupd.ini
25.02.2008 15:13 61.011 studivz_detaf.pdf
25.02.2008 12:13 1.968 daily-ex.avc
25.02.2008 12:13 44.502 unp017.avc
25.02.2008 12:13 54.511 base163.avc
25.02.2008 12:13 51.062 base029.avc
25.02.2008 12:13 51.878 base109c.avc
25.02.2008 12:13 53.605 base108c.avc
25.02.2008 12:13 43.481 krnengn.avc
22.02.2008 15:40 0 m4w153.tmp
22.02.2008 12:59 94.568 unp039.avc
22.02.2008 12:59 50.265 base142.avc
22.02.2008 11:35 413.696 VIEWTCP.EXE
21.02.2008 18:24 36.605 unp012.avc
21.02.2008 18:24 81.947 unp002.avc
21.02.2008 18:24 70.820 base162.avc
21.02.2008 15:34 39.936 Evaluation SLT 2 2008.doc
20.02.2008 16:09 50.710 base150.avc
20.02.2008 16:09 51.712 base107c.avc
20.02.2008 16:09 112.584 krn005.avc
20.02.2008 13:28 691 TWAIN.LOG
20.02.2008 13:28 156 Twunk001.MTX
20.02.2008 13:28 2 Twain001.Mtx
20.02.2008 13:28 0 Twunk002.MTX
19.02.2008 17:24 50.552 German.Age
19.02.2008 14:27 53.992 Czech.Age
19.02.2008 14:27 53.179 Tamil.Age
19.02.2008 14:27 93.752 Chinese.Age
19.02.2008 14:27 112.656 Icelandic.Age
19.02.2008 14:27 114.424 Finnish.Age
19.02.2008 14:27 117.566 Polish.Age
19.02.2008 14:26 118.721 French.Age
19.02.2008 14:26 117.611 Spanish.Age
19.02.2008 14:26 118.335 Spanishl.Age
19.02.2008 14:26 113.366 Romanian.Age
19.02.2008 14:26 125.907 Portuguese.Age
19.02.2008 14:26 124.977 Italian.Age
19.02.2008 14:09 14.461 German.con
19.02.2008 13:51 35.703 gen005.avc
19.02.2008 13:51 48.406 unp038.avc
19.02.2008 13:51 51.029 unp034.avc
19.02.2008 13:51 49.513 unp037.avc
19.02.2008 13:51 59.736 unp010.avc
19.02.2008 13:51 42.780 ext012c.avc
19.02.2008 13:51 52.986 base106c.avc
19.02.2008 13:51 52.622 base105c.avc
19.02.2008 11:26 354.592 spydb.old
19.02.2008 11:26 354.592 spydb.avs
19.02.2008 11:26 2.166.220 File1.sdb
19.02.2008 11:26 3.438.829 File2.sdb
19.02.2008 11:26 169.570 Spyware.sdb
19.02.2008 11:26 1.327.509 Cid.sdb
19.02.2008 11:26 1.474.894 Dir.sdb
18.02.2008 20:40 432.640 MWAVREG.EXE
17.02.2008 17:49 20.888 c415_appcompat.txt
17.02.2008 17:48 1.266 qcontmp25.vbs
16.02.2008 19:48 44.572 language.ini
16.02.2008 19:48 44.572 English.Age
16.02.2008 19:36 6.431 German.dow
16.02.2008 17:49 1.925 German.tcp
16.02.2008 16:26 8.115 English.lic
16.02.2008 16:26 8.115 license.txt
16.02.2008 13:23 31.898 2fc_appcompat.txt
16.02.2008 13:23 1.266 qcontmp24.vbs
15.02.2008 20:01 9.875 German.lic
15.02.2008 17:12 12.309 Italian.con
15.02.2008 12:37 16.384 ~DFD090.tmp
15.02.2008 03:28 49.133 base030.avc
15.02.2008 03:28 50.874 base104c.avc
15.02.2008 03:28 52.184 base101c.avc
14.02.2008 18:46 51.393 base103c.avc
14.02.2008 18:46 52.106 base102c.avc
14.02.2008 18:08 24.696 fac3_appcompat.txt
14.02.2008 18:07 1.266 qcontmp23.vbs
14.02.2008 17:04 188.928 DOWNLOAD.EXE
12.02.2008 19:28 50.535 base157.avc
12.02.2008 15:20 37.219 unp022.avc
12.02.2008 15:20 30.199 unp031.avc
12.02.2008 15:20 49.793 base145.avc
12.02.2008 15:20 51.722 base090c.avc
12.02.2008 10:02 50.136 base110.avc
12.02.2008 10:02 49.926 base152.avc
12.02.2008 10:02 52.828 base100c.avc
12.02.2008 10:02 372 krn003.avc
10.02.2008 17:56 52.856 base099c.avc
08.02.2008 18:08 38.362 ext011c.avc
08.02.2008 18:08 52.558 base088c.avc
08.02.2008 17:07 99.328 MWAVL.EXE
08.02.2008 12:37 23.004 7622_appcompat.txt
08.02.2008 12:37 1.266 qcontmp22.vbs
07.02.2008 15:10 60.979 unp023.avc
07.02.2008 15:10 66.159 unp016.avc
07.02.2008 15:10 53.983 base161.avc
07.02.2008 15:10 49.617 base126.avc
07.02.2008 15:10 47.690 base038.avc
07.02.2008 15:10 38.586 ext010c.avc
07.02.2008 15:10 51.832 base098c.avc
07.02.2008 15:10 51.553 base097c.avc
07.02.2008 15:10 53.619 base096c.avc
07.02.2008 15:10 51.382 base095c.avc
07.02.2008 15:10 138.105 krnunp.avc
06.02.2008 21:12 14.400 faristream.ppl
06.02.2008 21:12 14.912 farbuffer.ppl
06.02.2008 21:11 139.264 ScanningProcess.exe
06.02.2008 21:11 65.536 ikave.dll
06.02.2008 21:10 282.624 kave.dll
06.02.2008 12:57 5.433 Download.lan
06.02.2008 12:57 5.433 English.dow
04.02.2008 12:10 4.206.876 Helpdesk.wm
04.02.2008 12:09 16.384 ~DF1258.tmp
02.02.2008 16:03 25.120 5239_appcompat.txt
02.02.2008 16:03 1.266 qcontmp21.vbs
01.02.2008 13:13 12.216 avp.vnd
01.02.2008 13:13 34.769 unp018.avc
01.02.2008 13:13 49.724 base094c.avc
01.02.2008 13:13 8.423 krngen.avc

Alt 05.03.2008, 19:45   #11
nochdigger
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Hallo

Mach bitte alle versteckten Dateien und Ordner sichtbar und dann lass diese Datei
Zitat:
c:\dokumente und einstellungen\lena wilk\lokale einstellungen\anwendungsdaten\gxqlexh.exe
bitte hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti
überprüfen (kann einige Minuten dauern), poste die Ergebnisse
mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.
Es könnte sich um etwas anderes wie ein kleiner Swizzor handeln.

Außerdem durchsuche bitte dein eScan log nach "Infected" sowie "tagged" und poste die Funde.

MFG

Alt 06.03.2008, 09:24   #12
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Hallo... leider kann ich diese Datei, trotz dem "Sichtbar machen aller DAteien" nicht finden...

hm... noch ne Idee??

Alt 06.03.2008, 09:31   #13
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Habe meinen Computer nach der gxqlexh.exe suchen lassen, aber er hat nur welche im Papierkorb gefunden mit .dat am Ende.

Alt 06.03.2008, 11:48   #14
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


Habe im eScan Log folgendes gefunden:

Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "spywaresecure Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.


??

Alt 06.03.2008, 12:26   #15
Mzungu
 
Trojaner - eScan und Silentrunner result- und jetzt? - Standard

Trojaner - eScan und Silentrunner result- und jetzt?


O-oh... ich scheine wirklich ein Problem zu haben, denn wenn ich eine mail schicke an eine Freundin bekomme ich folgende meldung zurück:


Mail rejected by Windows Live Hotmail for policy reasons. A block
has been placed against your IP address because we have received complaints
concerning mail coming from that IP address. If you are not an
email/network admin please contact your E-mail/Internet Service Provider
for help. Email/network admins, we recommend enrolling in our Junk E-Mail
Reporting Program (JMRP), a free program intended to help senders remove
unwanted recipients from their e-mail list: http://postmaster.live.com (in
reply to MAIL FROM command)

Und jetzt?

Antwort
Seite 1 von 2 1 2

Themen zu Trojaner - eScan und Silentrunner result- und jetzt?
.dll, acroiehelper.dll, adobe, antivir, avg, avgnt, avgnt.exe, avira, bho, browser, confused, ctfmon.exe, desktop, dll, drivers, dsl, einstellungen, explorer, fehler, finds, google, hosts-datei, internet, internet explorer, jusched.exe, malware, mehrere, plug-in, prozesse, registry, rundll, shortcut, shut down, silentrunner, software, temp, trojaner, windows, windows xp, windows\system32\drivers


« Kann nur in den ersten 5 Sekunden nach Systemstart Programme starten | ixplore.exe, sytem 32.. fehler, (absoluter laie:-(--) »


Ähnliche Themen: Trojaner - eScan und Silentrunner result- und jetzt?


  1. Google wird zu Yahoo geleitet und Result Hub Ads
    Plagegeister aller Art und deren Bekämpfung - 19.09.2015 (10)
  2. Durch Biet-o-matic jetzt statt google startseite jetzt webssearches
    Plagegeister aller Art und deren Bekämpfung - 22.12.2014 (9)
  3. Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-07-2013 Ran by Verena (administrator) on 24-07-2013 20:57:45 Running f
    Mülltonne - 24.07.2013 (1)
  4. Ist jetzt der Trojaner jetzt weg?
    Log-Analyse und Auswertung - 30.03.2013 (19)
  5. Result: 1/ 42 (2.4%) / Gefahr oder Erklärung ?
    Log-Analyse und Auswertung - 15.04.2011 (5)
  6. Trojaner Problem, escan log
    Plagegeister aller Art und deren Bekämpfung - 06.06.2008 (6)
  7. Escan melden Befall z.B. gain.gator, winfixer, fujacks worm, HJT Log und Escan Log
    Log-Analyse und Auswertung - 04.03.2008 (8)
  8. eScan durchgeführt und jetzt?
    Log-Analyse und Auswertung - 30.01.2008 (20)
  9. eScan durchgeführt und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 26.01.2008 (0)
  10. Silentrunner Log ... bitte mal reingucken...
    Mülltonne - 22.07.2007 (0)
  11. Trojaner - eScan
    Log-Analyse und Auswertung - 28.03.2006 (2)
  12. Escan Auswertung durch find.bat - und jetzt? Was muss ich jetzt machen???
    Log-Analyse und Auswertung - 06.02.2006 (6)
  13. escan gibt 64 viren an, escan-checkb9 findet keine zu löschenden dateien
    Antiviren-, Firewall- und andere Schutzprogramme - 27.07.2005 (0)
  14. mein escan log - und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (3)
  15. About blank: escan erfolgt, was jetzt???????
    Log-Analyse und Auswertung - 18.03.2005 (2)
  16. jmkf.dll...escan auswertung --> was kann ich jetzt tun
    Log-Analyse und Auswertung - 11.01.2005 (1)
  17. eScan ... Trojaner und Vieren auf dem PC
    Log-Analyse und Auswertung - 10.12.2004 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner - eScan und Silentrunner result- und jetzt? - Hallo, AbtiVir hat mir gemeldet, dass ich den Trojaner TR/Dropper.gem habe. Daraufhin habe ich, wie in diesem forum an anderer Stelle beschrieben einen eScan durchgeführt sowie den Silentrunner laufen lassen. - Trojaner - eScan und Silentrunner result- und jetzt?...
Archiv
Du betrachtest: Trojaner - eScan und Silentrunner result- und jetzt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58