Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   System sauber ?? (https://www.trojaner-board.de/22790-system-sauber.html)

gingerwolf 16.10.2005 00:39
System sauber ??
 
Hallo zusammen,
sitze hier gerad am Rechner meiner Schwiegereltern und hatte ein paar komische Effekte am System. Hab mal nen HiJack-Log erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 01:26:30, on 16.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\khooker.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\VBox Client\vboxclient.exe
C:\Dokumente und Einstellungen\Elvira\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*h**p://de.search.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*h**p://de.search.yahoo.comR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://de.search.yahoo.comO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_6_2_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe
O4 - Startup: vboxclient.lnk = C:\Programme\VBox Client\vboxclient.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**p://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - h**p://www.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cabO16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - h**p://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cabO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Wäre schön, wenn dort mal einer drüberschauen könnte. Vielen Dank.


schöne Grüße
gingerwolf

[edit:urls vergessen :( )

Wildone 16.10.2005 09:06
Hallo,
überprüfe (Dateien richtig suchen ) mal die C:\WINNT\system32\winshost.exe (falls vorhanden) hier und poste das Ergebnis.
Falls die Datei nicht mehr da ist solltest du dein System mal mit Escan (Anleitung sorgfältig lesen!) überprüfen und das Log wie beschrieben posten.



Grüße Wildone

gingerwolf 16.10.2005 12:53
Hallo,
vielen Dank für die schnelle Antwort !

Hier ein erstes ergebnis:


AntiVir Trojan/Dldr.Bagle.BT.2 gefunden
ArcaVir Worm.Beagle.Bx gefunden
Avast Win32:Beagle-CC gefunden
AVG Antivirus I-Worm/Bagle gefunden BitDefender Win32.Bagle.BQ@mm gefunden
ClamAV Worm.Bagle.BB-gen gefunden
Dr.Web Win32.HLLM.Beagle.36864 gefunden
F-Prot Antivirus W32/Mitglieder.DT gefunden
Fortinet W32/Bagle.BQ-mm gefunden
Kaspersky Anti-Virus Email-Worm.Win32.Bagle.bq gefunden
NOD32 Win32/Bagle.BI gefunden
Norman Virus Control W32/Mitglied.IR gefunden
UNA Keine Viren gefunden
VBA32 Worm.Bagle.Gen gefunden

Ich werd nu EScan drüberlaufen lassen und das Ergebnis posten.


schon einmal Danke für die Hinweise :daumenhoc

grüße Gingerwolf

Wildone 16.10.2005 13:03
Hallo,
da diese Version des Bagles weitere Viren nachladen kann (siehe hier). Solltest du mal das System mit Escan (Anleitung sorgfältig lesen!) überprüfen und dann das Log wie beschrieben posten.

[EDIT]
Wenn ich sorfältiger lesen würde hätte ich gesehen das du das mit Escan ohnehin vorhast :sleepy:
[/EDIT]

Grüße Wildone

gingerwolf 16.10.2005 15:02
Hallo zusammen,
nach 90min war Escan dann durch =)

die Find.bat hab ich auch gleich drüberlaufen lassen und das eScan_neu.txt als Anhang beigefügt.

vielen Dank und noch en guten Sonntag
Gingerwolf

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Funde für "infected"
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Sun Oct 16 14:05:23 2005 => File C:\WINNT\system32\wiwshost.exe infected by "Email-Worm.Win32.Bagle.bq" Virus! Action Taken: No Action Taken.
 Sun Oct 16 14:05:42 2005 => File C:\WINNT\system32\winshost.exe infected by "Email-Worm.Win32.Bagle.bq" Virus! Action Taken: No Action Taken.
 Sun Oct 16 14:06:07 2005 => System found infected with hotbar Spyware/Adware ({1e24f8a0-5965-4902-90d4-08534e9adf3b})! Action taken: No Action Taken.
 Sun Oct 16 14:06:07 2005 => System found infected with hotbar Spyware/Adware ({954814c0-40f3-4249-8528-b4922cd2964e})! Action taken: No Action Taken.
 Sun Oct 16 14:06:07 2005 => System found infected with hotbar Spyware/Adware ({a54814c0-40f3-4249-8528-b4922cd2964e})! Action taken: No Action Taken.
 Sun Oct 16 14:06:08 2005 => System found infected with hotbar Spyware/Adware ({b195b3b3-8a05-11d3-97a4-0004aca6948e})! Action taken: No Action Taken.
 Sun Oct 16 14:06:08 2005 => System found infected with hotbar Spyware/Adware ({b195b3b3-8a05-11d3-97a4-0004aca6948e})! Action taken: No Action Taken.
 Sun Oct 16 14:06:08 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
 Sun Oct 16 14:06:08 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
 Sun Oct 16 14:06:12 2005 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.
 Sun Oct 16 14:06:13 2005 => System found infected with bonzibuddy Spyware/Adware (spchapi.exe)! Action taken: No Action Taken.
 Sun Oct 16 14:06:19 2005 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.
 Sun Oct 16 14:06:20 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:06:31 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:06:31 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:06:33 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:06:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:06:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:06:36 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:06:39 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:06:41 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:06:41 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:01 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:03 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:07:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:07 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:07:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:08 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:07:08 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:07:08 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:07:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:10 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:10 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
 Sun Oct 16 14:07:10 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
 Sun Oct 16 14:07:11 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
 Sun Oct 16 14:07:18 2005 => System found infected with zipitpro Spyware/Adware (C:\WINNT\iun6002.exe)! Action taken: No Action Taken.
 Sun Oct 16 15:02:12 2005 => File C:\Programme\Norton AntiVirus\Quarantine\122302C1 infected by "Email-Worm.Win32.NetSky.d" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:12 2005 => File C:\Programme\Norton AntiVirus\Quarantine\322354FD infected by "Email-Worm.Win32.NetSky.d" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:13 2005 => File C:\Programme\Norton AntiVirus\Quarantine\335A560A infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:13 2005 => File C:\Programme\Norton AntiVirus\Quarantine\35C35563 infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:13 2005 => File C:\Programme\Norton AntiVirus\Quarantine\3FF05353 infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:13 2005 => File C:\Programme\Norton AntiVirus\Quarantine\42D36B0B infected by "Email-Worm.Win32.Bagle.bo" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:14 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4425525D.pif infected by "Email-Worm.Win32.Mydoom.a" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:14 2005 => File C:\Programme\Norton AntiVirus\Quarantine\61BB4F07 infected by "Email-Worm.Win32.Bagle.bo" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:14 2005 => File C:\Programme\Norton AntiVirus\Quarantine\61E42F21 infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:02:14 2005 => File C:\Programme\Norton AntiVirus\Quarantine\63CF7871 infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:30:57 2005 => File C:\WINNT\system32\wiwshost.exe infected by "Email-Worm.Win32.Bagle.bq" Virus! Action Taken: No Action Taken.
 Sun Oct 16 15:32:58 2005 => Total Disinfected Files: 0
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Funde für "tagged"
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Sun Oct 16 14:42:32 2005 => File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
 Sun Oct 16 15:02:13 2005 => File C:\Programme\Norton AntiVirus\Quarantine\32267EF9 tagged as not-a-virus:PSWTool.Win32.Brutus. No Action Taken.
 Sun Oct 16 15:02:14 2005 => File C:\Programme\Norton AntiVirus\Quarantine\577637EA tagged as "not-a-virus:Porn-Dialer.Win32.Star". Action Taken: No Action Taken.
 Sun Oct 16 15:02:14 2005 => File C:\Programme\Norton AntiVirus\Quarantine\577961E6 tagged as "not-a-virus:Porn-Dialer.Win32.Star". Action Taken: No Action Taken.
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Funde für "offending"
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Sun Oct 16 14:06:10 2005 => Offending Key found: HKLM\Software\gnu !!!
 Sun Oct 16 14:06:10 2005 => Offending Key found: HKCU\Software\gnu !!!
 Sun Oct 16 14:06:12 2005 => Offending file found: C:\DOKUME~1\Elvira\LOKALE~1\Temp\war3_install.exe
 Sun Oct 16 14:06:13 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Desktop\neuer ordner123\omnipage\opp_files\redist\spchapi.exe
 Sun Oct 16 14:06:19 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temp\war3_install.exe
 Sun Oct 16 14:06:20 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\05ur8dmr\ads[1].htm
 Sun Oct 16 14:06:20 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\05ur8dmr\ads[2].htm
 Sun Oct 16 14:06:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\2xcjm5u5\ads[1].htm
 Sun Oct 16 14:06:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\6lsdc3wr\ads[1].htm
 Sun Oct 16 14:06:31 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\6tvsd4fa\ads[1].htm
 Sun Oct 16 14:06:31 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\6tvsd4fa\ads[2].htm
 Sun Oct 16 14:06:33 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\6tvsd4fa\ticker[1].js
 Sun Oct 16 14:06:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\76sbrt8d\ads[1].htm
 Sun Oct 16 14:06:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\7n5fb50w\ads[1].htm
 Sun Oct 16 14:06:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\7n5fb50w\common[1].js
 Sun Oct 16 14:06:39 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\81qrcpa7\global[1].js
 Sun Oct 16 14:06:41 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\b3avmgju\adsend[1].js
 Sun Oct 16 14:06:41 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\b3avmgju\ads[1].htm
 Sun Oct 16 14:06:44 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\d4ovp5gd\ads[1].htm
 Sun Oct 16 14:06:46 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\g9m3c1iv\ads[1].htm
 Sun Oct 16 14:06:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\ghmb0lqn\ads[1].htm
 Sun Oct 16 14:06:51 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\gpor4b8n\ads[1].htm
 Sun Oct 16 14:06:54 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\gpu70tun\ads[1].htm
 Sun Oct 16 14:06:58 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\w12p4lap\ads[1].htm
 Sun Oct 16 14:06:58 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\w12p4lap\ads[2].htm
 Sun Oct 16 14:07:01 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\w12z8lyf\ads[1].htm
 Sun Oct 16 14:07:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\w3y5oje3\adswrapper[1].js
 Sun Oct 16 14:07:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\w3y5oje3\ads[1].htm
 Sun Oct 16 14:07:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\w3y5oje3\ads[2].htm
 Sun Oct 16 14:07:05 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\wxshmnsx\ads[1].htm
 Sun Oct 16 14:07:05 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\temporary internet files\content.ie5\wxshmnsx\ads[2].htm
 Sun Oct 16 14:07:06 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\05ur8dmr\ads[1].htm
 Sun Oct 16 14:07:06 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\05ur8dmr\ads[2].htm
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\2xcjm5u5\ads[1].htm
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\6lsdc3wr\ads[1].htm
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\6tvsd4fa\ads[1].htm
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\6tvsd4fa\ads[2].htm
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\6tvsd4fa\ticker[1].js
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\76sbrt8d\ads[1].htm
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\7n5fb50w\ads[1].htm
 Sun Oct 16 14:07:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\7n5fb50w\common[1].js
 Sun Oct 16 14:07:08 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\81qrcpa7\global[1].js
 Sun Oct 16 14:07:08 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\b3avmgju\adsend[1].js
 Sun Oct 16 14:07:08 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\b3avmgju\ads[1].htm
 Sun Oct 16 14:07:08 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\d4ovp5gd\ads[1].htm
 Sun Oct 16 14:07:08 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\g9m3c1iv\ads[1].htm
 Sun Oct 16 14:07:08 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\ghmb0lqn\ads[1].htm
 Sun Oct 16 14:07:09 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\gpor4b8n\ads[1].htm
 Sun Oct 16 14:07:09 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\gpu70tun\ads[1].htm
 Sun Oct 16 14:07:09 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\w12p4lap\ads[1].htm
 Sun Oct 16 14:07:09 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\w12p4lap\ads[2].htm
 Sun Oct 16 14:07:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\w12z8lyf\ads[1].htm
 Sun Oct 16 14:07:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\w3y5oje3\adswrapper[1].js
 Sun Oct 16 14:07:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\w3y5oje3\ads[1].htm
 Sun Oct 16 14:07:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\w3y5oje3\ads[2].htm
 Sun Oct 16 14:07:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\wxshmnsx\ads[1].htm
 Sun Oct 16 14:07:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Elvira\Lokale Einstellungen\Temporary Internet Files\content.ie5\wxshmnsx\ads[2].htm
 Sun Oct 16 14:07:11 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
 Sun Oct 16 14:07:18 2005 => Offending file found: C:\WINNT\iun6002.exe
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken:
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Sun Oct 16 15:32:58 2005 => Total Virus(es) Found: 83
 Sun Oct 16 15:32:58 2005 => Total Errors: 195
 Sun Oct 16 15:32:58 2005 => Time Elapsed: 01:27:45
 Sun Oct 16 15:32:58 2005 => Total Objects Scanned: 70862
 Sun Oct 16 14:04:10 2005 => Virus Database Date: 2005/10/08
 Sun Oct 16 15:32:58 2005 => Virus Database Date: 2005/10/08
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 ~~~~~~~ © Haui ;-) ~~~~~~~
 ~~~~~~~ Dank an Cidre ~~~~~~~
_____________
Anm.
Ich habe deinen Anhang -der Übersichtlichkeit wegen- aufgelöst. ;)


Gruß Cidre
S-Mod TB

Wildone 16.10.2005 16:49
Hallo,
also eigentlich sollte man ein System das so verseucht war (Netzky, Sober.i, Bagle, Mydoom) wegen der mangelnden Vertrauenswürdigkeit neu aufsetzen, also zumindest onlinebanking würde ich darauf nicht mehr machen.

Wenn du (bzw. die Schwiegereltern) das nicht wollen solltest du mal folgende Dateien löschen:
C:\WINNT\system32\wiwshost.exe
C:\WINNT\system32\winshost.exe
C:\DOKUME~1\Elvira\LOKALE~1\Temp\war3_install.exe
C:\Dokumente und Einstellungen\Elvira\Desktop\neuer ordner123\omnipage\opp_files\redist\spchapi.exe

dann die temporarätren Internetdateien(im Konto Elvira) löschen (im IE unter Extras>>Internetoptionen)

den Inhalt des Quarantäneordner von Norton löschen.

Dann das Programm zitipro(Spyware) unter Systemsteuerung>>Software
deinstallieren.

Dann (falls noch nicht geschehen) die Programme Ad-Aware und Spybot drüberlaufen lassen.

Daraufhin die MWAV.LOG (im Ordner C:\Bases_X) löschen wieder mit Escan scannen, neues Log posten.



Grüße Wildone

gingerwolf 17.10.2005 12:33
Hallo & Mahlzeit,
hat gestern leider nicht mehr für eine Antwort gereicht, da wir noch :party: waren =).

Ich denke, ich werd den Rechner neu aufsetzen, da sich eh in der Netzwerkkonfig vor Ort einiges geändert hat. Ist am sichersten und macht euch am wenigsten Arbeit (*läster* ausserdem hat sie über den PC de letzten 3 Monate eh nicht gesurft, weil sie so etwas geahnt hatte... Muss erst Schwiegersohn kommen und alles heile machen...jaja, so sind sie de Mütter). Werd mich mal den Rechner zu Hause in Ruhe nocheinmal genauer anschauen, bevor ich den Platt mache.

Nochmals VIELEN Dank für die schnelle und profesionelle Hilfe :daumenhoc

schöne Grüße
Gingerwolf


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19