Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bekomme Malware selbst mit 3 Tools nicht weg (https://www.trojaner-board.de/29401-bekomme-malware-selbst-3-tools-weg.html)

doggeti 22.05.2006 08:09
Bekomme Malware selbst mit 3 Tools nicht weg
 
Gestern hat mein PC plötzlich angefangen immer wieder PoP-Ups aufzumachen, selbst wenn ich selbst gar kein Firefox-Fenster geöffnet hatte. Daraufhin habe ich nacheinander Ad-Aware, Spybot und Ewido heruntergeladen und mit jedem mehrere Scans und Systemneustarts durchgeführt. Die drei haben auch gute Arbeit geleistet und fast alle von über 80 Problemen beseitigt. Allerdings sind da noch ein paar besonders hartnäckige.

Ad-Aware bezeichnet sie als:
ABetterInternet.Nail
Windows
MRU List
Win32.Trojan.Downloader

Hier ist noch mein letzter HiJackThis log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 08:53:03, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Ewido\ewidoctrl.exe
C:\Programme\Ewido\ewidoguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hlportal.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\vickr.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,hejocty.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F7F7AC1-A89E-4874-8390-F09911FD03A7}: NameServer = 192.168.178.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\jtpo0773e.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\Ewido\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\Ewido\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Bitte helft mir die Dinger los zu werden. Besonders der letzte scheint sehr gefährlich zu sein. Danke schon mal im Vorraus.

BataAlexander 22.05.2006 08:17
Hallo,

scanne vorab die Dateien

C:\WINDOWS\system32\vickr.exe
hejocty. exe (suchen und dann scannen)

bei virustotal.com und jotti ( beide in meiner Signatur verlinkt) und poste das Ergebnis hier.

edit:diese bitte auch scannen, C:\WINDOWS\system32\jtpo0773e.dll /edit

Gruß

Schrulli

doggeti 22.05.2006 08:43
Bei beiden Namen bekomme ich bei der Suche nur "VICKR.EXE-3339FD56.pf" & "HEJOCTY.EXE-040B07E2.pf" in C:\Windows\Prefetch als Ergebnis.

Bei VirusTotal konnte bei beiden nichts gefunden werden. Jotti scheint im Moment nicht erreichbar zu sein.

Was kann ich noch tun?

EDIT* jtpo0773e.dll konnte gar nicht gefunden werden.

Wildone 22.05.2006 09:16
Hallo,
die Dateien im Prefetch Ordner sind uninteressant, schau noch mal ob du die Dateien im System32 Ordner findest. Richtig suchen.
Hast du noch den Ewido Report, wenn ja, poste auch diesen.


Grüße Wildone

doggeti 22.05.2006 10:02
Ich habe Ad-Aware nochmal laufen lassen. Der Win32.Trojan.Downloader ist weg, dafür steht jetzt Adware.Yazzle da.

Das Suchen klappt jetzt.

vickr.exe mit VirusTotal:

Zitat:
Antivirus Version Update Result
AntiVir 6.34.1.27 05.22.2006 TR/Dldr.Qoolog.bj.3
Avast 4.6.695.0 05.19.2006 Win32:Qoologic-AI
AVG 386 05.19.2006 Downloader.Generic.ZIV
BitDefender 7.2 05.22.2006 Trojan.Downloader.Qoologic.BC
CAT-QuickHeal 8.00 05.21.2006 TrojanDownloader.Qoologic.bj
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.22.2006 Trojan.Qoologic
eTrust-InoculateIT 23.72.14 05.21.2006 Win32/Qoologic.28672!Trojan
eTrust-Vet 12.4.2221 05.22.2006 Win32/Qoologic.AB
Ewido 3.5 05.21.2006 Downloader.Qoologic.bj
Fortinet 2.77.0.0 05.22.2006 W32/Qoologic.BJ!tr.dldr
F-Prot 3.16c 05.22.2006 security risk named W32/Downloader.SJB
Ikarus 0.2.65.0 05.22.2006 Trojan-Downloader.Win32.Qoologic.BJ
Kaspersky 4.0.2.24 05.22.2006 Trojan-Downloader.Win32.Qoologic.bj
McAfee 4766 05.19.2006 Qoolaid
Microsoft 1.1440 05.22.2006 Adware-Qoologic (threat-c)
NOD32v2 1.1552 05.22.2006 Win32/TrojanDownloader.Qoologic.BJ
Norman 5.90.17 05.19.2006 W32/Qoologic.HW
Panda 9.0.0.4 05.21.2006 Trj/Qoologic.J
Sophos 4.05.0 05.22.2006 Troj/Qoolaid-AL
Symantec 8.0 05.22.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 Trojan/Downloader.Qoologic.bj
UNA 1.83 05.22.2006 TrojanDownloader.Win32.Qoologic
VBA32 3.11.0 05.20.2006 Trojan-Downloader.Win32.Qoologic.bj
hejocty.exe mit VirusTotal:

Zitat:
Antivirus Version Update Result
AntiVir 6.34.1.27 05.22.2006 TR/Dldr.Qoologic.BJ
Avast 4.6.695.0 05.19.2006 Win32:Qoologic-AH
AVG 386 05.19.2006 Downloader.Generic.VPJ
BitDefender 7.2 05.22.2006 Trojan.Downloader.Qoologic.BC
CAT-QuickHeal 8.00 05.21.2006 TrojanDownloader.Qoologic.bj
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.22.2006 Trojan.Qoologic
eTrust-InoculateIT 23.72.14 05.21.2006 Win32/Qoologic.8jv!Trojan
eTrust-Vet 12.4.2221 05.22.2006 Win32/Qoologic.AB
Ewido 3.5 05.21.2006 Downloader.Qoologic.bj
Fortinet 2.77.0.0 05.22.2006 W32/Qoologic.BJ!tr.dldr
F-Prot 3.16c 05.22.2006 security risk named W32/Downloader.SKG
Ikarus 0.2.65.0 05.22.2006 Trojan-Downloader.Win32.Qoologic.BJ
Kaspersky 4.0.2.24 05.22.2006 Trojan-Downloader.Win32.Qoologic.bj
McAfee 4766 05.19.2006 Qoolaid
Microsoft 1.1440 05.22.2006 Adware-Qoologic (threat-c)
NOD32v2 1.1552 05.22.2006 Win32/TrojanDownloader.Qoologic.BJ
Norman 5.90.17 05.19.2006 W32/Qoologic.HU
Panda 9.0.0.4 05.21.2006 Adware/Qoologic
Sophos 4.05.0 05.22.2006 Troj/Qoolaid-AL
Symantec 8.0 05.22.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 Trojan/Downloader.Qoologic.bj
UNA 1.83 05.22.2006 TrojanDownloader.Win32.Qoologic
VBA32 3.11.0 05.20.2006 Trojan-Downloader.Win32.Qoologic.bj
jtpo0773e.dll gibts nicht.

Ewido habe ich auch nochmal laufen lassen. 15 Infektionen, angeblich alle bereinigt. Während des Scans bin ich explizit auf lgkgjwk.dll und vickr.exe hingewiesen worden. Habe gesagt löschen und in Quarantäne aber es kommt immer wieder. Hier aber jetzt der Ewido-Report:

Zitat:
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 10:56:33, 22.05.2006
+ Report-Checksumme: CF7F996A

+ Scanergebnis:

[2040] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[1956] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[296] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[560] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[832] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[848] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[1048] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[2092] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[3300] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[3992] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[4004] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
[2268] C:\WINDOWS\system32\lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@zedo[2].txt -> TrackingCookie.Zedo : Gesäubert mit Backup
C:\WINDOWS\system32\lwaje.dat -> Downloader.Qoologic.bj : Gesäubert mit Backup
C:\WINDOWS\system32\__delete_on_reboot__lgkgjwk.dll -> Downloader.Qoologic.bj : Gesäubert mit Backup


::Report Ende
Diese komische dll habe ich auch mal zu VirusTotal geschickt:

Zitat:
Antivirus Version Update Result
AntiVir 6.34.1.27 05.22.2006 TR/Dldr.Qoologic.BJ.1
Avast 4.6.695.0 05.19.2006 Win32:Qoologic-AH
AVG 386 05.19.2006 Downloader.Generic.VXJ
BitDefender 7.2 05.22.2006 Trojan.Downloader.Qoologic.BJ
CAT-QuickHeal 8.00 05.21.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.22.2006 Trojan.Qoologic
eTrust-InoculateIT 23.72.14 05.21.2006 Win32/Qoologic!DLL!Trojan
eTrust-Vet 12.4.2221 05.22.2006 Win32/Qoologic.AB
Ewido 3.5 05.21.2006 Downloader.Qoologic.bj
Fortinet 2.77.0.0 05.22.2006 W32/Qoolaid.BJ!tr.dldr
F-Prot 3.16c 05.22.2006 security risk named W32/Downloader.SKH
Ikarus 0.2.65.0 05.22.2006 Trojan-Downloader.Win32.Qoologic.BJ
Kaspersky 4.0.2.24 05.22.2006 Trojan-Downloader.Win32.Qoologic.bj
McAfee 4766 05.19.2006 Qoolaid
Microsoft 1.1440 05.22.2006 Adware-Qoologic (threat-c)
NOD32v2 1.1552 05.22.2006 Win32/TrojanDownloader.Qoologic.BJ
Norman 5.90.17 05.19.2006 W32/Qoologic.HV
Panda 9.0.0.4 05.21.2006 Adware/Qoologic
Sophos 4.05.0 05.22.2006 Troj/Qoolaid-AL
Symantec 8.0 05.22.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 Trojan/Downloader.Qoologic.bj
UNA 1.83 05.22.2006 TrojanDownloader.Win32.Qoologic
VBA32 3.11.0 05.20.2006 Trojan-Downloader.Win32.Qoologic.bj

Wildone 22.05.2006 10:10
Hallo,
scanne dein system mal mit F-Secure Blacklight und poste das Log, wird danach automatisch im selben Pfad erstellt, fsbl**.txt.

Außerdem löschst du mal deine Temp Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat.

Und noch ein neues HijackThis Logfile.


Grüße Wildone

doggeti 22.05.2006 11:44
F-Secure hat gleich losgelegt und in den Dateien lgkgjwk.dll, vickr.exe und fxlgro.exe Qoologic gefunden und unbenannt. nach zwei neustarts hat er dann zwar immer noch umbenannt aber keinen Neustart mehr gefordert. Nachdem ich dann beide exe Dateien mit meiner Router-Firewall vor dem Internetzugriff geblockt habe, habe ich F-Secure eine vollständige Überprüfung durchführen lassen:

Zitat:
Scan-Bericht
Montag, 22. Mai 2006 11:57:51 - 12:18:38

Computername: DOMINIK
Scan-Methode: Computer vollständig überprüfen
Ziel: C:\ + Systemregistrierung + Rootkits
Ergebnis: 2 Malware gefunden
Trojan-Downloader.Win32.Qoologic.bj (Virus)

* C:\WINDOWS\system32\hejocty.exe Aktion: gelöscht

Windows (Vulnerability)

* REGDATA:HKLM\software\microsoft\windows nt\currentversion\winlogon\Shell
Aktion: unter Quarantäne gestellt

Statistiken
Gescannt:

* Dateien: 33607
* Systemregistrierung: 4553
* Nicht gescannt: 35

Ergebnis:

* Viren: 1
* Spyware: 1
* Verdächtige Elemente: 0

Aktionen:

* Desinfiziert: 0
* Umbenannt: 0
* Gelöscht: 1
* Unter Quarantäne gestellt: 1
* Fehlgeschlagen: 0

Boot-Sektoren:

* Gescannt: 1
* Infiziert: 0
* Verdächtige Elemente: 0
* Desinfiziert: 0

Dateien, nicht gescannt:

* Datei C:\pagefile.sys kann nicht geöffnet werden.
* Datei C:\WINDOWS\system32\config\DEFAULT kann nicht geöffnet werden.
* Datei C:\WINDOWS\SoftwareDistribution\EventCache\{C3EEE4D8-798C-4961-B2C5-CD1119BB9071}.bin kann nicht geöffnet werden.
* Datei C:\Spiele\Valve\Steam\SteamApps\***\sourcesdk_content\dystopia\mapsrc\dys_caudex.rar\dys_caudex.bsp ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Visual Studio 2005\Projects\***\Backups\***_29_Apr_06.rar\***\bin\Debug\***.vshost.exe ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Projekte\VB 6.0\Backups\***.rar\***\conf\authz ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Projekte\VB 6.0\Backups\***.rar\***\conf\authz ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SecuROM\UserData\???????????p???????? kann nicht geöffnet werden.
* Datei C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ispnews\ispn.ini kann nicht geöffnet werden.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommandService.zip\newname.dat ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommandService1.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommandService2.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearch.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearch1.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet.zip\NDNuninstall6_38.exe ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet1.zip\uninstall6_38.exe ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet10.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet11.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet2.zip\install.rdf ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet3.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet4.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet5.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet6.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet7.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet8.zip\newdotnet7_22.dll ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewDotNet9.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC.zip\drsmartload2.dat ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC1.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebNexus.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebNexus1.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusDisableNotify.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusDisableNotify1.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusOverride.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterFirewallOverride.zip\sbRecovery.reg ist verschlüsselt.
* Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterFirewallOverride1.zip\sbRecovery.reg ist verschlüsselt.

Optionen
Version der Definitionen:

* Viren: 2006-05-22_02
* Spyware: 2005-11-23_01

Scan-Module:

* F-Secure AVP: 6.00.169, 2006-05-22
* F-Secure Libra: 2.03.06, 2006-05-18
* F-Secure Orion: 1.02.37, 2006-05-19
* F-Secure Draco: 1.00.35, 2005-11-23
* F-Secure BlackLight: 1.00.23

Scan-Optionen:

* Definierte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
* Archive scannen

Aktionen:

* Viren: Nach Scannen fragen
* Spyware: Nach Scannen fragen
Das löschen hat auch reibungslos geklappt. Hier nun die Bat-Logs.

Log 1:
Zitat:
Verzeichnis von C:\WINDOWS\system32

22.05.2006 11:50 28.672 VICKR.0XE
22.05.2006 11:50 51.712 LGKGJWK.0LL
22.05.2006 11:49 29.808 BMXBkpCtrlState-{00000005-00000000-00000008-00001102-00000002-80641102}.rfx
22.05.2006 11:49 29.808 BMXCtrlState-{00000005-00000000-00000008-00001102-00000002-80641102}.rfx
22.05.2006 11:49 17.500 BMXStateBkp-{00000005-00000000-00000008-00001102-00000002-80641102}.rfx
22.05.2006 11:49 17.500 BMXState-{00000005-00000000-00000008-00001102-00000002-80641102}.rfx
22.05.2006 11:49 1.080 settingsbkup.sfm
22.05.2006 11:49 1.080 settings.sfm
22.05.2006 11:49 24 DVCState-{00000005-00000000-00000008-00001102-00000002-80641102}.dat
22.05.2006 11:49 24 DVCStateBkp-{00000005-00000000-00000008-00001102-00000002-80641102}.dat
22.05.2006 11:38 127.488 FYLGRO.0XE
22.05.2006 11:38 127.488 lwaje.dat
22.05.2006 11:31 100 LuResult.txt
22.05.2006 08:28 12.598 wpa.dbl
21.05.2006 16:04 8.464 sporder.dll
03.05.2006 21:26 5.818.784 MRT.exe
23.04.2006 18:16 415.800 perfh007.dat
23.04.2006 18:16 401.200 perfh009.dat
23.04.2006 18:16 62.480 perfc009.dat
23.04.2006 18:16 75.194 perfc007.dat
23.04.2006 18:16 961.856 PerfStringBackup.INI
19.04.2006 22:09 778.240 divx_xx07.dll
19.04.2006 22:09 778.240 divx_xx0c.dll
19.04.2006 22:09 761.856 divx_xx11.dll
19.04.2006 22:09 619.156 DivX.dll
19.04.2006 00:35 700.416 divxdec.ax
19.04.2006 00:34 421.888 pxdrv.dll
19.04.2006 00:34 108.544 pxcpyi64.exe
19.04.2006 00:34 109.568 pxinsi64.exe
19.04.2006 00:34 172.032 pxmas.dll
19.04.2006 00:34 56.832 pxcpya64.exe
19.04.2006 00:34 372.736 px.dll
19.04.2006 00:34 61.440 pxhpinst.exe
19.04.2006 00:34 56.320 pxinsa64.exe
19.04.2006 00:34 339.968 pxwave.dll
19.04.2006 00:34 28.672 vxblock.dll
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 3.596.288 qt-dx331.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 90.112 dpl100.dll
19.04.2006 00:30 593.920 dpuGUI11.dll
19.04.2006 00:30 200.704 dtu100.dll
19.04.2006 00:30 344.064 dpus11.dll
19.04.2006 00:30 57.344 dpv11.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 294.912 dpu11.dll
19.04.2006 00:30 245.408 unicows.dll
19.04.2006 00:30 4.276 divxsm.tlb
19.04.2006 00:30 536.576 DivXsm.exe
19.04.2006 00:30 10.716 dsm_ja.qm
19.04.2006 00:30 15.331 dsm_de.qm
19.04.2006 00:30 15.172 dsm_fr.qm
19.04.2006 00:30 352.401 DivXMedia.ax
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
22.03.2006 05:56 257.536 ati2dvag.dll
22.03.2006 05:50 114.688 atipdlxx.dll
22.03.2006 05:50 77.824 Oemdspif.dll
22.03.2006 05:50 26.112 Ati2mdxx.exe
22.03.2006 05:50 41.984 ati2edxx.dll
22.03.2006 05:50 61.440 ati2evxx.dll
22.03.2006 05:48 405.504 ati2evxx.exe
22.03.2006 05:48 53.248 ATIDDC.DLL
22.03.2006 05:42 307.200 atiiiexx.dll
22.03.2006 05:40 2.662.688 ati3duag.dll
22.03.2006 05:33 1.130.752 ativvaxx.dll
22.03.2006 05:33 6.684.672 atioglx1.dll
22.03.2006 05:24 5.025.792 atioglxx.dll
22.03.2006 05:18 151.552 atikvmag.dll
22.03.2006 05:17 17.408 atitvo32.dll
22.03.2006 05:12 258.048 ati2cqag.dll
22.03.2006 04:38 286.720 ATIDEMGR.dll
22.03.2006 02:38 12.288 DivXWMPExtType.dll
22.03.2006 02:38 8.523 dpude.qm
22.03.2006 02:38 3.136 dtu_de.qm
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 15:37 520.192 ati2sgag.exe
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
10.03.2006 00:07 7.006 jupdate-1.5.0_06-b05.log
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
03.03.2006 04:47 106.496 atinppt2.ax
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
13.02.2006 22:29 121.995 atiicdxx.dat
Log 2:
Zitat:
Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

22.05.2006 12:33 16.384 Perflib_Perfdata_d80.dat
22.05.2006 12:33 16.384 Perflib_Perfdata_d64.dat
22.05.2006 12:33 16.384 Perflib_Perfdata_394.dat
22.05.2006 12:33 32.768 ~DF745.tmp
22.05.2006 11:51 32.768 ~DF1B37.tmp
5 Datei(en) 114.688 Bytes
0 Verzeichnis(se), 38.573.919.232 Bytes frei
Log 3:
Zitat:
Verzeichnis von C:\WINDOWS

22.05.2006 11:51 0 0.log
22.05.2006 11:50 1.606.272 WindowsUpdate.log
22.05.2006 11:49 2.048 bootstat.dat
22.05.2006 11:49 32.188 SchedLgU.Txt
22.05.2006 11:37 2.438 FSPRODRM.LOG
22.05.2006 11:37 377.262 fssgpex.LOG
22.05.2006 11:37 2.966.126 FSSFM.log
22.05.2006 11:37 5.185.859 FSISU.log
22.05.2006 11:37 310.562 RunSetup.log
22.05.2006 11:37 150.457 FSPROD.log
22.05.2006 11:37 952.906 FSSETUP.log
22.05.2006 11:37 17.029 fsmainst.log
22.05.2006 11:37 14.438 HELPINST.LOG
22.05.2006 11:37 9.398 FSGUIINS.LOG
22.05.2006 11:37 2.824 fsavunin.log
22.05.2006 11:37 7.980 FSAVCSIN.LOG
22.05.2006 11:37 21.615 FSASWSIN.log
22.05.2006 11:37 13.600 FSASWINS.LOG
22.05.2006 11:37 5.138 FSSYSUPD.LOG
22.05.2006 11:37 4.202 NEWSINST.LOG
22.05.2006 11:37 2.032 fsdginst.log
22.05.2006 11:37 17.750 fwesinst.log
22.05.2006 11:37 35.454 fstnbins.LOG
22.05.2006 11:36 7.692 fsrif.log
22.05.2006 11:36 35.663 FSAVINST.LOG
22.05.2006 11:36 2.185 DAASINST.LOG
22.05.2006 11:36 83.680 FSDEPH.log
22.05.2006 11:35 10.900 FSSGSUP.LOG
22.05.2006 11:35 8.258 fsbwinst.log
22.05.2006 11:35 2.954 Q-Klez.log
22.05.2006 11:26 118.842 bwUnin-6.3.2.123-4476822L.exe
22.05.2006 11:15 54.156 QTFont.qfn
22.05.2006 11:14 411 eurnj.dll
21.05.2006 16:37 0 keyboard211.dat
21.05.2006 16:04 918.701 setupapi.log
21.05.2006 16:04 53 bpbeov.dat
19.05.2006 08:50 22.121 wmsetup.log
18.05.2006 00:46 50 wiaservc.log
18.05.2006 00:46 216 wiadebug.log
17.05.2006 08:32 54.234 EventSystem.log
11.05.2006 11:09 53.049 DirectX.log
10.05.2006 11:07 54.690 iis6.log
10.05.2006 11:07 1.374 imsins.log
10.05.2006 11:07 19.353 ocmsn.log
10.05.2006 11:07 75.525 ntdtcsetup.log
10.05.2006 11:07 127.659 comsetup.log
10.05.2006 11:07 135.712 tsoc.log
10.05.2006 11:07 12.091 KB913580.log
10.05.2006 11:07 172.149 ocgen.log
10.05.2006 11:07 17.419 msgsocm.log
10.05.2006 11:07 345.412 FaxSetup.log
10.05.2006 11:06 25.620 updspapi.log
08.05.2006 11:02 37 vbaddin.ini
07.05.2006 14:47 599 win.ini
05.05.2006 07:20 5.630 COM+.log
26.04.2006 15:03 1.374 imsins.BAK
26.04.2006 15:03 12.043 KB900485.log
14.04.2006 11:13 302 nsw.log
14.04.2006 10:07 1.562 ATIWDM.LOG
14.04.2006 09:47 10 WININIT.INI
13.04.2006 07:50 1.829 spupdsvc.log
13.04.2006 07:47 15.573 KB908531.log
13.04.2006 07:47 14.811 KB911562.log
13.04.2006 07:47 17.807 KB912812.log
13.04.2006 07:47 11.842 KB911565.log
13.04.2006 07:46 10.891 KB911567.log
12.04.2006 19:14 249 accessdll.log
12.04.2006 18:29 1.946 avmadd32.log
12.04.2006 18:23 107 avmsysnet.log
11.04.2006 18:00 1.409 QTFont.for
23.03.2006 14:12 172.045 setupact.log
Log 4:
Zitat:
Verzeichnis von C:\

22.05.2006 12:41 0 sys.txt
22.05.2006 12:40 9.867 system.txt
22.05.2006 12:39 529 systemtemp.txt
22.05.2006 12:37 101.041 system32.txt
22.05.2006 11:49 2.097.152.000 pagefile.sys
28.08.2005 16:05 211 boot.ini
23.07.2005 15:54 0 AUTOEXEC.BAT
23.07.2005 15:54 0 IO.SYS
23.07.2005 15:54 0 MSDOS.SYS
23.07.2005 15:54 0 CONFIG.SYS
04.08.2004 12:00 4.952 bootfont.bin
04.08.2004 12:00 47.564 NTDETECT.COM
04.08.2004 12:00 251.184 ntldr
13 Datei(en) 2.097.567.348 Bytes
0 Verzeichnis(se), 38.573.907.968 Bytes frei
Aktueller HJT im nächsten Post, der hier würde sonst zu lang.

doggeti 22.05.2006 11:45
So, hier ist es:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 12:42:28, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Ewido\ewidoctrl.exe
C:\Programme\Ewido\ewidoguard.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hlportal.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\vickr.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,hejocty.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [fqpxrm] C:\WINDOWS\system32\fylgro.exe reg_run
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [bnvas] C:\WINDOWS\system32\fylgro.exe reg_run
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F7F7AC1-A89E-4874-8390-F09911FD03A7}: NameServer = 192.168.178.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\jtpo0773e.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\Ewido\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\Ewido\ewidoguard.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

doggeti 22.05.2006 12:29
Habe seither keine Pop-Ups oder Meldungen von meinen verschiedenen Anti-Virus-Programmen mehr bekommen. Kann es das gewesen sein?

Sunny 22.05.2006 12:37
*hat sich erledigt* (den Beitrag gab es schon! Sorry!)

doggeti 22.05.2006 12:51
Das komische ist, das es diese Datei nicht gibt. Nur eine VICKR.0xe. Diese ist laut VirusTotal mit QooLogic infiziert. Ich habe seit diesem HJT keine Scans/Löschungen/etc. mehr durchgeführt.

Zitat:
Complete scanning result of "VICKR.0XE", received in VirusTotal at 05.22.2006, 13:43:20 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.22.2006 TR/Dldr.Qoolog.bj.3
Avast 4.6.695.0 05.19.2006 Win32:Qoologic-AI
AVG 386 05.19.2006 Downloader.Generic.ZIV
BitDefender 7.2 05.22.2006 Trojan.Downloader.Qoologic.BC
CAT-QuickHeal 8.00 05.21.2006 TrojanDownloader.Qoologic.bj
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.22.2006 Trojan.Qoologic
eTrust-InoculateIT 23.72.14 05.21.2006 Win32/Qoologic.28672!Trojan
eTrust-Vet 12.4.2221 05.22.2006 Win32/Qoologic.AB
Ewido 3.5 05.22.2006 Downloader.Qoologic.bj
Fortinet 2.77.0.0 05.22.2006 W32/Qoologic.BJ!tr.dldr
F-Prot 3.16c 05.22.2006 security risk named W32/Downloader.SJB
Ikarus 0.2.65.0 05.22.2006 Trojan-Downloader.Win32.Qoologic.BJ
Kaspersky 4.0.2.24 05.22.2006 Trojan-Downloader.Win32.Qoologic.bj
McAfee 4766 05.19.2006 Qoolaid
Microsoft 1.1440 05.22.2006 Adware-Qoologic (threat-c)
NOD32v2 1.1552 05.22.2006 Win32/TrojanDownloader.Qoologic.BJ
Norman 5.90.17 05.19.2006 W32/Qoologic.HW
Panda 9.0.0.4 05.21.2006 Trj/Qoologic.J
Sophos 4.05.0 05.22.2006 Troj/Qoolaid-AL
Symantec 8.0 05.22.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 Trojan/Downloader.Qoologic.bj
UNA 1.83 05.22.2006 TrojanDownloader.Win32.Qoologic
VBA32 3.11.0 05.20.2006 Trojan-Downloader.Win32.Qoologic.bj
hejocty.exe ist überhaupt nicht mehr auffindbar. Auch nicht als leicht veränderte Form.

Wildone 22.05.2006 13:50
Hallo,
ich meinte eigentlich, dass du nur F-Secure Blacklight installieren solltest, nicht gleich die vollständige F-Secure Suite. Deinstalliere diese mal wieder. Lösche noch folgende Dateien (alle im System32 Ordner):

22.05.2006 11:50 28.672 VICKR.0XE
22.05.2006 11:50 51.712 LGKGJWK.0LL
22.05.2006 11:38 127.488 FYLGRO.0XE
22.05.2006 11:38 127.488 lwaje.dat

Außerdem fixt(Haken davor und auf "fix checked" du folgende Einträge mit HijackThis:
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\vickr.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,hejocty. exe
O4 - HKLM\..\Run: [fqpxrm] C:\WINDOWS\system32\fylgro.exe reg_run
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\jtpo0773e.dll (file missing)

Wenn du sonst keine Beschwerden mehr hast sollte es das eigentlich gewesen sein.


Grüße Wildone

doggeti 22.05.2006 15:12
Mhm, so ganz war es noch nicht vorbei. FSecure hat noch genau eine SpyWare entdeckt:

Zitat:
Scan-Bericht
Montag, 22. Mai 2006 15:20:28 - 16:01:36

Computername: DOMINIK
Scan-Methode: Computer vollständig überprüfen
Ziel: C:\ + Systemregistrierung + Rootkits
Ergebnis: 1 Malware gefunden
ABetterInternet.Nail (Malware)

* REGDATA:HKLM\software\microsoft\windows nt\currentversion\winlogon\Shell
Aktion: unter Quarantäne gestellt
Die wurde aber nach dem Scan unter Quarantäne gestellt und dann von mir aus der Quarantäne gelöscht. Ich werde jetzt noch mit den anderen Tools suchen.

*UPDATE*
SpyBot und Ewido haben noch verfolgende Cookies gefunden. Hört sich nicht schlimm an, aber was genau machen die? Habe sie auf jeden Fall gelöscht. Ewido hat auch noch die von mir gelöschten Dateien im Papierkorb aufgestöbert und sie endgültig entfernt.

Es scheint also überstanden. Vielen Dank an alle Helfer! :)

BataAlexander 22.05.2006 15:54
Hallo,

btw. "Tools" sind immer nur Werkzeuge
Zitat:
Gestern hat mein PC plötzlich angefangen immer wieder PoP-Ups aufzumachen[...] von über 80 Problemen beseitigt. Allerdings sind da noch ein paar besonders hartnäckige.
1. Kommen Infektionen, abgesehen von Zero day exploids á la dem Word Trojaner nicht von selbst
2. Welche 80 Probleme haben die Programme gefixt? Logs zur Hand

Gruß

Schrulli


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131