|
Trojaner-Spyware - Frau sucht HILFE! Hallo, habe mir irgendwie einen Trojaner eingesammelt. Als Birus-Meldung kommt immer: YazzleActiveX.ocx und jetzt habe ich auch das Problem, daß er dauernd Spyware-Software anbieten will... Habe schon ein HiJAckThis Log-File gemacht. Könnt ihr mir möglichst schnell helfen??? Habe mein Ad-Aware drüber laufen lassen und die 8 gefundenen Objekte entfernt, aber er kommt immer wieder. Plötzlich geht einfach der IE auf, obwohl ich sonst mit Firefox arbeite etc. Hier also das File und danke für die Hilfe!!! Logfile of HijackThis v1.99.1 Scan saved at 11:49:12, on 05.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\Dit.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Olympus\DeviceDetector\DevDtct2.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trillian\trillian.exe C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\atmclk.exe C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\LOKALE~1\Temp\Rar$EX02.329\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [CICache] CICache.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144574037468 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144574029515 O20 - Winlogon Notify: winhab32 - C:\WINDOWS\SYSTEM32\winhab32.dll O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\WINDOWS\system32\zlara.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe Liebe Grüße ( er meldet sich hier mit der Spyware alle 10 Sekunden *nerv*) Kathi |
Probiers mal mit http://siri.urz.free.fr/Fix/SmitfraudFix_De.php Wobei ich mir nicht sicher bin, ob noch eine L2M-Verseuchung vorhanden ist. |
Zitat:
Na da wollen wir mal schauen..... Dies sind Deine Probleme: Zitat:
Lösung: ( Zitat von Wildone ) führe Smitfraudfix wie hier beschrieben aus, du kannst es gleich mit der Option "2" machen. Dann postest du die Datei C:\rapport.txt und berichtest ob das Problem noch besteht. Scanne zusätzlich dein System mit Rootkitrevealer, während dem Scan nichts anderes machen! Poste danach das Logfile (File>>Safe) Weiterhin mal bitte folgende Datei bei Jotti und Virustotal auswerten lassen. Das Ergebnis bitte mitteilen! C:\WINDOWS\SYSTEM32\winhab32.dll Gruß Mellosun EDIT: wieder zu langsam... |
HAllo, erstmal danke für die Hilfe. Habe Smitfraudfix erst einmal ausgeführt. Die Probleme scheinen behoben zu sein. Wenn ich den IE aufmache, kommt kein "about:blank" mehr und esmeldet sich auch der Virenscanner nicht mehr. Soll ich die weiteren Punkte (Rootkitrevealer) dennoch ausführen? Hier erst einmal der Rapport nach Smitfraudfix: SmitFraudFix v2.67 Scan done at 12:42:51,14, 05.07.2006 Run from D:\Internetdateien\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\atmclk.exe Deleted C:\WINDOWS\system32\dcomcfg.exe Deleted C:\WINDOWS\system32\hp???.tmp Deleted C:\WINDOWS\system32\ld???.tmp Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\regperf.exe Deleted C:\WINDOWS\system32\simpole.tlb Deleted C:\WINDOWS\system32\stdole3.tlb Deleted C:\WINDOWS\system32\ts.ico Deleted C:\WINDOWS\system32\1024\ Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\KATHAR~1\FAVORI~1\Antivirus Test Online.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}" »»»»»»»»»»»»»»»»»»»»»»»» End DAnke für die Hilfe! |
Hallo spatzkatz, Zitat:
Wenn du annimmst das derjenige einfach nur irgendwas dir aufgeschrieben hat,dann kannst du es natürlich lassen...:rolleyes: Wenn du aber davon ausgehst das derjenige sich Mühe gegeben hat dir nützliche Tipp`s zukommen zu lassen und das Ganze nicht umsonst geschrieben hat......ab hier selber zuende denken :rolleyes: Irrlicht |
Muss erst mal nicht sein. Was mich noch interessieren würde, wäre das Ergebnis des Onlinescans dieser Datei: C:\WINDOWS\SYSTEM32\winhab32.dll Das meinte ich mit L2M. Und Mellosun hat die auch im Verdacht. Edit @Moinsen Irrlich Auch schon wach?:party: |
Guter Riecher... :) Hier die Auswertung Zu überprüfende Datei: winhab32.dll - Infiziert winhab32.dll Infiziert: Packed.Win32.Klone.g Statistiken: Bekannte Viren: 204768 Updated: 05-07-2006 Größe der Datei (Kb): 18 Viren-Korpus: 1 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 Und nun??? |
Und hier noch das Ergebnis von Virustotal: Complete scanning result of "winhab32.dll", received in VirusTotal at 07.05.2006, 13:14:21 (CET). Antivirus Version Update Result AntiVir 6.35.0.20 07.05.2006 TR/PCK.Klone.G.5 Authentium 4.93.8 07.05.2006 no virus found Avast 4.7.844.0 07.05.2006 no virus found AVG 386 07.04.2006 no virus found BitDefender 7.2 07.05.2006 no virus found CAT-QuickHeal 8.00 07.04.2006 no virus found ClamAV devel-20060426 07.04.2006 no virus found DrWeb 4.33 07.05.2006 Trojan.Mezzia eTrust-InoculateIT 23.72.59 07.04.2006 no virus found eTrust-Vet 12.6.2287 07.05.2006 no virus found Ewido 3.5 07.05.2006 no virus found Fortinet 2.77.0.0 07.05.2006 W32/Klone.G F-Prot 3.16f 07.05.2006 no virus found F-Prot4 4.2.1.29 07.05.2006 no virus found Ikarus 0.2.65.0 07.04.2006 no virus found Kaspersky 4.0.2.24 07.05.2006 Packed.Win32.Klone.g McAfee 4799 07.04.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1644 07.04.2006 no virus found Norman 5.90.23 07.05.2006 no virus found Panda 9.0.0.4 07.04.2006 Adware/SuperSpider Sophos 4.07.0 07.05.2006 no virus found Symantec 8.0 07.05.2006 Trojan.Nebuler TheHacker 5.9.8.169 07.04.2006 no virus found UNA 1.83 07.04.2006 no virus found VBA32 3.11.0 07.04.2006 no virus found VirusBuster 4.3.7:9 07.04.2006 no virus found Aditional Information File size: 18432 bytes MD5: 2a7dd498260aeb0a88793b1bb08dea18 SHA1: 4f3fe146acd3601cd36efa3c9853dbc946372a78 packers: PecBundle, PECompact |
Zitat: Soll ich die weiteren Punkte (Rootkitrevealer) dennoch ausführen? Jetzt ja. Zusätzlich noch: Prüfe Dein System mit Ewido Antimalware 3.5 Link dazu http://www.ewido.net/de/ Und ein neues Log von HJT |
Jetzt ist auch der Rootkitrevealer fertig. Kann da bitte nochmal jemand drüber schauen??? DANKE! HKLM\SOFTWARE\Adobe Systems\Licenses\Adobe LM Service\ 05.07.2006 10:12 96 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Classes\CLSID\{551E7168-6B6B-73F4-2358001EBB1BFA13}\{9EB39097-9AF5-4CC7-A66D04881D6D8211}\{B54D5FC9-25C8-0FB7-F96BD94B39BD18AF}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{564572D7-BA6B-A81E-17332C14105A24EF}\{35AC4256-1B84-66D8-7C4583AC3B4AA35B}\{791C0703-8CF5-813B-67470F66B09458B3}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{702B63A9-DFCB-3E43-C2B76BFD1C9BA57E}\{DAB6776A-2CC2-16F5-322B07855BE30B9F}\{5F22963C-84D9-05FE-828BE8E6312814FD}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{98E28BE4-118A-EA39-3FE2FDF7E232D89B}\{DFE81EF0-16B2-5E63-9055890879FD5BFF}\{9E285E3F-FD34-EDAD-0EA00DDB13898C03}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{D6C53DCC-FBE6-A484-895E707488E1192C}\{427B1CEB-CDC7-050B-E6202C9404952D54}\{86A51E58-9B8E-E4EB-26F8074E7F2FD295}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{DCB42C02-2C7E-50EC-E2B5A792F7765BFB}\{38286259-1A12-EDE0-84E2CD6A1D76E8F7}\{2C2658AF-F73E-73C6-89D45D0D6FCCCFF2}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 05.07.2006 13:50 272 bytes Windows API length not consistent with raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 05.07.2006 13:50 4 bytes Data mismatch between Windows API and raw hive data. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\00883E4Dd01 05.07.2006 14:01 22.94 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\01BE6461d01 05.07.2006 09:50 23.01 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\01F1E226d01 05.07.2006 14:13 243 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0346ADABd01 05.07.2006 14:17 17.01 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\03DBD649d01 05.07.2006 14:07 20.26 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\041A199Bd01 05.07.2006 09:59 22.85 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\04A2F13Ed01 05.07.2006 09:56 17.87 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\075AC970d01 05.07.2006 14:13 241 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\08BA92D2d01 05.07.2006 14:08 22.82 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\08E21021d01 05.07.2006 14:08 9.14 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0A967F87d01 05.07.2006 14:19 45.37 KB Visible in directory index, but not Windows API or MFT. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B12DCBBd01 05.07.2006 14:17 21.19 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B13DCBBd01 05.07.2006 14:17 21.01 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B14DCBBd01 05.07.2006 14:15 21.40 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B15DCBBd01 05.07.2006 14:15 21.55 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0EC27DD1d01 05.07.2006 09:50 93.11 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\118F02FEd01 05.07.2006 14:10 18.89 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\126E18E2d01 05.07.2006 13:59 16.30 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\12D2C64Cd01 05.07.2006 14:14 30.16 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\13DEA459d01 05.07.2006 14:11 27.51 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1781CACDd01 05.07.2006 09:50 181.73 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\179767E8d01 05.07.2006 13:58 3.90 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\18E21021d01 05.07.2006 14:10 6.36 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\18FE5E8Cd01 05.07.2006 14:18 3.90 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1A3A80D0d01 05.07.2006 14:13 20.83 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1A3BCC55d01 05.07.2006 14:19 5.36 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1A7B05E6d01 05.07.2006 14:07 3.90 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1B43EEA3d01 05.07.2006 14:16 59.99 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1CDD0804d01 05.07.2006 14:06 20.34 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1FC5F0B9d01 05.07.2006 08:35 122.17 KB Visible in Windows API, MFT, but not in directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\20706FE4d01 05.07.2006 10:07 31.34 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\21DCD46Ed01 05.07.2006 09:54 34.16 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\220BAB63d01 05.07.2006 14:07 30.14 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\224D95AEd01 05.07.2006 09:50 90.03 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\23064475d01 05.07.2006 10:05 16.92 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\23E1F98Bd01 05.07.2006 09:58 18.57 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\24C8E416d01 05.07.2006 14:01 21.39 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\25C18859d01 05.07.2006 10:03 17.35 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\25F84BBFd01 05.07.2006 10:05 69.71 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\26172DA2d01 05.07.2006 14:11 177.21 KB Hidden from Windows API. |
TEIL 2: Das geht wie vorher ewig so weiter und zum Schluß kommt noch: C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~DFB7B4.tmp 05.07.2006 12:51 512 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~DFC3CE.tmp 05.07.2006 12:51 512 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~WRD0002.doc 05.07.2006 13:42 581 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~WRF0000.tmp 05.07.2006 13:34 16.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 09.04.2006 11:49 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 09.04.2006 11:49 111.50 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\Temp\win57.tmp 05.07.2006 14:02 0 bytes Hidden from Windows API. |
Lade Clearprog, installiere es, starte es. Haken bei alles Löschen setzen und Löschen drücken. Neues HJT-Log. |
Hier das aktuelle HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 23:24:53, on 05.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\WINDOWS\Dit.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Olympus\DeviceDetector\DevDtct2.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Microsoft Works\WkDStore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\LOKALE~1\Temp\Rar$EX01.468\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [CICache] CICache.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: winhab32 - C:\WINDOWS\SYSTEM32\winhab32.dll O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\WINDOWS\system32\zlara.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe Danke für die Hilfe bis hierher!!! |
Was ist noch mit dem Log von Ewido. Hast Du Clearprog schon laufen lassen? |
Ja, ich hatte den Clearprog schon laufen lassen... War im Urlaub, habe den Rechner wieder an gemacht und den Trojaner immernoch drauf. Spyware Quake 2.3 hat sich installiert und meldet sich immer! WAS NUN??? |
Hallo Spatzkatz, Zitat:
Der Link ist auf einem Post von früher .... Spywarequake guggst du hier : http://virus-protect.org/artikel/spy...warequake.html Wo wurde den das Zeug gefunden ? Welcher Pfad ?Nicht das du denkst wir sind pingelig,ist halt enorm wichtig die genauen Angaben...:D Irrlicht |
Hatte ja alles schon laufen lassen (siehe oben). Ewido mache ich jetzt. Melde mich heute oder morgen wieder! Das Zeug nervt tierisch... |
Führe Smitfraudfix wie hier beschrieben aus. Benutze gleich Option 2. Dann postest du die Datei C:\rapport.txt. Scanne das System mit Rootkitrevealer, während dem Scan nichts machen! Poste danach das Logfile (File>>Safe) |
Hier die Rapport.txt: SmitFraudFix v2.67 Scan done at 22:48:04,98, 16.07.2006 Run from C:\Dokumente und Einstellungen\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\ishost.exe Deleted C:\WINDOWS\system32\ismon.exe Deleted C:\WINDOWS\system32\isnotify.exe Deleted C:\WINDOWS\system32\issearch.exe Deleted C:\WINDOWS\system32\ixt?.dll Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\ts.ico Deleted C:\DOKUME~1\KATHAR~1\Desktop\SpyQuake2.com.lnk Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\KATHAR~1\FAVORI~1\Antivirus Test Online.url Deleted C:\DOKUME~1\KATHAR~1\STARTM~1\SpyQuake2.com 2.3.lnk Deleted C:\DOKUME~1\KATHAR~1\STARTM~1\PROGRA~1\SpyQuake2.com Deleted C:\Programme\SpyQuake2.com\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}" »»»»»»»»»»»»»»»»»»»»»»»» End |
Hier noch das Log-File vom Rootkitreveal: HKLM\SOFTWARE\Classes\CLSID\{551E7168-6B6B-73F4-2358001EBB1BFA13}\{9EB39097-9AF5-4CC7-A66D04881D6D8211}\{B54D5FC9-25C8-0FB7-F96BD94B39BD18AF}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{564572D7-BA6B-A81E-17332C14105A24EF}\{35AC4256-1B84-66D8-7C4583AC3B4AA35B}\{791C0703-8CF5-813B-67470F66B09458B3}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{702B63A9-DFCB-3E43-C2B76BFD1C9BA57E}\{DAB6776A-2CC2-16F5-322B07855BE30B9F}\{5F22963C-84D9-05FE-828BE8E6312814FD}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{98E28BE4-118A-EA39-3FE2FDF7E232D89B}\{DFE81EF0-16B2-5E63-9055890879FD5BFF}\{9E285E3F-FD34-EDAD-0EA00DDB13898C03}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{D6C53DCC-FBE6-A484-895E707488E1192C}\{427B1CEB-CDC7-050B-E6202C9404952D54}\{86A51E58-9B8E-E4EB-26F8074E7F2FD295}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{DCB42C02-2C7E-50EC-E2B5A792F7765BFB}\{38286259-1A12-EDE0-84E2CD6A1D76E8F7}\{2C2658AF-F73E-73C6-89D45D0D6FCCCFF2}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 16.07.2006 22:58 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 16.07.2006 22:58 56 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 16.07.2006 22:58 4 bytes Data mismatch between Windows API and raw hive data. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\AgentEvents\00000285.xml 16.07.2006 23:21 1.22 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\AgentEvents\00000286.xml 16.07.2006 23:26 1.16 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\jusched.log 16.07.2006 23:06 206 bytes Hidden from Windows API. C:\System Volume Information\_restore{87EF17FD-DD1A-4CB8-8ED5-EA517EC8BD90}\RP132\A0008935.dll 05.07.2006 10:46 18.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 16.07.2006 21:51 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 16.07.2006 21:51 111.50 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 16.07.2006 22:57 64.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32\winhab32.dll.vir 05.07.2006 10:46 18.00 KB Visible in Windows API, but not in MFT or directory index. Was soll ich als nächstes tun! Ich bin euch für eure Hilfe so dankbar!!!! |
Prüfe das System mit F-Secure Blacklight gegen und poste danach das Logfile. Treten die Probleme noch auf? |
vielleicht solltest du mal vor allen deine systemwiederherstellung deaktiveren.... ;) |
Richtig. Wenn TO Geduld hat, kommen am Ende sowieso noch Vollwaschgang und Deinstallation nicht mehr benötigter Programme:party: |
bei der gelegenheit auch den Zlob nicht übersehen... O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp |
Zitat:
|
stimmt.... ! ich hab nur auf die antworten seit dem ersten log geschaut...da ist es nicht erwähnt worden. im log aus post 13 wär dann der hier noch übrig glaub ich. O20 - Winlogon Notify: winhab32 - C:\WINDOWS\SYSTEM32\winhab32.dll |
Jetzt lasse TO erst mal wiederkommen. Dann sehen wir weiter. |
selbstverständlich.. :) wollte nur mit winhab32.dll auf eine Trojan/Agent Variante hinweisen. |
Zitat:
Will aber trotzdem wissen, was mit dem obigen gemeint ist... sorry, aber bin doch ne Frau... Nicht benutzte Programme werden regelmäßig gelöscht. Das der Trojaner auf meinen Rechner kam ist absolut meine Schuld und ich weiß auch wie - war einfach dumm... Momentan merke ich nix mehr, aber letztes Mal war es genauso und ich hatte das Gefühl, daß nach dem Neustart der trojaner wieder zu geschlagen hat... Ich poste dann das Logfile... Für mich sind diese Logfiles wirklich nur bömische Dörfer http://www.trojaner-board.de/images/smilies/confused.gif :confused: - bin echt dankbar für eure Hilfe!!! |
F-secure Blacklight hat nix gefunden! Die Probleme tauchen momentan auch nicht auf... |
Sieht ja gut aus, poste mal noch ein aktuelles Log von HJT. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board