Trojaner-Board - 28 Vieren, darunter Trojaner, Spyware/Adware...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - 28 Vieren, darunter Trojaner, Spyware/Adware... (https://www.trojaner-board.de/41221-28-vieren-darunter-trojaner-spyware-adware.html)

28 Vieren, darunter Trojaner, Spyware/Adware...

Hallo,
ich habe vor kurzem mein System von eScan untersuchen lassen.
Ich war sehr erschroken als ich das Ergebnis in diesem Protokoll gesehen habe. 28 Vieren, darunter auch Spyware/Adware, Jokeprogramme, vllt. auch Trojaner...
Ausserdem: Beim Start von Windows öffnet sich mein FireFox, geht auf die Seite: t*pd*wnloads, andere Kennzeichen gibt es nicht.
Kann mir jemand helfen??

MfG daalex

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Jul 23 14:44:17 2007 => Version 9.2.6
Mon Jul 23 14:43:50 2007 => Virus-Datenbank Datum: 5/28/2007
Mon Jul 23 14:49:19 2007 => Virus-Datenbank Datum: 5/28/2007
Mon Jul 23 14:51:50 2007 => Virus-Datenbank Datum: 5/28/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 14:45:34 2007 => System found infected with ezula Spyware/Adware (aud.dll)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:34 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:35 2007 => System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:45:39 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with ezula Spyware/Adware (aud.dll)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:08 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:10 2007 => System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 14:54:13 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Jul 23 14:44:49 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:44:58 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:44:59 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:47:12 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:53:34 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:53:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:53:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:55:05 2007 => File C:\WINDOWS\system32\ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Jul 23 14:57:53 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 14:57:53 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 15:06:50 2007 => File C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\nds\nds2\plugin\aud.dll
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\bios\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\cheats\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\config\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\dump\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\patch\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\plugins\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\ram\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\roms\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\save\delete.me
Mon Jul 23 14:45:34 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\shots\delete.me
Mon Jul 23 14:45:35 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\fail\cstrike\media\logo.avi
Mon Jul 23 14:45:39 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\mixmaterial_2\instrumentals\internet.lnk
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\nds\nds2\plugin\aud.dll
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\bios\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\cheats\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\config\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\dump\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\patch\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\plugins\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\ram\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\roms\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\save\delete.me
Mon Jul 23 14:54:08 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\shots\delete.me
Mon Jul 23 14:54:10 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\fail\cstrike\media\logo.avi
Mon Jul 23 14:54:13 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\mixmaterial_2\instrumentals\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jul 23 14:45:25 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\icq\bart\1024
Mon Jul 23 14:45:31 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\sopcast\adv
Mon Jul 23 14:54:02 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\icq\bart\1024
Mon Jul 23 14:54:06 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Jul 23 14:45:22 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Jul 23 14:45:22 2007 => Offending Key found: HKCU\Software\adtools !!!
Mon Jul 23 14:45:22 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Mon Jul 23 14:45:23 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:45:23 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:45:53 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e3326a0-3629-11dc-bc62-00038a000015} !!!
Mon Jul 23 14:53:58 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Jul 23 14:53:58 2007 => Offending Key found: HKCU\Software\adtools !!!
Mon Jul 23 14:53:59 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Mon Jul 23 14:53:59 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:53:59 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 14:54:23 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e3326a0-3629-11dc-bc62-00038a000015} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 14:49:19 2007 => Gefundene Viren: 25
Mon Jul 23 14:49:19 2007 => Anzahl Fehler: 161
Mon Jul 23 14:49:19 2007 => Dauer des Scans bisher: 00:05:02
Mon Jul 23 14:49:19 2007 => Gescannte Dateien: 30673
Mon Jul 23 14:44:17 2007 => Specherüberprüfung: Aktiviert
Mon Jul 23 14:53:24 2007 => Specherüberprüfung: Aktiviert
Mon Jul 23 14:44:17 2007 => Registry Überprüfung: Aktiviert
Mon Jul 23 14:53:24 2007 => Registry Überprüfung: Aktiviert
Mon Jul 23 14:44:17 2007 => System-Ordner Überprüfung: Aktiviert
Mon Jul 23 14:53:24 2007 => System-Ordner Überprüfung: Aktiviert
Mon Jul 23 14:44:17 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Jul 23 14:44:17 2007 => Überprüfung der Dienste: Aktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung der Dienste: Aktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung der Festplatten: Aktiviert
Mon Jul 23 14:53:24 2007 => Überprüfung aller Festplatten :Deaktiviert

Hallo und http://www.world-of-smilies.com/wos_...hilder1020.gif im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen noch besseren Überblick und mehr Informationen zu deinem System bekommen:

Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Gruß :daumenhoc
Sunny

Hier die Log von ComboFix:
________________________
"Alex" - 2007-07-23 17:04:05 - ComboFix 07-07-23.6 - Service Pack 2 NTFS

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 )))))))))))))))))))))))))))))))

2007-07-23 16:18 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-23 15:49 <DIR> d-------- C:\bases_x
2007-07-23 15:48 <DIR> d-------- C:\Find
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-23 14:45 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-22 21:00 231,424 --a------ C:\WINDOWS\R.COM
2007-07-22 21:00 187,392 --a------ C:\WINDOWS\system32\T.COM
2007-07-22 18:25 <DIR> d-------- C:\Programme\Lavasoft
2007-07-22 18:25 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-07-22 13:47 <DIR> d-------- C:\!KillBox
2007-07-20 22:07 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-07-20 20:27 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\DeepBurner
2007-07-20 18:01 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\gtk-2.0
2007-07-19 20:56 <DIR> d-------- C:\WINDOWS\system32\VirtualExpander
2007-07-19 15:22 36 --a------ C:\WINDOWS\TSNPL.dat
2007-07-19 15:22 26,624 --a------ C:\WINDOWS\system32\ssmenu.dll
2007-07-19 15:22 1,580 --a------ C:\WINDOWS\system32\tsdigsgn.dat
2007-07-19 15:22 <DIR> d---s---- C:\Programme\Gemeinsame Dateien\Teknum Systems
2007-07-18 18:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared
2007-07-18 18:59 <DIR> d-------- C:\Programme\Agnitum
2007-07-18 16:00 241,904 --a------ C:\WINDOWS\UNBOC.EXE
2007-07-18 16:00 208,896 --a------ C:\WINDOWS\CMDLIC.DLL
2007-07-18 16:00 <DIR> d-------- C:\Programme\Comodo
2007-07-14 15:37 <DIR> d--h----- C:\WINDOWS\PIF
2007-07-13 13:16 <DIR> d-------- C:\Programme\VisualTaskTips
2007-07-13 13:15 <DIR> d-------- C:\Programme\TaskSwitchXP
2007-07-13 12:51 5,415 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-07-12 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock
2007-07-12 16:14 61,537 --a------ C:\WINDOWS\BricoPackUninst.cmd
2007-07-12 16:11 <DIR> d-------- C:\WINDOWS\BricoPacks
2007-07-09 20:10 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2007-07-09 20:10 <DIR> d-------- C:\Programme\Wallpaper Juggler
2007-07-08 18:59 810 --a------ C:\WINDOWS\system32\unins000.dat
2007-07-08 18:32 1,305,282 --a------ C:\WINDOWS\Living Waterfalls.scr
2007-07-08 16:07 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\pokerth
2007-07-06 15:23 <DIR> d-------- C:\DOKUME~1\Alex\ANWEND~1\TeamViewer
2007-07-06 15:02 <DIR> d-------- C:\Programme\TeamViewer
2007-07-06 14:45 <DIR> d-------- C:\Programme\DynGate
2007-07-06 14:45 <DIR> d-------- C:\DOKUME~1\Alex\temp

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-22 16:25:17 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-22 14:51:57 9,926 ----a-w C:\DOKUME~1\Alex\ANWEND~1\wklnhst.dat
2007-07-18 16:50:50 -------- d-----w C:\Programme\VideoLAN
2007-07-18 16:49:24 -------- d-----w C:\Programme\Yahoo!
2007-07-18 14:20:19 8,474 -c--a-w C:\WINDOWS\mozver.dat
2007-07-15 17:12:50 97,752 ----a-w C:\DOKUME~1\Alex\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-07-15 10:32:53 -------- d-----w C:\DOKUME~1\Alex\ANWEND~1\Skype
2007-07-13 11:53:19 -------- d-----w C:\Programme\Movie Maker
2007-07-12 14:14:38 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2007-07-10 16:30:40 -------- d-----w C:\Programme\ICQ6
2007-07-09 16:00:33 75,122 -c--a-w C:\WINDOWS\system32\perfc007.dat
2007-07-09 16:00:33 415,364 -c--a-w C:\WINDOWS\system32\perfh007.dat
2007-07-08 17:01:34 -------- d-----w C:\Programme\Security Task Manager
2007-07-07 11:56:44 -------- d-----w C:\DOKUME~1\Alex\ANWEND~1\Xfire
2007-07-07 11:56:14 -------- d-----r C:\Programme\Xfire
2007-06-24 10:57:59 -------- d-----w C:\Programme\MSN Messenger
2007-06-17 11:01:37 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-17 09:07:05 -------- d-----w C:\Programme\Clickster
2007-06-16 10:33:03 -------- d-----w C:\Programme\Skype
2007-06-16 10:33:03 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-06-03 17:42:19 -------- d-----w C:\Programme\Game Cam v1.4
2007-05-30 18:17:47 -------- d-----w C:\DOKUME~1\Alex\ANWEND~1\Ashampoo
2007-05-29 11:43:52 -------- d-----w C:\Programme\z-defrag
2007-05-29 11:43:46 73,728 -c----w C:\WINDOWS\AKDeInstall.exe
2007-05-29 11:16:17 -------- d-----w C:\Programme\ToniArts
2007-05-25 20:30:01 -------- d-----w C:\Programme\Firestorm
2007-05-25 18:36:08 -------- d-----w C:\Programme\CH-Soft
2007-05-25 18:34:01 -------- d-----w C:\Programme\NT Registry Optimizer
2007-05-25 18:19:45 -------- d-----w C:\Programme\GetRight
2007-05-20 07:19:29 335 -c--a-w C:\WINDOWS\mozregistry.dat
2007-05-16 15:11:44 683,520 -c--a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2005-10-09 10:25:40 8 -csh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25:40 4,704 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F40E12CA-3A3D-4BC3-862A-2431DC96B49A}]
2007-03-24 21:16 22097 --a------ C:\WINDOWS\system32\ole232.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2005-09-23 00:21 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2005-09-23 00:21 C:\WINDOWS\system32\nvmctray.dll]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 16:20 C:\WINDOWS\RTHDCPL.EXE]
"CHotkey"="mHotkey.exe" [2004-06-03 21:07 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2003-07-21 22:28 C:\WINDOWS\CNYHKey.exe]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 14:19]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 10:17]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-09-25 15:54]
"Wallpaper Juggler Monitor"="C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe" [2004-09-22 20:18]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 20:05]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Steam"="" []
"TaskSwitchXP"="C:\Programme\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29]
"VisualTaskTips"="C:\Programme\VisualTaskTips\VisualTaskTips.exe" [2006-07-31 13:33]
"UberIcon"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" [2006-05-21 09:43]
"Update Service"="C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"AVG7_Run"=C:\DOKUME~1\Alex\Desktop\PORTAB~1\ANTIVI~1\avgw.exe /RUNONCE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Alex^Startmenü^Programme^Autostart^VirtualExpander.lnk]
path=C:\Dokumente und Einstellungen\Alex\Startmenü\Programme\Autostart\VirtualExpander.lnk
backup=C:\WINDOWS\pss\VirtualExpander.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Alex^Startmenü^Programme^Autostart^Y'z Shadow.lnk]
path=C:\Dokumente und Einstellungen\Alex\Startmenü\Programme\Autostart\Y'z Shadow.lnk
backup=C:\WINDOWS\pss\Y'z Shadow.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_SUED_FotoSuite]
"C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoRun]
C:\Programme\Oyla.de - Login\Oyla

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"C:\Programme\HP\HP Software Update\HPWuSchd2.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"C:\Programme\Home Cinema\PowerCinema\PCMService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LightScribeService"=2 (0x2)
"FirebirdServerMAGIXInstance"=3 (0x3)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"UleadBurningHelper"=2 (0x2)
"CLCapSvc"=2 (0x2)
"x10nets"=3 (0x3)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)
"aawservice"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e3326a0-3629-11dc-bc62-00038a000015}]
AutoRun\command- PortableApps\PortableAppsMenu\PortableAppsMenu.exe

Contents of the 'Scheduled Tasks' folder
2007-07-19 14:55:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 17:05:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120"

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 17:05:52
C:\ComboFix-quarantined-files.txt ... 2007-07-23 17:05

--- E O F ---

Hier die Log von Hijakthis:
_____________________
Logfile of HijackThis v1.99.1
Scan saved at 17:09:21, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Valve\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Alex\Desktop\hijakthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {F40E12CA-3A3D-4BC3-862A-2431DC96B49A} - C:\WINDOWS\system32\ole232.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - *.de (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.*.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128778405937
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.com/obj/NpFp415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Mach mal noch folgendes:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\ole232.dll
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Ad-Aware:

Ad-Aware 1.06 herunterladen und damit das System bereinigen!

Gruß
Sunny

Hier einmal den Link von der Datei: ole232.dll
VirusTotal - Free Online Virus and Malware Scan - Result
Hier der Link der Datei: wrar362d.exe
VirusTotal - Free Online Virus and Malware Scan - Result

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ole232.dll
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Sunny

Ehm joar, kann es auch sein das ich ausser Adware auch von einem Keylogger befallen bin?

Zitat:

Zitat von daalex (Beitrag 281857)

Ehm joar, kann es auch sein das ich ausser Adware auch von einem Keylogger befallen bin?

Weiß ich nicht, habe dazu nichts weiter gesehen. ;)

So hier diese "Avenger-Log-File"

Achja es gibt auch noch eine Alternative zu "Avenger" nähmlich "Killbox"

______________________________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iduoucmj

*******************

Script file located at: \??\C:\vcnkuyyj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ole232.dll deleted successfully.
File C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\wrar362d.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
______________________________________________________________
Und hier eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Jul 23 18:30:15 2007 => Version 9.2.6
Mon Jul 23 18:29:50 2007 => Virus-Datenbank Datum: 5/28/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 18:30:53 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:30:53 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with ezula Spyware/Adware (aud.dll)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:04 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
Mon Jul 23 18:31:06 2007 => System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. (!!!Hier ist dieser Keylogger, bitte entfernen, hoppla "Commercial"!!!)
Mon Jul 23 18:31:10 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Jul 23 18:30:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mixjam und lila tools accas.rar/acca cle.mp3.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 18:30:39 2007 => Datei C:\Dokumente und Einstellungen\Alex\Desktop\Fun-Programme\mp3downloads.com markiert als not-virus:BadJoke.Win32.JepRuss. Keine Aktion vorgenommen.
Mon Jul 23 18:33:17 2007 => File C:\avenger\backup.zip/avenger/ole232.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jul 23 18:30:53 2007 => Offending file found: C:\WINDOWS\system32\swreg.exe
Mon Jul 23 18:30:53 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\nds\nds2\plugin\aud.dll
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\bios\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\cheats\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\config\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\dump\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\patch\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\plugins\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\ram\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\roms\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\save\delete.me
Mon Jul 23 18:31:04 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\downloads\emulatoren\sega\shots\delete.me
Mon Jul 23 18:31:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\fail\cstrike\media\logo.avi
Mon Jul 23 18:31:10 2007 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\mixmaterial_2\instrumentals\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jul 23 18:30:54 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\icq\bart\1024
Mon Jul 23 18:31:02 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Jul 23 18:30:51 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKCU\Software\adtools !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 18:30:51 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Jul 23 18:31:21 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e3326a0-3629-11dc-bc62-00038a000015} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 23 18:30:15 2007 => Specherüberprüfung: Aktiviert
Mon Jul 23 18:30:15 2007 => Registry Überprüfung: Aktiviert
Mon Jul 23 18:30:15 2007 => System-Ordner Überprüfung: Aktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung der Dienste: Aktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung der Festplatten: Aktiviert
Mon Jul 23 18:30:15 2007 => Überprüfung aller Festplatten :Deaktiviert

HIER hab ich das Tool "KillBox" für Sie/Dich bereitgestellt, dass Passwort lautet: "security" (ohne ")

Zitat:

Zitat von daalex (Beitrag 281872)

HIER hab ich das Tool "KillBox" für Sie/Dich bereitgestellt, dass Passwort lautet: "security" (ohne ")

Und was soll ich mit der Killbox? :crazy:

Danke....ich kenn das Tool, nutze aber lieber den Avenger. ;)

Ja, ok

Nun zurück zu den Trojanern und Hijaker (Keylogger)...

Eigentlich sollte es das gewesen sein. Lösche nur noch diese Datei:

C:\avenger\backup.zip

Hat denn Ad-Aware noch was gefunden?

Zitat:

Eigentlich sollte es das gewesen sein. Lösche nur noch diese Datei:

C:\avenger\backup.zip

Habe ich nach dem Scan gelöscht, da auf der Log diese Files zu sehen waren ...

Code:

Hat denn Ad-Aware noch was gefunden?

Ja, Tracking Cookies und ein MRU Object.

MfG daalex