Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner in temporären Dateien - wie entfernen? (https://www.trojaner-board.de/35381-trojaner-temporaeren-dateien-entfernen.html)

MiddieCucumber 16.01.2007 10:35
Trojaner in temporären Dateien - wie entfernen?
 
Hallo!

Ich bekomme seit einigen Tagen von AntiVir ständig Meldungen über verschiedenen Trojaner (meistens in temp Dateien.)- wie z.B. TR/PCK.Klone.G.163 oder TR/PCK.Klone.T.4 (der letzte allerdings im windows/system32 ordner). Habe schon einige Virenprogramme drüber laufen lassen und die Dateien auch unter unterschiedlichen Bedingungen immer wieder gelöscht, kann sie aber nicht loswerden. Habe im Moment weder Zeit noch Nerven für eine Neuinstallation, gibt es keine andere Möglichkeit?

Hier mein Hijachthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 10:22:35, on 16.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\Gemeinsame Dateien\AOL\1158698600\ee\AOLSoftware.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\PDFDrucker\PDF24Updater.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\CyberLink\PowerStarter\PowerBar.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Dokumente und Einstellungen\**\Eigene Dateien\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1158698600\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink\PowerStarter\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E473A65C-8087-49A3-AFFD-C5BC4A10669B} (Quantum Streaming IE Player Class) - h**p://mvnet.xlontech.net/qm/fox/06101102/qsp2ie06101001.cab
O20 - Winlogon Notify: winrip32 - C:\WINDOWS\SYSTEM32\winrip32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

Würde mich sehr freuen, wenn mir jemand helfen könnte. VIELEN DANK!

nochdigger 16.01.2007 10:50
mOIn auch

wichtig zu Wissen währe welche Dateien da genau angemeckert wurden (Pfad\Name).

Lade dir mal ClearProg und lasse es dein System bereinigen
(hake an - alles löschen)

Außerdem lädst du dir bitte mal Smidfraudfix
halte dich an die Anleitung und poste den rapport1.txt
von vor und den rapport2.txt nach der Bereinigung
sowie ein neues HijackThis Log.

MFG

MiddieCucumber 16.01.2007 11:16
Vielen Dank für die schnelle Antwort.
Habe die Bereinigung mit ClearProg durchgeführt.

Hier der rapport1:

SmitFraudFix v2.132

Scan done at 10:55:56,14, 16.01.2007
Run from C:\Dokumente und Einstellungen\Arlt\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Arlt


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Arlt\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Arlt\FAVORI~1

C:\DOKUME~1\Arlt\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Und hier der rapport2, nach der Bereinigung

SmitFraudFix v2.132

Scan done at 11:05:55,65, 16.01.2007
Run from C:\Dokumente und Einstellungen\Arlt\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\Arlt\FAVORI~1\Online Security Test.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Plus ein neuer HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:10:35, on 16.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\Gemeinsame Dateien\AOL\1158698600\ee\AOLSoftware.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\PDFDrucker\PDF24Updater.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\CyberLink\PowerStarter\PowerBar.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\**\Eigene Dateien\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1158698600\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink\PowerStarter\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E473A65C-8087-49A3-AFFD-C5BC4A10669B} (Quantum Streaming IE Player Class) – h**p://mvnet.xlontech.net/qm/fox/06101102/qsp2ie06101001.cab
O20 - Winlogon Notify: winrip32 - C:\WINDOWS\SYSTEM32\winrip32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe


Was nun?

Vielen lieben Dank!

P.S. Die letzten Meldung kam zu folgender Datei: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHUPE3GH\srvibg[1].exe

und zu

C:\WINDOWS\Temp\win7.tmp

und

C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTIBKHIF\srvlhm[1].exe

Wie kann ich die älteren Meldungen einsehen?

nochdigger 16.01.2007 23:10
mOIn auch

Zitat:
P.S. Die letzten Meldung kam zu folgender Datei...
vor oder nach der ClearProg und Smitfrautfixaktion?

MFG

MiddieCucumber 16.01.2007 23:12
Danach. Ich kriege solche Meldungen auch jetzt noch ständig!

nochdigger 16.01.2007 23:33
Hallo

dann lade dir mal datfind.bat von hier --> Datfindbat und halte dich an die Kurzanleitung, poste nur die Einträge der letzten 30 Tage.

MFG

MiddieCucumber 16.01.2007 23:52
ok, hier die Einträge:

(system32.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS\system32

16.01.2007 11:06 4.788 tmp.reg
16.01.2007 11:06 0 tmp.txt
13.01.2007 17:43 1.158 wpa.dbl
07.12.2006 22:12 16.832 amcompat.tlb
07.12.2006 22:12 23.392 nscompat.tlb
01.12.2006 08:42 194.568 FNTCACHE.DAT
01.12.2006 05:20 79.360 swxcacls.exe


(systemtemp.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\DOKUME~1\**\LOKALE~1\Temp

16.01.2007 23:13 84.488 ~WRS0001.tmp
16.01.2007 23:13 311.296 ~WRF0004.tmp
16.01.2007 23:07 845 ~WRD0000.doc
16.01.2007 19:44 16.384 Perflib_Perfdata_9e4.dat
16.01.2007 19:44 16.384 Perflib_Perfdata_160.dat
16.01.2007 19:44 16.384 Perflib_Perfdata_52c.dat
16.01.2007 19:44 344.064 ~DF304E.tmp
16.01.2007 19:44 0 JET93E3.tmp
16.01.2007 19:44 1.094 LVCOMSX.LOG
16.01.2007 19:44 16.384 ~DF2FA5.tmp
16.01.2007 19:44 408 jusched.log
16.01.2007 11:08 20.859 Turkish.bin
16.01.2007 11:08 20.608 Norwegian.bin
16.01.2007 11:08 24.446 Hungarian.bin
16.01.2007 11:08 18.436 Hebrew.bin
16.01.2007 11:08 21.562 Finnish.bin
16.01.2007 11:08 22.862 Czech.bin
16.01.2007 11:08 23.522 Portuguese(Brazil).bin
16.01.2007 11:08 22.606 Polish.bin
16.01.2007 11:08 23.467 Greek.bin
16.01.2007 11:08 20.733 Thai.bin
16.01.2007 11:08 19.506 Arabic.bin
16.01.2007 11:08 15.534 SimChin.bin
16.01.2007 11:08 24.654 Portuguese.bin
16.01.2007 11:08 21.773 English.bin
16.01.2007 11:08 22.684 SWEDISH.bin
16.01.2007 11:08 26.062 Spanish.bin
16.01.2007 11:08 24.638 Russian.bin
16.01.2007 11:08 25.824 Italian.bin
16.01.2007 11:08 24.274 German.bin
16.01.2007 11:08 16.913 TradChin.bin
16.01.2007 11:08 25.665 French.bin
16.01.2007 11:08 24.173 Dutch.bin
16.01.2007 11:08 22.856 Danish.bin
16.01.2007 11:08 18.978 Korean.bin
16.01.2007 11:08 22.809 Japanese.bin
36 Datei(en) 1.363.175 Bytes
0 Verzeichnis(se), 47.110.848.512 Bytes frei

(windows.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS

16.01.2007 20:55 9.002 ModemLog_SENS LT56ADW Modem.txt
16.01.2007 19:44 0 0.log
16.01.2007 19:44 2.053.682 WindowsUpdate.log
16.01.2007 19:44 159 wiadebug.log
16.01.2007 19:44 50 wiaservc.log
16.01.2007 19:44 2.048 bootstat.dat
16.01.2007 13:42 32.544 SchedLgU.Txt
16.01.2007 11:06 209.868 setupact.log
16.01.2007 11:04 147.608 ntbtlog.txt
16.01.2007 10:54 432 BRWMARK.INI
16.01.2007 07:17 1.002.798 setupapi.log
14.01.2007 14:55 21.897 LUINSTALL.LOG
12.01.2007 01:00 87.053 iis6.log
12.01.2007 01:00 114.765 ntdtcsetup.log
12.01.2007 01:00 191.851 comsetup.log
12.01.2007 01:00 1.374 imsins.log
12.01.2007 01:00 30.297 ocmsn.log
12.01.2007 01:00 214.057 tsoc.log
12.01.2007 01:00 12.181 KB929969.log
12.01.2007 01:00 265.461 ocgen.log
12.01.2007 01:00 27.445 msgsocm.log
12.01.2007 01:00 543.306 FaxSetup.log
11.01.2007 20:12 59.434 wmsetup.log
15.12.2006 14:30 844.092 DPINST.LOG
14.12.2006 19:50 1.393 imsins.BAK
14.12.2006 19:50 17.879 KB925454.log
14.12.2006 19:49 30.017 updspapi.log
14.12.2006 19:49 9.959 KB925398.log
14.12.2006 19:49 11.156 KB926255.log
14.12.2006 19:49 10.987 KB923694.log
08.12.2006 08:48 39.356 spupdsvc.log
07.12.2006 22:51 858 wmsetup10.log
07.12.2006 22:12 6.498 KB926239.log
07.12.2006 22:12 4.487 MSCompPackV1.log
07.12.2006 22:12 18.198 wmp11.log
07.12.2006 22:12 603 win.ini
07.12.2006 22:11 25.597 WMFDist11.log
07.12.2006 22:10 11.101 Wudf01000Inst.log

(temp.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS\Temp

16.01.2007 23:45 35.040 win41.tmp
16.01.2007 21:49 990 win21.tmp
16.01.2007 20:54 7.168 idd1A.tmp.exe
16.01.2007 20:54 35.840 win18.tmp.exe
16.01.2007 19:48 990 win13.tmp
16.01.2007 19:46 0 win11.tmp
16.01.2007 19:46 0 winE.tmp
16.01.2007 19:46 0 winD.tmp
16.01.2007 19:46 0 winC.tmp
16.01.2007 19:46 0 winF.tmp
16.01.2007 19:44 0 win7.tmp
16.01.2007 19:44 0 win8.tmp
16.01.2007 19:44 0 win9.tmp
16.01.2007 19:44 0 win5.tmp
16.01.2007 19:44 0 win4.tmp
16.01.2007 13:34 990 win10.tmp
16.01.2007 11:32 990 winA.tmp
16.01.2007 11:10 0 win6.tmp
16.01.2007 11:08 0 win3.tmp
16.01.2007 11:06 0 win2.tmp
16.01.2007 11:04 0 win1.tmp
16.01.2007 11:02 0 win20.tmp
22 Datei(en) 82.008 Bytes
0 Verzeichnis(se), 47.110.815.744 Bytes frei

(down.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

10.10.2006 08:45 131 qsp2ie.inf
22.06.2006 11:41 5.032 swflash.inf
13.06.2006 19:13 65 desktop.ini
3 Datei(en) 5.228 Bytes
0 Verzeichnis(se), 47.110.811.648 Bytes frei

(c.text)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

10.10.2006 08:45 131 qsp2ie.inf
22.06.2006 11:41 5.032 swflash.inf
13.06.2006 19:13 65 desktop.ini
3 Datei(en) 5.228 Bytes
0 Verzeichnis(se), 47.110.811.648 Bytes frei



So, ich hoffe, das war richtig so und hilft irgendwie weiter. Vielen Dank!

nochdigger 17.01.2007 09:07
mOIn auch

mache bitte alle Dateien und Ordner sichtbar --> Versteckte Datein und Ordner

dann lasse bitte diese Dateien :

C:\WINDOWS\SYSTEM32\winrip32.dll (falls noch vorhanden)
C:\WINDOWS\system32\swxcacls.exe
C:\WINDOWS\Temp\idd1A.tmp.exe
C:\WINDOWS\Temp\win18.tmp.exe

hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

MiddieCucumber 17.01.2007 22:10
ok,

1.
Complete scanning result of "winrip32.dll", received in VirusTotal at 01.17.2007, 21:43:31 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 TR/PCK.Klone.T.4
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.17.2007 Win32:Trojano-BJ
AVG 386 01.17.2007 Generic2.JKZ
BitDefender 7.2 01.17.2007 Trojan.Klone.H
CAT-QuickHeal 9.00 01.17.2007 no virus found
ClamAV devel-20060426 01.17.2007 Trojan.Klone-41
DrWeb 4.33 01.17.2007 Trojan.Mezzia
eSafe 7.0.14.0 01.17.2007 no virus found
eTrust-InoculateIT 23.73.115 01.17.2007 Win32/Nebuler.BGT!DLL!Trojan
eTrust-Vet 30.3.3332 01.17.2007 Win32/Nebuler.AM
Ewido 4.0 01.17.2007 Trojan.Mezzia
Fortinet 2.82.0.0 01.17.2007 W32/Nebule.T!tr
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Trojan.Win32.Agent.vg
Kaspersky 4.0.2.24 01.17.2007 Packed.Win32.Klone.t
McAfee 4941 01.17.2007 BackDoor-CVT
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 Win32/Small.NBF
Norman 5.80.02 01.17.2007 no virus found
Panda 9.0.0.4 01.17.2007 Trj/Nebule.A
Prevx1 V2 01.17.2007 Polynomial.Code.Exploit
Sophos 4.13.0 01.16.2007 Troj/Nebule-Gen
Sunbelt 2.2.907.0 01.12.2007 Packed.Win32.Klone.t
TheHacker 6.0.3.148 01.14.2007 Trojan/Klone.t
UNA 1.83 01.17.2007 Trojan.Win32.Klone.6CBA
VBA32 3.11.2 01.17.2007 Trojan.Mezzia
VirusBuster 4.3.19:9 01.17.2007 Trojan.Agent.RIZ

Aditional Information
File size: 17408 bytes
MD5: bb38e379b22857c1d1006070a4215fac
SHA1: c11d13107488e4cc7f51155cc6118ee16a390ac5
packers: PECompact
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=13ef56912034

2.
Complete scanning result of "swxcacls.exe", received in VirusTotal at 01.17.2007, 21:51:48 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 no virus found
Authentium 4.93.8 01.16.2007 could be a corrupted executable file
Avast 4.7.936.0 01.17.2007 no virus found
AVG 386 01.17.2007 no virus found
BitDefender 7.2 01.17.2007 no virus found
CAT-QuickHeal 9.00 01.17.2007 no virus found
ClamAV devel-20060426 01.17.2007 no virus found
DrWeb 4.33 01.17.2007 no virus found
eSafe 7.0.14.0 01.17.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 suspicious
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.17.2007 no virus found
McAfee 4941 01.17.2007 no virus found
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 no virus found
Norman 5.80.02 01.17.2007 no virus found
Panda 9.0.0.4 01.17.2007 no virus found
Prevx1 V2 01.17.2007 no virus found
Sophos 4.13.0 01.16.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.17.2007 no virus found
VBA32 3.11.2 01.17.2007 no virus found
VirusBuster 4.3.19:9 01.17.2007 no virus found

Aditional Information
File size: 79360 bytes
MD5: ef5dc4cf7c39cfb4653859878c14d86c
SHA1: 82ab38d121c5d6ccce79d0e63bf51604cd3c9fd6
packers: UPX
packers: UPX
packers: UPX

3.
omplete scanning result of "idd1A.tmp.exe", received in VirusTotal at 01.17.2007, 21:59:26 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 DIAL/7168.A.10
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.17.2007 no virus found
AVG 386 01.17.2007 Potentially harmful program Dialer.CGY
BitDefender 7.2 01.17.2007 Dialer.Porn.Y
CAT-QuickHeal 9.00 01.17.2007 PornDialer.IDialer.m (Not a Virus)
ClamAV devel-20060426 01.17.2007 no virus found
DrWeb 4.33 01.17.2007 no virus found
eSafe 7.0.14.0 01.17.2007 Win32.Dialer.gen
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 Dialer.IDialer.m
Fortinet 2.82.0.0 01.17.2007 Dial/305
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 not-a-virus:Porn-Dialer.Win32.IDialer.m
Kaspersky 4.0.2.24 01.17.2007 not-a-virus:Porn-Dialer.Win32.IDialer.m
McAfee 4941 01.17.2007 potentially unwanted program Dialer-305
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 no virus found
Norman 5.80.02 01.17.2007 W32/Dialer.BBXF
Panda 9.0.0.4 01.17.2007 Dialer.ISM
Prevx1 V2 01.17.2007 Dialer.GlobalAccess
Sophos 4.13.0 01.16.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 Trojan/Dialer.IDialer.m
UNA 1.83 01.17.2007 Dialer.IDialer.D0B1
VBA32 3.11.2 01.17.2007 Porn-Dialer.Win32.IDialer.m
VirusBuster 4.3.19:9 01.17.2007 no virus found

Aditional Information
File size: 7168 bytes
MD5: d21c4db5d19f63fdb7178a1f2563cc54
SHA1: 9bd3845b8b66d7c6130a93b8c189437685d2d334
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=9abd67817481

4.
Complete scanning result of "win18.tmp.exe", received in VirusTotal at 01.17.2007, 22:03:41 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 TR/PCK.Klone.G.163
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.17.2007 no virus found
AVG 386 01.17.2007 Generic2.SKB
BitDefender 7.2 01.17.2007 Dialer.Porn.P
CAT-QuickHeal 9.00 01.17.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 01.17.2007 no virus found
DrWeb 4.33 01.17.2007 no virus found
eSafe 7.0.14.0 01.17.2007 Win32.Klone.g
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 W32/Klone.G
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.17.2007 Packed.Win32.Klone.g
McAfee 4941 01.17.2007 no virus found
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 no virus found
Norman 5.80.02 01.17.2007 no virus found
Panda 9.0.0.4 01.17.2007 Dialer.ISL
Prevx1 V2 01.17.2007 Dialer.GlobalAccess
Sophos 4.13.0 01.16.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 VIPRE.Suspicious
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.17.2007 no virus found
VBA32 3.11.2 01.17.2007 no virus found
VirusBuster 4.3.19:9 01.17.2007 no virus found

Aditional Information
File size: 35840 bytes
MD5: a8da69372f795ae54f4c46f6e621c5bc
SHA1: 9e80e1f9ac99620f83f45faaab91ad5fde9c9c20
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=83d167754672
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


Ich hoffe das hilft weiter, VIELEN DANK!

nochdigger 19.01.2007 09:30
mOIn auch

Dieser Fund gefällt mir bei genaueren hinsehen garnicht :Packed.Win32.Klone.t
Zitat:
Zitat von CounterSpy
High risks are typically installed without user interaction through security exploits, and can severely compromise system security. Such risks may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware.
Ich würde hier schon zu einer Neuinstallation raten, aber vllt. hat ja noch jemand eine andere Idee.
Eine Sache noch Schicke bitte diese Datei "swxcacls.exe" mit der Auswertung von Virustotal an AntiVir --> starte Antivir --> Reiter Quarantäne --> wähle "Verdächtige Datei zur Quarantäne hinzufügen --> füge "swxcacls.exe" hinzu --> wähle "Ausgewähltes Objekt senden" und warte die Antwort ab von Avira und poste das Ergebnis hierher.

MFG

KarlKarl 19.01.2007 09:59
Him

die Mitarbeiter bei Avira haben eh schon mehr Arbeit als der Tag lang ist, erspare ihnen die swxcacls.exe. Die ist ein Teil des Smitfraudfix, MD5 ist identisch. Erklärung zu der Datei kann man hier finden, der dortige Download hat allerdings einen anderen MD5, neue Version.

Es ist ein normales Verhalten des Smitfraudfix einen Teil seiner Dateien nach system32 zu kopieren.

Gruß, Karl

nochdigger 19.01.2007 12:29
mOIn auch

danke karlkarl für die Info hab ich nicht gewusst.

MFG

MiddieCucumber 19.01.2007 13:24
ok, und was heißt das jetzt?

Ich muss neuinstallieren? Und wenn das denn unbedingt sein muss, wie kann ich vermeiden, dass ich gleich wieder von so was befallen werde?

danke für eure mühe!

nochdigger 20.01.2007 14:39
mOIn auch

Zitat:
Ich muss neuinstallieren? Und wenn das denn unbedingt sein muss, wie kann ich vermeiden, dass ich gleich wieder von so was befallen werde?
du musst garnix, es ist ein Rat und meiner Meinung nach bei einem Schädling der Systemdateien verändert/manipuliert und unerlaubte Zugriffe erlaubt der einzig richtige.
Du solltest du dieser Anleitung zum Neuaufsetzen und anschließender Absicherung folgen, ebenso kannst du dich hier einwenig Einlesen --> Kompromittierung unvermeidbar?

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131