Hallo ihr Wissenden,
ich hatte Theater mit den Ärsc.ern von Coolwebsearch und mir wurde hier im Forum prächtig geholfen.
http://www.informationsarchiv.net/foren/viewtopic.php?p=108839#108839
Nun habe ich jedoch noch was :
wie funktioniert das ?
überall ich zu lesen, dass die Systemwiederherstellung deaktiviert werden soll, wenn man sein System säubert.
Ich finde jedoch trotz Sucherei das Häckchen nicht
WIN 2K Pro SP4
und jetzt mit Firefox 1.04 (perfektes Teil !!)
Darüber hinaus habe ich durch die Coolwebsearch Aktion noch paar Dateien auf dem Rechner gefunden, von denen auch über Google wenig bekannt ist.
z.B.:
syslq.dl
wintj.dll
und noch weitere
Während der Aktion wurde über die FritzCard ein Gastzugang erstellt; in diesem Zusammenhang wurden zeitgleich die Dateien aufgerufen:
Netfritz.pnf
Netfritz.inf
Netfritz.sys
access.dbf
accessmdx
l
Darüber hinaus wurde aufgerufen :
PJLMON.dll sowie WININET.dll
bzw angelegt :
msap32.exe
mszv.exe
crav.exe
Angelegt wurde ein Ordner namens CATROOT mit einem ganzen Packen *.CAT Dateien sowie HASHMAST sowie CATMAST jeweils als *.cbk sowie *.cbd.
Die o.g. Dateien habe ich vor 2 Tagen upgeloadet, jedoch noch keine Nachricht:i http://www.malwareupload.com/home.php
Einen aktuellen Ausdruck von HijackThis füge ich anbei.
Ad-Aware und AntiVir zeigen keinerlei Befunde.
Logfile of HijackThis v1.99.1
Scan saved at 17.51, on 07.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\NavNT\vptray.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\OfficeEnglish\Server\oeserver.exe
C:\Programme\DeTeMedien\GelbeSeiten für Deutschland\OMAlarm.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\mmc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\VIRUS TROJANER hijackthis\Programme\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [ccleaner] "D:\VIRUS TROJANER hijackthis\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [HijackThis startup scan] D:\VIRUS TROJANER hijackthis\Programme\HijackThis.exe /startupscan
O4 - Startup: hardcopy.exe.lnk = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office English Server.lnk = C:\Programme\OfficeEnglish\Server\oeserver.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EDF5495-4415-4CBB-A9E3-0A80E5D35083}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
Danke für Eure Hilfe
Grüße
jwd
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Gefahr einer Backdoor ??
23 Beiträge • Seite 1 von 2 • 1, 2
von Yourhighness am 07.06.2005, 22:46
Hi!
Das mit der Systemwiederherstellung findest Du hier:
http://nikita.eddys-domain.de/Systemwiederherstellung.html
MfG,
Das mit der Systemwiederherstellung findest Du hier:
http://nikita.eddys-domain.de/Systemwiederherstellung.html
Wikipedia Backdoor hat geschrieben:Als Hintertür (engl. backdoor, auch Trapdoor: Falltür) bezeichnet man einen vom Autor eingebauten Teil eines Computerprogrammes, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer (oder einem Computerprogramm) zu erlangen.
Eine Variante sind in einem System fest vorgegebene, nur dem Ersteller des Systems bekannte Passwörter oder andere versteckte Funktionen, die ein Login ohne die sonst übliche Authentifizierung ermöglichen. Bekanntestes Beispiel hierfür ist wohl das von Award Software über mehrere Jahre vergebene BIOS-Universalpasswort "lkwpeter". Publikumswirksam demonstriert wurde der Einsatz einer Backdoor auch im Kinofilm Jurassic Park.
In jüngerer Zeit findet der Begriff Backdoor auch Anwendung als Bezeichnung für z.B. durch Trojaner nachträglich installierte Programmpakete, die Benutzern über das Internet Zugriff auf Computersysteme gewähren. Hierzu zählen z.B. die bei Skriptkiddies beliebten Programme "Sub Seven" und "Back Orifice".
Die Open-Source-Bewegung argumentiert: Ein Vorteil quelloffener Software sei, dass der Quelltext eines potenziell schädlichen Programms nach derartigen Hintertüren leicht von jedem selbst durchsucht werden könnte. Im Gegensatz dazu seien proprietäre Anwendungen nicht für jedermann einsehbar.
MfG,
- Yourhighness
von jwd am 07.06.2005, 22:59
Hallo,
dank´ Dir für die Antwort, doch leider beantwortet sie meine Frage(n) nicht wirklich.
Den Link zu Nikita kenne ich, doch irgendwie sieht es in Win 2000 aus. Und das WIE interessiert mich.
Der Wikipedia Artikel ist gut, doch ...
Grüße
jwd
dank´ Dir für die Antwort, doch leider beantwortet sie meine Frage(n) nicht wirklich.
Den Link zu Nikita kenne ich, doch irgendwie sieht es in Win 2000 aus. Und das WIE interessiert mich.
Der Wikipedia Artikel ist gut, doch ...
Grüße
jwd
- jwd
- Beiträge: 25
- Registriert: 02.06.2005, 00:01
von Yourhighness am 07.06.2005, 23:22
Oops Sorry!
Windows 2000 hat keine Systemwiederherstellung. Diese wurde erst ab ME eingeführt....Habe mich verlesen....
Fixe mit HJT:
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
Mache bitte noch nen Escan:
http://yourhighness.eddys-domain.de/escan.html
MfG,
Windows 2000 hat keine Systemwiederherstellung. Diese wurde erst ab ME eingeführt....Habe mich verlesen....
Fixe mit HJT:
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
Mache bitte noch nen Escan:
http://yourhighness.eddys-domain.de/escan.html
MfG,
- Yourhighness
von Nikita am 09.06.2005, 09:23
Hallo@jwd
INFECTION WARNING! "NavLogon\DLLName" = "C:\WINDOWS\System32\NavLogon.dll"
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
C:\WINNT\system32\NavLogon.dll
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
-----------------------------------------------------------------------------
Falls die dll nicht doch zu deinem Norton gehoert ????????????
Fixe mit dem HijackYhis:
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
PC neustarten
loeschen:
C:\WINDOWS\System32\NavLogon.dll
--------------------------------------------------------------------------------------
Sicheres Konfigurieren der Dienste:
"Windows-Dienste abschalten" ist ein Programm, das Microsoft Windows XP Home, Microsoft Windows XP Professional und Windows 2000 wesentlich sicherer gegen Angriffe aus dem Netz macht. Andere Windows-Versionen kann ich derzeit leider nicht unterstützen. Auch wird der Betrieb in einer Windows-Domäne (Bürocomputer) derzeit nicht unterstützt - das Programm ist für Heimanwender gedacht.
"Windows-door-cleaner"
"Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://nikita.eddys-domain.de/windowsdienste.html
-------------------------------------------------------------
FTP Client Using WinInet.dll
mache bitte folgendes:
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der 30 letzten Tage raus
einzeln reinkopieren:
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
.................................................................................
INFECTION WARNING! "NavLogon\DLLName" = "C:\WINDOWS\System32\NavLogon.dll"
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
C:\WINNT\system32\NavLogon.dll
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
-----------------------------------------------------------------------------
Falls die dll nicht doch zu deinem Norton gehoert ????????????
Fixe mit dem HijackYhis:
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
PC neustarten
loeschen:
C:\WINDOWS\System32\NavLogon.dll
--------------------------------------------------------------------------------------
Sicheres Konfigurieren der Dienste:
"Windows-Dienste abschalten" ist ein Programm, das Microsoft Windows XP Home, Microsoft Windows XP Professional und Windows 2000 wesentlich sicherer gegen Angriffe aus dem Netz macht. Andere Windows-Versionen kann ich derzeit leider nicht unterstützen. Auch wird der Betrieb in einer Windows-Domäne (Bürocomputer) derzeit nicht unterstützt - das Programm ist für Heimanwender gedacht.
"Windows-door-cleaner"
"Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://nikita.eddys-domain.de/windowsdienste.html
-------------------------------------------------------------
FTP Client Using WinInet.dll
mache bitte folgendes:
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der 30 letzten Tage raus
einzeln reinkopieren:
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
.................................................................................
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
EScan zeigt Trojaner
von jwd am 11.06.2005, 01:42
Hi Leute,
ich hatte mir den Rechner ziemlich lahm gelegt, deshalb erst jetzt meine Reaktion.
http://www.malwareupload.com/ meldet, dass auf meinem System syslq.dll und wintj.dll Trojaner Downloader vom Typ Win32.Agent.BC sind.
Darüber hinaus findet EScan noch weitere (ich habe die Endungen schon mal umbenannt) ==> siehe weiter unten
Hi Nikita,
ich habe den Scan der Norton-Datei gemacht.
Das Ergebnis ist :
This is a report processed by VirusTotal on 06/11/2005 at 01:31:13 (CET) after scanning the file "NavLogon.dll" file.
Antivirus Version Update Result
AntiVir 6.31.0.5 06.10.2005 no virus found
AVG 718 06.10.2005 no virus found
Avira 6.31.0.5 06.10.2005 no virus found
BitDefender 7.0 06.11.2005 no virus found
ClamAV devel-20050501 06.10.2005 no virus found
DrWeb 4.32b 06.10.2005 no virus found
eTrust-Iris 7.1.194.0 06.11.2005 no virus found
eTrust-Vet 11.9.1.0 06.10.2005 no virus found
Fortinet 2.27.0.0 06.10.2005 no virus found
Ikarus 2.32 06.11.2005 no virus found
Kaspersky 4.0.2.24 06.11.2005 no virus found
McAfee 4511 06.10.2005 no virus found
NOD32v2 1.1135 06.09.2005 no virus found
Norman 5.70.10 06.09.2005 no virus found
Panda 8.02.00 06.10.2005 no virus found
Sybari 7.5.1314 06.11.2005 no virus found
Symantec 8.0 06.10.2005 no virus found
TheHacker 5.8-3.0 06.11.2005 no virus found
VBA32 3.10.3 06.10.2005 no virus found
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
Den NORTON werde ich ohnehin komplett deinstallieren, da er mist ist. Ich werde auf F-Secure umsteigen,
Deine restlichen Tipps werde ich noch angehen.
Hi Yourhighness,
der EScan zeigt dies :
--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------
1: Sat Jun 11 00:18:59 2005 => File C:\WINNT\ieco32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
2: Sat Jun 11 00:19:00 2005 => File C:\WINNT\javaus TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
3: Sat Jun 11 00:19:01 2005 => File C:\WINNT\msoz32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
4: Sat Jun 11 00:19:02 2005 => File C:\WINNT\syslq JOJO Trojaner dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
5: Sat Jun 11 00:19:04 2005 => File C:\WINNT\wintj JOJO TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
6: Sat Jun 11 00:19:07 2005 => File C:\WINNT\system32\atlyl32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
7: Sat Jun 11 00:20:31 2005 => File C:\WINNT\system32\syscr TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
8: Sat Jun 11 00:20:44 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
9: Sat Jun 11 00:21:32 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc.LNK
10: Sat Jun 11 00:21:52 2005 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
11: Sat Jun 11 00:25:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
12: Sat Jun 11 00:47:05 2005 => File C:\WINNT\ieco32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
13: Sat Jun 11 00:48:01 2005 => File C:\WINNT\javaus TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
14: Sat Jun 11 00:48:04 2005 => File C:\WINNT\msoz32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
15: Sat Jun 11 00:49:36 2005 => File C:\WINNT\syslq JOJO Trojaner dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
16: Sat Jun 11 00:49:42 2005 => File C:\WINNT\system32\atlyl32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
17: Sat Jun 11 00:53:10 2005 => File C:\WINNT\system32\syscr TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
18: Sat Jun 11 00:53:32 2005 => File C:\WINNT\wintj JOJO TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
19: Sat Jun 11 00:57:09 2005 => File D:\VIRUS TROJANER hijackthis\222 VERSEUCHT WICHTIG TROJANER ZEitpunkt tmp.txt infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
20: Sat Jun 11 00:57:10 2005 => File D:\VIRUS TROJANER hijackthis\backups\backup-20050602-152521-214 SOLL dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
21: Sat Jun 11 00:57:10 2005 => File D:\VIRUS TROJANER hijackthis\backups\backup-20050602-161723-497 SOLL dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
22: Sat Jun 11 00:57:10 2005 => File D:\VIRUS TROJANER hijackthis\backups\backup-20050602-162345-746 soll dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
23: Sat Jun 11 00:57:13 2005 => Scanning File D:\VIRUS TROJANER hijackthis\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc
--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------
1: Sat Jun 11 00:55:20 2005 => File D:\Lissy neu\Ebay\GMX - Einschreiben.htm tagged as not-a-virus:Garbage.HTML.Fraud.gen. No Action Taken.
--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------
1: Sat Jun 11 00:16:02 2005 => ERROR!!! Invalid Entry QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
2: Sat Jun 11 00:16:02 2005 => ERROR!!! Invalid Entry internat.exe = internat.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
3: Sat Jun 11 00:16:10 2005 => ERROR!!! Invalid Entry \??\C:\Programme\AVPersonal\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdw...
4: Sat Jun 11 00:16:11 2005 => ERROR!!! Invalid Entry C:\PROGRAMME\FRITZ!\de_serv.exe in SYSTEM\CurrentControlSet\Services\de_serv...
5: Sat Jun 11 00:16:13 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVENG.sys in SYSTEM\CurrentControlSet\Services\NAVENG...
6: Sat Jun 11 00:16:13 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVEX15.sys in SYSTEM\CurrentControlSet\Services\NAVEX15...
7: Sat Jun 11 00:16:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\MPG4C32.DLL". Action Taken: No Action Taken.
8: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Rasddui.hlp". Action Taken: No Action Taken.
9: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Rasdd.dll". Action Taken: No Action Taken.
10: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Rasddui.dll". Action Taken: No Action Taken.
11: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Fritz32.dll". Action Taken: No Action Taken.
12: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe". Action Taken: No Action Taken.
13: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\FRITZ!\De_serv.exe". Action Taken: No Action Taken.
14: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\IR41_QCX.dll". Action Taken: No Action Taken.
15: Sat Jun 11 00:17:01 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\pxwma.dll". Action Taken: No Action Taken.
16: Sat Jun 11 00:17:01 2005 => Entry "HKCR\CLSID\{00020D05-0000-0000-C000-000000000046}" refers to invalid object "outex.dll". Action Taken: No Action Taken.
17: Sat Jun 11 00:17:01 2005 => Entry "HKCR\CLSID\{00021120-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Microsoft Office\Office\1031\fvfxs.dll". Action Taken: No Action Taken.
18: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{5F3E04C3-4612-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAREG.DLL". Action Taken: No Action Taken.
19: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{5F3E04C4-4612-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAMDMTR.DLL". Action Taken: No Action Taken.
20: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{5F3E04C6-4612-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAREG.DLL". Action Taken: No Action Taken.
21: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{649D583D-3401-11D1-8C47-0080C7C43E7F}" refers to invalid object "C:\Programme\Microsoft Office\Office\1031\wfxrstrz.dll". Action Taken: No Action Taken.
22: Sat Jun 11 00:17:07 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
23: Sat Jun 11 00:17:07 2005 => Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
24: Sat Jun 11 00:17:07 2005 => Entry "HKCR\CLSID\{AB481080-796C-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAABOUT.DLL". Action Taken: No Action Taken.
25: Sat Jun 11 00:17:08 2005 => Entry "HKCR\CLSID\{C1172D01-751C-11D0-B6CF-00A024BF23EF}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRASRIAL.DLL". Action Taken: No Action Taken.
26: Sat Jun 11 00:17:09 2005 => Entry "HKCR\CLSID\{CCDD9080-8100-11D0-B6CF-00A024BF23EF}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRALPTTR.DLL". Action Taken: No Action Taken.
27: Sat Jun 11 00:17:09 2005 => Entry "HKCR\CLSID\{DA6A85E0-05C7-11D1-B243-006097CAD7E2}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAABOUT.DLL". Action Taken: No Action Taken.
28: Sat Jun 11 00:17:09 2005 => Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
29: Sat Jun 11 00:17:10 2005 => Entry "HKCR\CLSID\{E5B42981-67DC-11D0-8547-00A0240B50F0}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAWEBTR.DLL". Action Taken: No Action Taken.
30: Sat Jun 11 00:17:10 2005 => Entry "HKCR\CLSID\{E8D83F00-CD78-11D0-B4D3-00A024BF23EF}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAABOUT.DLL". Action Taken: No Action Taken.
31: Sat Jun 11 00:17:10 2005 => Entry "HKCR\CLSID\{EEC6993A-B3FD-11D2-A916-00C04FB98638}" refers to invalid object "pid.dll". Action Taken: No Action Taken.
--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------
1: C:\WINNT\ieco32 TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
2: C:\WINNT\javaus TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
3: C:\WINNT\msoz32 TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
4: C:\WINNT\syslq JOJO Trojaner dll.txt => Trojan-Downloader.Win32.Agent.bc
5: C:\WINNT\wintj JOJO TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
6: C:\WINNT\system32\atlyl32 TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
7: C:\WINNT\system32\syscr TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
8: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp => Trojan-Downloader.Win32.WinShow.ay
9: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG =>
10: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp => Trojan-Downloader.Win32.WinShow.ay
11: D:\Lissy neu\Ebay\GMX - Einschreiben.htm => tagged:Garbage.HTML.Fraud.gen.
12: D:\VIRUS TROJANER hijackthis\222 VERSEUCHT WICHTIG TROJANER ZEitpunkt tmp.txt => Trojan-Downloader.Win32.WinShow.ay
13: D:\VIRUS TROJANER hijackthis\backups\backup-20050602-152521-214 SOLL dll.txt => Trojan-Downloader.Win32.Agent.bc
14: D:\VIRUS TROJANER hijackthis\backups\backup-20050602-161723-497 SOLL dll.txt => Trojan-Downloader.Win32.Agent.bc
15: D:\VIRUS TROJANER hijackthis\backups\backup-20050602-162345-746 soll dll.txt => Trojan-Downloader.Win32.Agent.bc
16: D:\VIRUS TROJANER hijackthis\LOG =>
--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------
Sat Jun 11 00:57:41 2005 => Total Objects Scanned: 48681
Sat Jun 11 00:57:41 2005 => Total Virus(es) Found: 22
Sat Jun 11 00:57:41 2005 => Total Errors: 31
Sat Jun 11 00:57:41 2005 => Virus Database Date: 2005/06/11
Sat Jun 11 00:57:41 2005 => Virus Database Count: 134276
Wie geht das mit diesen Ergebnissen des EScan nun weiter ???
Danke + Grüße
jwd
ich hatte mir den Rechner ziemlich lahm gelegt, deshalb erst jetzt meine Reaktion.
http://www.malwareupload.com/ meldet, dass auf meinem System syslq.dll und wintj.dll Trojaner Downloader vom Typ Win32.Agent.BC sind.
Darüber hinaus findet EScan noch weitere (ich habe die Endungen schon mal umbenannt) ==> siehe weiter unten
Hi Nikita,
ich habe den Scan der Norton-Datei gemacht.
Das Ergebnis ist :
This is a report processed by VirusTotal on 06/11/2005 at 01:31:13 (CET) after scanning the file "NavLogon.dll" file.
Antivirus Version Update Result
AntiVir 6.31.0.5 06.10.2005 no virus found
AVG 718 06.10.2005 no virus found
Avira 6.31.0.5 06.10.2005 no virus found
BitDefender 7.0 06.11.2005 no virus found
ClamAV devel-20050501 06.10.2005 no virus found
DrWeb 4.32b 06.10.2005 no virus found
eTrust-Iris 7.1.194.0 06.11.2005 no virus found
eTrust-Vet 11.9.1.0 06.10.2005 no virus found
Fortinet 2.27.0.0 06.10.2005 no virus found
Ikarus 2.32 06.11.2005 no virus found
Kaspersky 4.0.2.24 06.11.2005 no virus found
McAfee 4511 06.10.2005 no virus found
NOD32v2 1.1135 06.09.2005 no virus found
Norman 5.70.10 06.09.2005 no virus found
Panda 8.02.00 06.10.2005 no virus found
Sybari 7.5.1314 06.11.2005 no virus found
Symantec 8.0 06.10.2005 no virus found
TheHacker 5.8-3.0 06.11.2005 no virus found
VBA32 3.10.3 06.10.2005 no virus found
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
Den NORTON werde ich ohnehin komplett deinstallieren, da er mist ist. Ich werde auf F-Secure umsteigen,
Deine restlichen Tipps werde ich noch angehen.
Hi Yourhighness,
der EScan zeigt dies :
--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------
1: Sat Jun 11 00:18:59 2005 => File C:\WINNT\ieco32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
2: Sat Jun 11 00:19:00 2005 => File C:\WINNT\javaus TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
3: Sat Jun 11 00:19:01 2005 => File C:\WINNT\msoz32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
4: Sat Jun 11 00:19:02 2005 => File C:\WINNT\syslq JOJO Trojaner dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
5: Sat Jun 11 00:19:04 2005 => File C:\WINNT\wintj JOJO TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
6: Sat Jun 11 00:19:07 2005 => File C:\WINNT\system32\atlyl32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
7: Sat Jun 11 00:20:31 2005 => File C:\WINNT\system32\syscr TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
8: Sat Jun 11 00:20:44 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
9: Sat Jun 11 00:21:32 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc.LNK
10: Sat Jun 11 00:21:52 2005 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
11: Sat Jun 11 00:25:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
12: Sat Jun 11 00:47:05 2005 => File C:\WINNT\ieco32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
13: Sat Jun 11 00:48:01 2005 => File C:\WINNT\javaus TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
14: Sat Jun 11 00:48:04 2005 => File C:\WINNT\msoz32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
15: Sat Jun 11 00:49:36 2005 => File C:\WINNT\syslq JOJO Trojaner dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
16: Sat Jun 11 00:49:42 2005 => File C:\WINNT\system32\atlyl32 TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
17: Sat Jun 11 00:53:10 2005 => File C:\WINNT\system32\syscr TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
18: Sat Jun 11 00:53:32 2005 => File C:\WINNT\wintj JOJO TROJANER dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
19: Sat Jun 11 00:57:09 2005 => File D:\VIRUS TROJANER hijackthis\222 VERSEUCHT WICHTIG TROJANER ZEitpunkt tmp.txt infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
20: Sat Jun 11 00:57:10 2005 => File D:\VIRUS TROJANER hijackthis\backups\backup-20050602-152521-214 SOLL dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
21: Sat Jun 11 00:57:10 2005 => File D:\VIRUS TROJANER hijackthis\backups\backup-20050602-161723-497 SOLL dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
22: Sat Jun 11 00:57:10 2005 => File D:\VIRUS TROJANER hijackthis\backups\backup-20050602-162345-746 soll dll.txt infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
23: Sat Jun 11 00:57:13 2005 => Scanning File D:\VIRUS TROJANER hijackthis\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc
--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------
1: Sat Jun 11 00:55:20 2005 => File D:\Lissy neu\Ebay\GMX - Einschreiben.htm tagged as not-a-virus:Garbage.HTML.Fraud.gen. No Action Taken.
--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------
1: Sat Jun 11 00:16:02 2005 => ERROR!!! Invalid Entry QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
2: Sat Jun 11 00:16:02 2005 => ERROR!!! Invalid Entry internat.exe = internat.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
3: Sat Jun 11 00:16:10 2005 => ERROR!!! Invalid Entry \??\C:\Programme\AVPersonal\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdw...
4: Sat Jun 11 00:16:11 2005 => ERROR!!! Invalid Entry C:\PROGRAMME\FRITZ!\de_serv.exe in SYSTEM\CurrentControlSet\Services\de_serv...
5: Sat Jun 11 00:16:13 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVENG.sys in SYSTEM\CurrentControlSet\Services\NAVENG...
6: Sat Jun 11 00:16:13 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVEX15.sys in SYSTEM\CurrentControlSet\Services\NAVEX15...
7: Sat Jun 11 00:16:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\MPG4C32.DLL". Action Taken: No Action Taken.
8: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Rasddui.hlp". Action Taken: No Action Taken.
9: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Rasdd.dll". Action Taken: No Action Taken.
10: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Rasddui.dll". Action Taken: No Action Taken.
11: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\spool\DRIVERS\W32X86\Fritz32.dll". Action Taken: No Action Taken.
12: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe". Action Taken: No Action Taken.
13: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\FRITZ!\De_serv.exe". Action Taken: No Action Taken.
14: Sat Jun 11 00:17:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\IR41_QCX.dll". Action Taken: No Action Taken.
15: Sat Jun 11 00:17:01 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\pxwma.dll". Action Taken: No Action Taken.
16: Sat Jun 11 00:17:01 2005 => Entry "HKCR\CLSID\{00020D05-0000-0000-C000-000000000046}" refers to invalid object "outex.dll". Action Taken: No Action Taken.
17: Sat Jun 11 00:17:01 2005 => Entry "HKCR\CLSID\{00021120-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Microsoft Office\Office\1031\fvfxs.dll". Action Taken: No Action Taken.
18: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{5F3E04C3-4612-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAREG.DLL". Action Taken: No Action Taken.
19: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{5F3E04C4-4612-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAMDMTR.DLL". Action Taken: No Action Taken.
20: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{5F3E04C6-4612-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAREG.DLL". Action Taken: No Action Taken.
21: Sat Jun 11 00:17:05 2005 => Entry "HKCR\CLSID\{649D583D-3401-11D1-8C47-0080C7C43E7F}" refers to invalid object "C:\Programme\Microsoft Office\Office\1031\wfxrstrz.dll". Action Taken: No Action Taken.
22: Sat Jun 11 00:17:07 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
23: Sat Jun 11 00:17:07 2005 => Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
24: Sat Jun 11 00:17:07 2005 => Entry "HKCR\CLSID\{AB481080-796C-11D0-A113-00A024B50363}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAABOUT.DLL". Action Taken: No Action Taken.
25: Sat Jun 11 00:17:08 2005 => Entry "HKCR\CLSID\{C1172D01-751C-11D0-B6CF-00A024BF23EF}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRASRIAL.DLL". Action Taken: No Action Taken.
26: Sat Jun 11 00:17:09 2005 => Entry "HKCR\CLSID\{CCDD9080-8100-11D0-B6CF-00A024BF23EF}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRALPTTR.DLL". Action Taken: No Action Taken.
27: Sat Jun 11 00:17:09 2005 => Entry "HKCR\CLSID\{DA6A85E0-05C7-11D1-B243-006097CAD7E2}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAABOUT.DLL". Action Taken: No Action Taken.
28: Sat Jun 11 00:17:09 2005 => Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
29: Sat Jun 11 00:17:10 2005 => Entry "HKCR\CLSID\{E5B42981-67DC-11D0-8547-00A0240B50F0}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAWEBTR.DLL". Action Taken: No Action Taken.
30: Sat Jun 11 00:17:10 2005 => Entry "HKCR\CLSID\{E8D83F00-CD78-11D0-B4D3-00A024BF23EF}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\IRAABOUT.DLL". Action Taken: No Action Taken.
31: Sat Jun 11 00:17:10 2005 => Entry "HKCR\CLSID\{EEC6993A-B3FD-11D2-A916-00C04FB98638}" refers to invalid object "pid.dll". Action Taken: No Action Taken.
--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------
1: C:\WINNT\ieco32 TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
2: C:\WINNT\javaus TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
3: C:\WINNT\msoz32 TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
4: C:\WINNT\syslq JOJO Trojaner dll.txt => Trojan-Downloader.Win32.Agent.bc
5: C:\WINNT\wintj JOJO TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
6: C:\WINNT\system32\atlyl32 TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
7: C:\WINNT\system32\syscr TROJANER dll.txt => Trojan-Downloader.Win32.Agent.bc
8: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp => Trojan-Downloader.Win32.WinShow.ay
9: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG =>
10: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp => Trojan-Downloader.Win32.WinShow.ay
11: D:\Lissy neu\Ebay\GMX - Einschreiben.htm => tagged:Garbage.HTML.Fraud.gen.
12: D:\VIRUS TROJANER hijackthis\222 VERSEUCHT WICHTIG TROJANER ZEitpunkt tmp.txt => Trojan-Downloader.Win32.WinShow.ay
13: D:\VIRUS TROJANER hijackthis\backups\backup-20050602-152521-214 SOLL dll.txt => Trojan-Downloader.Win32.Agent.bc
14: D:\VIRUS TROJANER hijackthis\backups\backup-20050602-161723-497 SOLL dll.txt => Trojan-Downloader.Win32.Agent.bc
15: D:\VIRUS TROJANER hijackthis\backups\backup-20050602-162345-746 soll dll.txt => Trojan-Downloader.Win32.Agent.bc
16: D:\VIRUS TROJANER hijackthis\LOG =>
--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------
Sat Jun 11 00:57:41 2005 => Total Objects Scanned: 48681
Sat Jun 11 00:57:41 2005 => Total Virus(es) Found: 22
Sat Jun 11 00:57:41 2005 => Total Errors: 31
Sat Jun 11 00:57:41 2005 => Virus Database Date: 2005/06/11
Sat Jun 11 00:57:41 2005 => Virus Database Count: 134276
Wie geht das mit diesen Ergebnissen des EScan nun weiter ???
Danke + Grüße
jwd
- jwd
- Beiträge: 25
- Registriert: 02.06.2005, 00:01
von Nikita am 11.06.2005, 10:57
oder du loeschst mit escan (dann neustarten) oder kopierst alles in die Killbox:
•KillBox
http://bilder.informationsarchiv.net/Ni ... illBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINNT\ieco32 TROJANER dll.txt
C:\WINNT\javaus TROJANER dll.txt
usw. usw. , dann PC beim letzten neustarten
dann scanne noch mal mit escan
•KillBox
http://bilder.informationsarchiv.net/Ni ... illBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINNT\ieco32 TROJANER dll.txt
C:\WINNT\javaus TROJANER dll.txt
usw. usw. , dann PC beim letzten neustarten
dann scanne noch mal mit escan
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 11.06.2005, 10:59
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\222 WICHTIG TROJANER ZEitpunkt.tmp
und vergiss nicht, die temp-Datein alle zu leeren
CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html
und vergiss nicht, die temp-Datein alle zu leeren
CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
ist das System nun wieder clean ??
von jwd am 12.06.2005, 01:56
Hi Nikita,
hi Yourhighness,
hier ist sind die LOGS von EScan sowie HiJackThis :
Sun Jun 12 00:46:13 2005 => **********************************************************
Sun Jun 12 00:46:13 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Sun Jun 12 00:46:13 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Sun Jun 12 00:46:13 2005 => **********************************************************
Sun Jun 12 00:46:13 2005 => Version 6.4.1 (C:\bases_x\mwavscan.com)
Sun Jun 12 00:46:13 2005 => Log File: C:\bases_x\MWAV.LOG
Sun Jun 12 00:46:13 2005 => Last Scan Date and Time: 12.06.2005 00:04:06
Sun Jun 12 00:46:13 2005 => MWAV Registered: FALSE.
Sun Jun 12 00:46:13 2005 => MWAV Mode: Only Scan files.
Sun Jun 12 00:46:13 2005 => Command Line Options Given: /MEM /REG /STARTUP /SysFolder /SER /DRIVE /WaitToExit /SNOC
Sun Jun 12 00:46:13 2005 => Latest Date of files inside MWAV: 12 Jun 2005 01:28:07.
Sun Jun 12 00:46:16 2005 => AV Library Loaded...
Sun Jun 12 00:46:16 2005 => **********************************************************
Sun Jun 12 00:46:16 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Sun Jun 12 00:46:16 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Sun Jun 12 00:46:16 2005 =>
Sun Jun 12 00:46:16 2005 => Support: support@mwti.net
Sun Jun 12 00:46:16 2005 => Web: http://www.mwti.net
Sun Jun 12 00:46:16 2005 => **********************************************************
Sun Jun 12 00:46:16 2005 => Version 6.4.1 (C:\bases_x\mwavscan.com)
Sun Jun 12 00:46:16 2005 => Log File: C:\bases_x\MWAV.LOG
Sun Jun 12 00:46:16 2005 => User Account: Administrator
Sun Jun 12 00:46:16 2005 => Windows Root Folder: C:\WINNT
Sun Jun 12 00:46:16 2005 => Windows Sys32 Folder: C:\WINNT\system32
Sun Jun 12 00:46:16 2005 => OS: Windows NT
Sun Jun 12 00:46:16 2005 => Latest Date of files inside MWAV: 12 Jun 2005 01:28:07.
Sun Jun 12 00:46:16 2005 => Options Selected by User:
Sun Jun 12 00:46:16 2005 => Memory Check: Enabled
Sun Jun 12 00:46:16 2005 => Registry Check: Enabled
Sun Jun 12 00:46:16 2005 => StartUp Folder Check: Enabled
Sun Jun 12 00:46:16 2005 => System Folder Check: Enabled
Sun Jun 12 00:46:16 2005 => System Area Check: Disabled
Sun Jun 12 00:46:16 2005 => Services Check: Enabled
Sun Jun 12 00:46:16 2005 => Drive Check: Disabled
Sun Jun 12 00:46:16 2005 => All Drive Check :Enabled
Sun Jun 12 00:46:16 2005 => Folder Check: Disabled
--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------
1: Sun Jun 12 00:51:20 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan 11062005 0110 Uhr INFECTED TROJANER .doc.LNK
2: Sun Jun 12 00:51:20 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan INFECTED ins Forum setzen 11062005 2350 Uhr.doc.LNK
3: Sun Jun 12 00:51:21 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc.LNK
4: Sun Jun 12 00:55:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
5: Sun Jun 12 01:28:58 2005 => Scanning File D:\EScan INFECTED ins Forum setzen 11062005 2350 Uhr.doc
6: Sun Jun 12 01:32:46 2005 => Scanning File D:\VIRUS TROJANER hijackthis\Nikita Trojaner 27052005\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc
7: Sun Jun 12 01:32:52 2005 => Scanning File D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan 11062005 0110 Uhr INFECTED TROJANER .doc
8: Sun Jun 12 01:32:52 2005 => Scanning File D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan INFECTED ins Forum setzen 11062005 2350 Uhr.doc
--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------
1: Sun Jun 12 00:47:02 2005 => ERROR!!! Invalid Entry internat.exe = internat.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
2: Sun Jun 12 00:47:07 2005 => ERROR!!! Invalid Entry \??\C:\Programme\AVPersonal\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdw...
3: Sun Jun 12 00:47:08 2005 => ERROR!!! Invalid Entry C:\PROGRAMME\FRITZ!\de_serv.exe in SYSTEM\CurrentControlSet\Services\de_serv...
4: Sun Jun 12 00:47:10 2005 => ERROR!!! Invalid Entry \??\C:\Programme\NavNT\NAVAP.sys in SYSTEM\CurrentControlSet\Services\NAVAP...
5: Sun Jun 12 00:47:10 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVENG.sys in SYSTEM\CurrentControlSet\Services\NAVENG...
6: Sun Jun 12 00:47:10 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVEX15.sys in SYSTEM\CurrentControlSet\Services\NAVEX15...
7: Sun Jun 12 00:47:59 2005 => Entry "HKCR\CLSID\{00020D05-0000-0000-C000-000000000046}" refers to invalid object "outex.dll". Action Taken: No Action Taken.
8: Sun Jun 12 00:48:04 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
9: Sun Jun 12 00:48:07 2005 => Entry "HKCR\CLSID\{EEC6993A-B3FD-11D2-A916-00C04FB98638}" refers to invalid object "pid.dll". Action Taken: No Action Taken.
--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------
1: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan 11062005 0110 Uhr =>
2: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan =>
3: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG =>
4: D:\EScan =>
5: D:\VIRUS TROJANER hijackthis\Nikita Trojaner 27052005\LOG =>
6: D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan 11062005 0110 Uhr =>
7: D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan =>
--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------
Sun Jun 12 01:33:24 2005 => Total Objects Scanned: 45866
Sun Jun 12 01:33:24 2005 => Total Virus(es) Found: 1
Sun Jun 12 01:33:24 2005 => Total Errors: 9
Sun Jun 12 01:33:24 2005 => Virus Database Date: 2005/06/12
Sun Jun 12 01:33:24 2005 => Virus Database Count: 134360
Sun Jun 12 01:36:16 2005 => Total Objects Scanned: 45866
Sun Jun 12 01:36:16 2005 => Total Virus(es) Found: 1
Sun Jun 12 01:36:16 2005 => Total Errors: 9
Sun Jun 12 01:33:23 2005 => ***** Checking for specific ITW Viruses *****
Sun Jun 12 01:33:23 2005 => Checking for Welchia Virus...
Sun Jun 12 01:33:23 2005 => Checking for LovGate Virus...
Sun Jun 12 01:33:24 2005 => Checking for CodeRed Virus...
Sun Jun 12 01:33:24 2005 => Checking for OpaServ Virus...
Sun Jun 12 01:33:24 2005 => Checking for Sobig.e Virus...
Sun Jun 12 01:33:24 2005 => Checking for Winupie Virus...
Sun Jun 12 01:33:24 2005 => Checking for Swen Virus...
Sun Jun 12 01:33:24 2005 => Checking for JS.Fortnight Virus...
Sun Jun 12 01:33:24 2005 => Checking for Novarg Virus...
Sun Jun 12 01:33:24 2005 => Checking for Pagabot Virus...
Sun Jun 12 01:33:24 2005 => Checking for Parite.b Virus...
Sun Jun 12 01:33:24 2005 => Checking for Parite.a Virus...
Sun Jun 12 01:33:24 2005 => Checking for Adware.SeekSeek Virus...
Sun Jun 12 01:33:24 2005 => ***** Scanning complete. *****
Sun Jun 12 01:33:24 2005 => Total Objects Scanned: 45866
Sun Jun 12 01:33:24 2005 => Total Virus(es) Found: 1
Sun Jun 12 01:33:24 2005 => Total Disinfected Files: 0
Sun Jun 12 01:33:24 2005 => Total Files Renamed: 0
Sun Jun 12 01:33:24 2005 => Total Deleted Objects: 0
Sun Jun 12 01:33:24 2005 => Total Errors: 9
Sun Jun 12 01:33:24 2005 => Time Elapsed: 00:46:49
Sun Jun 12 01:33:24 2005 => Virus Database Date: 2005/06/12
Sun Jun 12 01:33:24 2005 => Virus Database Count: 134360
Sun Jun 12 01:33:24 2005 => Scan Completed.
Logfile of HijackThis v1.99.1
Scan saved at 1.41, on 12.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\OfficeEnglish\Server\oeserver.exe
C:\Programme\DeTeMedien\GelbeSeiten für Deutschland\OMAlarm.exe
C:\Programme\Hardcopy\hardcopy.exe
D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita HiJackThis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: hardcopy.exe.lnk = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office English Server.lnk = C:\Programme\OfficeEnglish\Server\oeserver.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{389F15B9-9828-479A-9C93-1DB017924EB4}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
abzuarbeiten habe ich noch :
"Windows-Dienste abschalten"
"Windows-door-cleaner"
FTP Client Using WinInet.dll mache bitte folgendes: Lade: rkfiles.zip
das mache ich dann am Wochenende
sind die beigefügten LOGS denn soweit in Ordnung ?
Besten Dank und ein schönes Wochenende
jwd
hi Yourhighness,
hier ist sind die LOGS von EScan sowie HiJackThis :
Sun Jun 12 00:46:13 2005 => **********************************************************
Sun Jun 12 00:46:13 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Sun Jun 12 00:46:13 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Sun Jun 12 00:46:13 2005 => **********************************************************
Sun Jun 12 00:46:13 2005 => Version 6.4.1 (C:\bases_x\mwavscan.com)
Sun Jun 12 00:46:13 2005 => Log File: C:\bases_x\MWAV.LOG
Sun Jun 12 00:46:13 2005 => Last Scan Date and Time: 12.06.2005 00:04:06
Sun Jun 12 00:46:13 2005 => MWAV Registered: FALSE.
Sun Jun 12 00:46:13 2005 => MWAV Mode: Only Scan files.
Sun Jun 12 00:46:13 2005 => Command Line Options Given: /MEM /REG /STARTUP /SysFolder /SER /DRIVE /WaitToExit /SNOC
Sun Jun 12 00:46:13 2005 => Latest Date of files inside MWAV: 12 Jun 2005 01:28:07.
Sun Jun 12 00:46:16 2005 => AV Library Loaded...
Sun Jun 12 00:46:16 2005 => **********************************************************
Sun Jun 12 00:46:16 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Sun Jun 12 00:46:16 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Sun Jun 12 00:46:16 2005 =>
Sun Jun 12 00:46:16 2005 => Support: support@mwti.net
Sun Jun 12 00:46:16 2005 => Web: http://www.mwti.net
Sun Jun 12 00:46:16 2005 => **********************************************************
Sun Jun 12 00:46:16 2005 => Version 6.4.1 (C:\bases_x\mwavscan.com)
Sun Jun 12 00:46:16 2005 => Log File: C:\bases_x\MWAV.LOG
Sun Jun 12 00:46:16 2005 => User Account: Administrator
Sun Jun 12 00:46:16 2005 => Windows Root Folder: C:\WINNT
Sun Jun 12 00:46:16 2005 => Windows Sys32 Folder: C:\WINNT\system32
Sun Jun 12 00:46:16 2005 => OS: Windows NT
Sun Jun 12 00:46:16 2005 => Latest Date of files inside MWAV: 12 Jun 2005 01:28:07.
Sun Jun 12 00:46:16 2005 => Options Selected by User:
Sun Jun 12 00:46:16 2005 => Memory Check: Enabled
Sun Jun 12 00:46:16 2005 => Registry Check: Enabled
Sun Jun 12 00:46:16 2005 => StartUp Folder Check: Enabled
Sun Jun 12 00:46:16 2005 => System Folder Check: Enabled
Sun Jun 12 00:46:16 2005 => System Area Check: Disabled
Sun Jun 12 00:46:16 2005 => Services Check: Enabled
Sun Jun 12 00:46:16 2005 => Drive Check: Disabled
Sun Jun 12 00:46:16 2005 => All Drive Check :Enabled
Sun Jun 12 00:46:16 2005 => Folder Check: Disabled
--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------
1: Sun Jun 12 00:51:20 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan 11062005 0110 Uhr INFECTED TROJANER .doc.LNK
2: Sun Jun 12 00:51:20 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan INFECTED ins Forum setzen 11062005 2350 Uhr.doc.LNK
3: Sun Jun 12 00:51:21 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc.LNK
4: Sun Jun 12 00:55:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
5: Sun Jun 12 01:28:58 2005 => Scanning File D:\EScan INFECTED ins Forum setzen 11062005 2350 Uhr.doc
6: Sun Jun 12 01:32:46 2005 => Scanning File D:\VIRUS TROJANER hijackthis\Nikita Trojaner 27052005\LOG Infected Trojaner EScan 08062005 0900 Uhr.doc
7: Sun Jun 12 01:32:52 2005 => Scanning File D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan 11062005 0110 Uhr INFECTED TROJANER .doc
8: Sun Jun 12 01:32:52 2005 => Scanning File D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan INFECTED ins Forum setzen 11062005 2350 Uhr.doc
--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------
1: Sun Jun 12 00:47:02 2005 => ERROR!!! Invalid Entry internat.exe = internat.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
2: Sun Jun 12 00:47:07 2005 => ERROR!!! Invalid Entry \??\C:\Programme\AVPersonal\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdw...
3: Sun Jun 12 00:47:08 2005 => ERROR!!! Invalid Entry C:\PROGRAMME\FRITZ!\de_serv.exe in SYSTEM\CurrentControlSet\Services\de_serv...
4: Sun Jun 12 00:47:10 2005 => ERROR!!! Invalid Entry \??\C:\Programme\NavNT\NAVAP.sys in SYSTEM\CurrentControlSet\Services\NAVAP...
5: Sun Jun 12 00:47:10 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVENG.sys in SYSTEM\CurrentControlSet\Services\NAVENG...
6: Sun Jun 12 00:47:10 2005 => ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050527.004\NAVEX15.sys in SYSTEM\CurrentControlSet\Services\NAVEX15...
7: Sun Jun 12 00:47:59 2005 => Entry "HKCR\CLSID\{00020D05-0000-0000-C000-000000000046}" refers to invalid object "outex.dll". Action Taken: No Action Taken.
8: Sun Jun 12 00:48:04 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
9: Sun Jun 12 00:48:07 2005 => Entry "HKCR\CLSID\{EEC6993A-B3FD-11D2-A916-00C04FB98638}" refers to invalid object "pid.dll". Action Taken: No Action Taken.
--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------
1: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan 11062005 0110 Uhr =>
2: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\EScan =>
3: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\LOG =>
4: D:\EScan =>
5: D:\VIRUS TROJANER hijackthis\Nikita Trojaner 27052005\LOG =>
6: D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan 11062005 0110 Uhr =>
7: D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita EScan\EScan =>
--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------
Sun Jun 12 01:33:24 2005 => Total Objects Scanned: 45866
Sun Jun 12 01:33:24 2005 => Total Virus(es) Found: 1
Sun Jun 12 01:33:24 2005 => Total Errors: 9
Sun Jun 12 01:33:24 2005 => Virus Database Date: 2005/06/12
Sun Jun 12 01:33:24 2005 => Virus Database Count: 134360
Sun Jun 12 01:36:16 2005 => Total Objects Scanned: 45866
Sun Jun 12 01:36:16 2005 => Total Virus(es) Found: 1
Sun Jun 12 01:36:16 2005 => Total Errors: 9
Sun Jun 12 01:33:23 2005 => ***** Checking for specific ITW Viruses *****
Sun Jun 12 01:33:23 2005 => Checking for Welchia Virus...
Sun Jun 12 01:33:23 2005 => Checking for LovGate Virus...
Sun Jun 12 01:33:24 2005 => Checking for CodeRed Virus...
Sun Jun 12 01:33:24 2005 => Checking for OpaServ Virus...
Sun Jun 12 01:33:24 2005 => Checking for Sobig.e Virus...
Sun Jun 12 01:33:24 2005 => Checking for Winupie Virus...
Sun Jun 12 01:33:24 2005 => Checking for Swen Virus...
Sun Jun 12 01:33:24 2005 => Checking for JS.Fortnight Virus...
Sun Jun 12 01:33:24 2005 => Checking for Novarg Virus...
Sun Jun 12 01:33:24 2005 => Checking for Pagabot Virus...
Sun Jun 12 01:33:24 2005 => Checking for Parite.b Virus...
Sun Jun 12 01:33:24 2005 => Checking for Parite.a Virus...
Sun Jun 12 01:33:24 2005 => Checking for Adware.SeekSeek Virus...
Sun Jun 12 01:33:24 2005 => ***** Scanning complete. *****
Sun Jun 12 01:33:24 2005 => Total Objects Scanned: 45866
Sun Jun 12 01:33:24 2005 => Total Virus(es) Found: 1
Sun Jun 12 01:33:24 2005 => Total Disinfected Files: 0
Sun Jun 12 01:33:24 2005 => Total Files Renamed: 0
Sun Jun 12 01:33:24 2005 => Total Deleted Objects: 0
Sun Jun 12 01:33:24 2005 => Total Errors: 9
Sun Jun 12 01:33:24 2005 => Time Elapsed: 00:46:49
Sun Jun 12 01:33:24 2005 => Virus Database Date: 2005/06/12
Sun Jun 12 01:33:24 2005 => Virus Database Count: 134360
Sun Jun 12 01:33:24 2005 => Scan Completed.
Logfile of HijackThis v1.99.1
Scan saved at 1.41, on 12.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\OfficeEnglish\Server\oeserver.exe
C:\Programme\DeTeMedien\GelbeSeiten für Deutschland\OMAlarm.exe
C:\Programme\Hardcopy\hardcopy.exe
D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita HiJackThis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: hardcopy.exe.lnk = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office English Server.lnk = C:\Programme\OfficeEnglish\Server\oeserver.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{389F15B9-9828-479A-9C93-1DB017924EB4}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
abzuarbeiten habe ich noch :
"Windows-Dienste abschalten"
"Windows-door-cleaner"
FTP Client Using WinInet.dll mache bitte folgendes: Lade: rkfiles.zip
das mache ich dann am Wochenende
sind die beigefügten LOGS denn soweit in Ordnung ?
Besten Dank und ein schönes Wochenende
jwd
- jwd
- Beiträge: 25
- Registriert: 02.06.2005, 00:01
von Yourhighness am 12.06.2005, 08:18
Hi!
Fixe:
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
NEUSTART
Ansonsten kann ich so erst mal nichts sehen. Das Navlogon.dll ist weg...
MfG,
Fixe:
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
NEUSTART
Ansonsten kann ich so erst mal nichts sehen. Das Navlogon.dll ist weg...
MfG,
- Yourhighness
von Yourhighness am 12.06.2005, 08:36
wintj.dll - CoolWebsearch Variant !!!
Lösche mit der Killbox!
syslq.dll - Dafür kann ich nichts finden. Vll sagt es aber Nikita was ?
MfG,
Lösche mit der Killbox!
syslq.dll - Dafür kann ich nichts finden. Vll sagt es aber Nikita was ?
MfG,
- Yourhighness
von Nikita am 12.06.2005, 12:04
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der 30 letzten Tage raus
einzeln reinkopieren:
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
.................................................................................
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
hier sind die angeforderten LOGS
von jwd am 12.06.2005, 15:21
Hi ihr !!
folgende LOGS habe ich rausbekommen :
rkfiles
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINNT\system32\l3codeca.acm: UPX!
C:\WINNT\system32\l3codecx.ax: UPX!
C:\WINNT\system32\mpg4ds32.ax: UPX!
C:\WINNT\system32\msvcr70.dll: UPX!
Files Found in all users startup Folder............
------------------------
C:\WINNT\system32\l3codeca.acm: UPX!
C:\WINNT\system32\l3codecx.ax: UPX!
C:\WINNT\system32\mpg4ds32.ax: UPX!
C:\WINNT\system32\msvcr70.dll: UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye
Anhand der Namen der virusbefallenenen Datei lt. Escan ist der erste Infekt am 05.05.2005 mit Datei msoz32.dll eingetreten; deshalb habe ich nicht nur die letzten 30 Tage gemailt.
Verzeichnis von C:\WINNT\system32
12.06.2005 13.48 890 vsconfig.xml
10.06.2005 22.46 4.212 zllictbl.dat
04.06.2005 11.39 3.069 jupdate-1.5.0_02-b09.log
02.06.2005 07.55 0 ievx.exe
02.06.2005 06.00 0 msjm.exe
02.06.2005 01.10 0 syslj.exe
01.06.2005 04.23 4.866 ybzkj.txt
31.05.2005 10.58 3.567 jclvy.txt
28.05.2005 16.36 16.384 Perflib_Perfdata_584.dat
28.05.2005 11.01 0 jojojavawk.exe
27.05.2005 14.59 0 owgfw.dat
27.05.2005 11.44 0 mszv MUSS exe heissen JOJO Trojaner.dat
27.05.2005 04.22 0 msap32 MUSS exe heissen JOJO.dat
26.05.2005 14.54 3.567 gcuyc.dat
21.05.2005 13.11 0 rvmuu.dat
20.05.2005 17.48 3.567 prxek.dat
19.05.2005 10.42 0 mfcvu32.exe
19.05.2005 04.51 0 atlco.exe
15.05.2005 14.22 753 ModemLog_AVM ISDN Custom Config.txt
15.05.2005 14.22 762 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
15.05.2005 14.22 748 ModemLog_AVM ISDN FAX (G3).txt
15.05.2005 14.22 759 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
15.05.2005 14.22 764 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
14.05.2005 21.36 3.567 liddx.txt
12.05.2005 03.31 0 wxvbr.log
11.05.2005 12.49 0 iwfvn.log
11.05.2005 03.11 0 vqqcm.log
09.05.2005 13.20 0 ratef.dll
07.05.2005 14.24 0 sdkly.exe
07.05.2005 10.51 1.051.992 MRT.exe
06.05.2005 23.25 3.567 jzfvj.txt
06.05.2005 18.08 0 xhslh.dll
06.05.2005 06.41 0 jveap.txt
06.05.2005 04.21 0 msou32.exe
04.05.2005 15.21 4.870 rvbva.dat
03.05.2005 09.58 0 bsdny.dat
02.05.2005 16.41 0 etgyu.dat
29.04.2005 00.16 1.122.576 webvw.dll
04.03.2005 03.36 127.078 javaws.exe
04.03.2005 03.36 49.265 jpicpl32.cpl
04.03.2005 02.07 49.250 javaw.exe
04.03.2005 02.06 49.248 java.exe
25.02.2005 10.43 15.072 spmsg.dll
26.01.2005 03.48 63.256 zlcommdb.dll
26.01.2005 03.48 71.448 zlcomm.dll
26.01.2005 03.47 100.120 vsxml.dll
26.01.2005 03.47 333.592 vsutil.dll
26.01.2005 03.47 71.448 vsregexp.dll
26.01.2005 03.47 169.752 vspubapi.dll
26.01.2005 03.47 112.408 vsmonapi.dll
26.01.2005 03.47 116.504 vsinit.dll
26.01.2005 03.47 274.232 vsdatant.sys
26.01.2005 03.47 75.544 vsdata.dll
26.01.2005 03.39 50.864 vsutil_loc0407.dll
11.01.2005 08.31 121.336 FNTCACHE.DAT
20.12.2004 20.37 53.248 pxhpinst.exe
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
12.06.2005 14.39 519 ~WRS0002.tmp
12.06.2005 14.39 512 ~DFE21D.tmp
12.06.2005 14.39 512 ~DFDC58.tmp
12.06.2005 14.39 196.608 ~WRF0001.tmp
12.06.2005 14.39 512 ~DFDBC9.tmp
12.06.2005 14.39 512 ~DFD032.tmp
12.06.2005 14.39 512 ~DFCF74.tmp
12.06.2005 13.49 618 jusched.log
12.06.2005 01.20 623 ~WRS0001.tmp
12.06.2005 01.20 196.608 ~WRF0000.tmp
12.06.2005 00.33 16.384 ~DF15D6.tmp
11 Datei(en) 413.920 Bytes
0 Verzeichnis(se), 5.091.024.896 Bytes frei
Verzeichnis von C:\WINNT
12.06.2005 14.11 21.078 ntbtlog.txt
12.06.2005 14.05 32.636 SchedLgU.Txt
12.06.2005 14.05 832.712 ShellIconCache
12.06.2005 14.04 2.146 setupapi.log
11.06.2005 02.07 1.145 ODBC.INI
10.06.2005 23.17 40.244 SIGVERIF.TXT
08.06.2005 01.41 439 system.ini
06.06.2005 13.45 249 KTEL.INI
05.06.2005 02.04 1.125 winamp.ini
02.06.2005 18.28 0 nsreg.dat
02.06.2005 18.28 99.970 UninstallFirefox.exe
02.06.2005 18.28 2.608 mozver.dat
02.06.2005 15.53 707 _default.pif
02.06.2005 15.53 217 MANUELDE.ANN
02.06.2005 12.30 4.870 thlxv.dat
02.06.2005 12.30 4.866 pxpqo.txt
02.06.2005 12.00 9.522 Zapotek.bmp
02.06.2005 12.00 37 vbaddin.ini
02.06.2005 12.00 36 vb.ini
02.06.2005 12.00 65.978 Seifenblase.bmp
02.06.2005 12.00 17.362 Rhododendron.bmp
02.06.2005 12.00 49 hardcopy.INI
02.06.2005 12.00 26.582 Granit.bmp
02.06.2005 12.00 26.680 F„cher.bmp
02.06.2005 12.00 139.264 AVM_cpdi.clr
02.06.2005 12.00 280 AUTOLNCH.REG
02.06.2005 11.45 17.336 Angler.bmp
02.06.2005 11.45 8.150 ACD Wallpaper.bmp
01.06.2005 23.16 0 sysgq.exe
01.06.2005 15.02 0 appxy32.exe
01.06.2005 13.08 0 apptn32.exe
01.06.2005 01.15 10.304 MSOPrefs.232
01.06.2005 01.15 21.817 folder.htt
30.05.2005 22.34 71 hdkctnts.ini
30.05.2005 05.17 17.062 Kaffeetasse.bmp
30.05.2005 03.32 0 mswq.exe
30.05.2005 01.09 0 ipxz.exe
28.05.2005 12.55 0 crav MUSS exe heissen Jojo Trojaner.dat
24.05.2005 10.19 1.636 win.ini
24.05.2005 04.19 0 mfcji.exe
22.05.2005 11.36 4.866 nbbta.txt
22.05.2005 05.56 4.866 rymqp.txt
22.05.2005 05.36 0 qipou.dll
21.05.2005 19.31 65.832 Santa Fe-Stuck.bmp
21.05.2005 09.25 36 hpsjsrc.INI
21.05.2005 03.03 0 uzlwb.dll
20.05.2005 19.53 0 bwpnr.dat
19.05.2005 12.36 0 apihf32.exe
19.05.2005 06.46 0 atlpz.exe
17.05.2005 21.58 86 ZWECKFORM.INI
14.05.2005 12.29 24.074 winnt.bmp
12.05.2005 21.49 3.567 zybbk.dat
11.05.2005 23.19 1.405 msdfmap.ini
10.05.2005 19.23 0 tyqok.txt
08.05.2005 17.33 0 winpm32.exe
06.05.2005 04.36 4.866 xyeyi.txt
06.05.2005 01.58 0 ippe.exe
05.05.2005 06.05 82.944 clock.avi
02.05.2005 16.28 30.245 swsetup.inf
02.05.2005 11.22 23 welcome.ini
20.04.2005 16.31 448 WISO.INI
20.04.2005 12.05 538 KODWIN.INI
08.04.2005 07.46 8.192 REGLOCS.OLD
27.03.2005 22.01 0 ADDIN.INI
05.11.2004 21.59 1.080 gramit32.cfg
Verzeichnis von C:\
12.06.2005 14.43 0 sys.txt
12.06.2005 14.42 6.064 system.txt
12.06.2005 14.41 828 systemtemp.txt
12.06.2005 14.40 92.931 system32.txt
12.06.2005 14.36 819 log.txt
12.06.2005 14.35 0 windows.txt
12.06.2005 14.26 149 start.txt
12.06.2005 14.15 149 win.txt
12.06.2005 14.06 402.653.184 pagefile.sys
12.06.2005 01.33 6 AVPCallback.log
11.06.2005 02.07 11.084 Norton letzter Eintrag NavCClt.Log
13.04.2005 10.26 36.358 hardcopy.log
04.04.2004 12.54 192 boot.ini
28.03.2004 12.25 34.724 NTDETECT.COM
28.03.2004 12.25 216.096 ntldr
28.03.2004 11.57 0 IO.SYS
28.03.2004 11.57 0 MSDOS.SYS
17 Datei(en) 403.052.584 Bytes
0 Verzeichnis(se), 5.091.012.608 Bytes frei
In Hijackthis bekomme ich in O23 den missing file de_serv nicht weg. Sicherlich weil ich die Datei de_serv umbenannt habe.
wintj.dll und syslq.dll sowie alle anderen von Escan ausgewiesenen Virus-Dateien hatte ich ja mit der Killbox schon erledigt
Was erkennt ihr nun in den LOGS und was ist anhand dessen jetzt noch zu tun ?
Danke + Grüße
jwd
folgende LOGS habe ich rausbekommen :
rkfiles
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINNT\system32\l3codeca.acm: UPX!
C:\WINNT\system32\l3codecx.ax: UPX!
C:\WINNT\system32\mpg4ds32.ax: UPX!
C:\WINNT\system32\msvcr70.dll: UPX!
Files Found in all users startup Folder............
------------------------
C:\WINNT\system32\l3codeca.acm: UPX!
C:\WINNT\system32\l3codecx.ax: UPX!
C:\WINNT\system32\mpg4ds32.ax: UPX!
C:\WINNT\system32\msvcr70.dll: UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye
Anhand der Namen der virusbefallenenen Datei lt. Escan ist der erste Infekt am 05.05.2005 mit Datei msoz32.dll eingetreten; deshalb habe ich nicht nur die letzten 30 Tage gemailt.
Verzeichnis von C:\WINNT\system32
12.06.2005 13.48 890 vsconfig.xml
10.06.2005 22.46 4.212 zllictbl.dat
04.06.2005 11.39 3.069 jupdate-1.5.0_02-b09.log
02.06.2005 07.55 0 ievx.exe
02.06.2005 06.00 0 msjm.exe
02.06.2005 01.10 0 syslj.exe
01.06.2005 04.23 4.866 ybzkj.txt
31.05.2005 10.58 3.567 jclvy.txt
28.05.2005 16.36 16.384 Perflib_Perfdata_584.dat
28.05.2005 11.01 0 jojojavawk.exe
27.05.2005 14.59 0 owgfw.dat
27.05.2005 11.44 0 mszv MUSS exe heissen JOJO Trojaner.dat
27.05.2005 04.22 0 msap32 MUSS exe heissen JOJO.dat
26.05.2005 14.54 3.567 gcuyc.dat
21.05.2005 13.11 0 rvmuu.dat
20.05.2005 17.48 3.567 prxek.dat
19.05.2005 10.42 0 mfcvu32.exe
19.05.2005 04.51 0 atlco.exe
15.05.2005 14.22 753 ModemLog_AVM ISDN Custom Config.txt
15.05.2005 14.22 762 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
15.05.2005 14.22 748 ModemLog_AVM ISDN FAX (G3).txt
15.05.2005 14.22 759 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
15.05.2005 14.22 764 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
14.05.2005 21.36 3.567 liddx.txt
12.05.2005 03.31 0 wxvbr.log
11.05.2005 12.49 0 iwfvn.log
11.05.2005 03.11 0 vqqcm.log
09.05.2005 13.20 0 ratef.dll
07.05.2005 14.24 0 sdkly.exe
07.05.2005 10.51 1.051.992 MRT.exe
06.05.2005 23.25 3.567 jzfvj.txt
06.05.2005 18.08 0 xhslh.dll
06.05.2005 06.41 0 jveap.txt
06.05.2005 04.21 0 msou32.exe
04.05.2005 15.21 4.870 rvbva.dat
03.05.2005 09.58 0 bsdny.dat
02.05.2005 16.41 0 etgyu.dat
29.04.2005 00.16 1.122.576 webvw.dll
04.03.2005 03.36 127.078 javaws.exe
04.03.2005 03.36 49.265 jpicpl32.cpl
04.03.2005 02.07 49.250 javaw.exe
04.03.2005 02.06 49.248 java.exe
25.02.2005 10.43 15.072 spmsg.dll
26.01.2005 03.48 63.256 zlcommdb.dll
26.01.2005 03.48 71.448 zlcomm.dll
26.01.2005 03.47 100.120 vsxml.dll
26.01.2005 03.47 333.592 vsutil.dll
26.01.2005 03.47 71.448 vsregexp.dll
26.01.2005 03.47 169.752 vspubapi.dll
26.01.2005 03.47 112.408 vsmonapi.dll
26.01.2005 03.47 116.504 vsinit.dll
26.01.2005 03.47 274.232 vsdatant.sys
26.01.2005 03.47 75.544 vsdata.dll
26.01.2005 03.39 50.864 vsutil_loc0407.dll
11.01.2005 08.31 121.336 FNTCACHE.DAT
20.12.2004 20.37 53.248 pxhpinst.exe
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
12.06.2005 14.39 519 ~WRS0002.tmp
12.06.2005 14.39 512 ~DFE21D.tmp
12.06.2005 14.39 512 ~DFDC58.tmp
12.06.2005 14.39 196.608 ~WRF0001.tmp
12.06.2005 14.39 512 ~DFDBC9.tmp
12.06.2005 14.39 512 ~DFD032.tmp
12.06.2005 14.39 512 ~DFCF74.tmp
12.06.2005 13.49 618 jusched.log
12.06.2005 01.20 623 ~WRS0001.tmp
12.06.2005 01.20 196.608 ~WRF0000.tmp
12.06.2005 00.33 16.384 ~DF15D6.tmp
11 Datei(en) 413.920 Bytes
0 Verzeichnis(se), 5.091.024.896 Bytes frei
Verzeichnis von C:\WINNT
12.06.2005 14.11 21.078 ntbtlog.txt
12.06.2005 14.05 32.636 SchedLgU.Txt
12.06.2005 14.05 832.712 ShellIconCache
12.06.2005 14.04 2.146 setupapi.log
11.06.2005 02.07 1.145 ODBC.INI
10.06.2005 23.17 40.244 SIGVERIF.TXT
08.06.2005 01.41 439 system.ini
06.06.2005 13.45 249 KTEL.INI
05.06.2005 02.04 1.125 winamp.ini
02.06.2005 18.28 0 nsreg.dat
02.06.2005 18.28 99.970 UninstallFirefox.exe
02.06.2005 18.28 2.608 mozver.dat
02.06.2005 15.53 707 _default.pif
02.06.2005 15.53 217 MANUELDE.ANN
02.06.2005 12.30 4.870 thlxv.dat
02.06.2005 12.30 4.866 pxpqo.txt
02.06.2005 12.00 9.522 Zapotek.bmp
02.06.2005 12.00 37 vbaddin.ini
02.06.2005 12.00 36 vb.ini
02.06.2005 12.00 65.978 Seifenblase.bmp
02.06.2005 12.00 17.362 Rhododendron.bmp
02.06.2005 12.00 49 hardcopy.INI
02.06.2005 12.00 26.582 Granit.bmp
02.06.2005 12.00 26.680 F„cher.bmp
02.06.2005 12.00 139.264 AVM_cpdi.clr
02.06.2005 12.00 280 AUTOLNCH.REG
02.06.2005 11.45 17.336 Angler.bmp
02.06.2005 11.45 8.150 ACD Wallpaper.bmp
01.06.2005 23.16 0 sysgq.exe
01.06.2005 15.02 0 appxy32.exe
01.06.2005 13.08 0 apptn32.exe
01.06.2005 01.15 10.304 MSOPrefs.232
01.06.2005 01.15 21.817 folder.htt
30.05.2005 22.34 71 hdkctnts.ini
30.05.2005 05.17 17.062 Kaffeetasse.bmp
30.05.2005 03.32 0 mswq.exe
30.05.2005 01.09 0 ipxz.exe
28.05.2005 12.55 0 crav MUSS exe heissen Jojo Trojaner.dat
24.05.2005 10.19 1.636 win.ini
24.05.2005 04.19 0 mfcji.exe
22.05.2005 11.36 4.866 nbbta.txt
22.05.2005 05.56 4.866 rymqp.txt
22.05.2005 05.36 0 qipou.dll
21.05.2005 19.31 65.832 Santa Fe-Stuck.bmp
21.05.2005 09.25 36 hpsjsrc.INI
21.05.2005 03.03 0 uzlwb.dll
20.05.2005 19.53 0 bwpnr.dat
19.05.2005 12.36 0 apihf32.exe
19.05.2005 06.46 0 atlpz.exe
17.05.2005 21.58 86 ZWECKFORM.INI
14.05.2005 12.29 24.074 winnt.bmp
12.05.2005 21.49 3.567 zybbk.dat
11.05.2005 23.19 1.405 msdfmap.ini
10.05.2005 19.23 0 tyqok.txt
08.05.2005 17.33 0 winpm32.exe
06.05.2005 04.36 4.866 xyeyi.txt
06.05.2005 01.58 0 ippe.exe
05.05.2005 06.05 82.944 clock.avi
02.05.2005 16.28 30.245 swsetup.inf
02.05.2005 11.22 23 welcome.ini
20.04.2005 16.31 448 WISO.INI
20.04.2005 12.05 538 KODWIN.INI
08.04.2005 07.46 8.192 REGLOCS.OLD
27.03.2005 22.01 0 ADDIN.INI
05.11.2004 21.59 1.080 gramit32.cfg
Verzeichnis von C:\
12.06.2005 14.43 0 sys.txt
12.06.2005 14.42 6.064 system.txt
12.06.2005 14.41 828 systemtemp.txt
12.06.2005 14.40 92.931 system32.txt
12.06.2005 14.36 819 log.txt
12.06.2005 14.35 0 windows.txt
12.06.2005 14.26 149 start.txt
12.06.2005 14.15 149 win.txt
12.06.2005 14.06 402.653.184 pagefile.sys
12.06.2005 01.33 6 AVPCallback.log
11.06.2005 02.07 11.084 Norton letzter Eintrag NavCClt.Log
13.04.2005 10.26 36.358 hardcopy.log
04.04.2004 12.54 192 boot.ini
28.03.2004 12.25 34.724 NTDETECT.COM
28.03.2004 12.25 216.096 ntldr
28.03.2004 11.57 0 IO.SYS
28.03.2004 11.57 0 MSDOS.SYS
17 Datei(en) 403.052.584 Bytes
0 Verzeichnis(se), 5.091.012.608 Bytes frei
In Hijackthis bekomme ich in O23 den missing file de_serv nicht weg. Sicherlich weil ich die Datei de_serv umbenannt habe.
wintj.dll und syslq.dll sowie alle anderen von Escan ausgewiesenen Virus-Dateien hatte ich ja mit der Killbox schon erledigt
Was erkennt ihr nun in den LOGS und was ist anhand dessen jetzt noch zu tun ?
Danke + Grüße
jwd
- jwd
- Beiträge: 25
- Registriert: 02.06.2005, 00:01
von Nikita am 13.06.2005, 12:31
Hallo@jwd
•KillBox
http://bilder.informationsarchiv.net/Ni ... illBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINNT\system32\ievx.exe
C:\WINNT\system32\msjm.exe
C:\WINNT\system32\ybzkj.txt
C:\WINNT\system32\jclvy.txt
C:\WINNT\system32\jojojavawk.exe
C:\WINNT\system32\owgfw.dat
C:\WINNT\system32\mszv MUSS exe heissen JOJO Trojaner.dat
C:\WINNT\system32\msap32 MUSS exe heissen JOJO.dat
C:\WINNT\system32\gcuyc.dat
C:\WINNT\system32\rvmuu.dat
C:\WINNT\system32\prxek.dat
C:\WINNT\system32\mfcvu32.exe
C:\WINNT\system32\atlco.exe
C:\WINNT\system32\wxvbr.log
C:\WINNT\system32\iwfvn.log
C:\WINNT\system32\vqqcm.log
C:\WINNT\system32\ratef.dll
C:\WINNT\system32\sdkly.exe
C:\WINNT\system32\xhslh.dll
C:\WINNT\system32\msou32.exe
C:\WINNT\system32\rvbva.dat
C:\WINNT\system32\bsdny.dat
C:\WINNT\system32\etgyu.dat
C:\WINNT\thlxv.dat
C:\WINNT\sysgq.exe
C:\WINNT\appxy32.exe
C:\WINNT\apptn32.exe
C:\WINNT\mswq.exe
C:\WINNT\ipxz.exe
C:\WINNT\mfcji.exe
C:\WINNT\qipou.dll
C:\WINNT\hpsjsrc.INI
C:\WINNT\uzlwb.dll
C:\WINNT\bwpnr.dat
C:\WINNT\apihf32.exe
C:\WINNT\atlpz.exe
C:\WINNT\zybbk.dat
C:\WINNT\winpm32.exe
C:\WINNT\xyeyi.txt
C:\WINNT\ippe.exe
PC neustarten
•AboutBuster
http://nikita.eddys-domain.de/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.
(so wie beschrieben in der Anleitung )
•KillBox
http://bilder.informationsarchiv.net/Ni ... illBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINNT\system32\ievx.exe
C:\WINNT\system32\msjm.exe
C:\WINNT\system32\ybzkj.txt
C:\WINNT\system32\jclvy.txt
C:\WINNT\system32\jojojavawk.exe
C:\WINNT\system32\owgfw.dat
C:\WINNT\system32\mszv MUSS exe heissen JOJO Trojaner.dat
C:\WINNT\system32\msap32 MUSS exe heissen JOJO.dat
C:\WINNT\system32\gcuyc.dat
C:\WINNT\system32\rvmuu.dat
C:\WINNT\system32\prxek.dat
C:\WINNT\system32\mfcvu32.exe
C:\WINNT\system32\atlco.exe
C:\WINNT\system32\wxvbr.log
C:\WINNT\system32\iwfvn.log
C:\WINNT\system32\vqqcm.log
C:\WINNT\system32\ratef.dll
C:\WINNT\system32\sdkly.exe
C:\WINNT\system32\xhslh.dll
C:\WINNT\system32\msou32.exe
C:\WINNT\system32\rvbva.dat
C:\WINNT\system32\bsdny.dat
C:\WINNT\system32\etgyu.dat
C:\WINNT\thlxv.dat
C:\WINNT\sysgq.exe
C:\WINNT\appxy32.exe
C:\WINNT\apptn32.exe
C:\WINNT\mswq.exe
C:\WINNT\ipxz.exe
C:\WINNT\mfcji.exe
C:\WINNT\qipou.dll
C:\WINNT\hpsjsrc.INI
C:\WINNT\uzlwb.dll
C:\WINNT\bwpnr.dat
C:\WINNT\apihf32.exe
C:\WINNT\atlpz.exe
C:\WINNT\zybbk.dat
C:\WINNT\winpm32.exe
C:\WINNT\xyeyi.txt
C:\WINNT\ippe.exe
PC neustarten
•AboutBuster
http://nikita.eddys-domain.de/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.
(so wie beschrieben in der Anleitung )
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
war es das ??
von jwd am 13.06.2005, 17:01
Hi Nikita,
Beim ABOUTBUSTER ist die Fehlermeldung gekommen:
TabStrip from comctl32.ocx
ich habe die Vers. 5 runtergeladen, kann jedoch im abgesicherten Modus keinem Update-Wunsch nachkommen.
Was soll ich hier machen ? Ein Log war nicht zu entlocken
die Killbox habe ich entsprechend bestückt, neugestartet etc.
HijackThis meldet dies :
Logfile of HijackThis v1.99.1
Scan saved at 16.05, on 13.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\OfficeEnglish\Server\oeserver.exe
C:\Programme\DeTeMedien\GelbeSeiten für Deutschland\OMAlarm.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita HiJackThis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: hardcopy.exe.lnk = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office English Server.lnk = C:\Programme\OfficeEnglish\Server\oeserver.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://www.pandasoftware.com
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{389F15B9-9828-479A-9C93-1DB017924EB4}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
hier weitere neuen LOGS NACH Ausführen der killbox :
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\WINNT\system32
13.06.2005 15.53 890 vsconfig.xml
10.06.2005 22.46 4.212 zllictbl.dat
04.06.2005 11.39 3.069 jupdate-1.5.0_02-b09.log
02.06.2005 01.10 0 syslj.exe
28.05.2005 16.36 16.384 Perflib_Perfdata_584.dat
15.05.2005 14.22 753 ModemLog_AVM ISDN Custom Config.txt
15.05.2005 14.22 762 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
15.05.2005 14.22 748 ModemLog_AVM ISDN FAX (G3).txt
15.05.2005 14.22 759 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
15.05.2005 14.22 764 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
14.05.2005 21.36 3.567 liddx.txt
07.05.2005 10.51 1.051.992 MRT.exe
06.05.2005 23.25 3.567 jzfvj.txt
06.05.2005 06.41 0 jveap SOLL txt TROJANER Verdacht.dat
06.05.2005 04.21 0 msou32 SOLL exeTROJANER VERDACHT.txt
29.04.2005 00.16 1.122.576 webvw.dll
04.03.2005 03.36 127.078 javaws.exe
04.03.2005 03.36 49.265 jpicpl32.cpl
04.03.2005 02.07 49.250 javaw.exe
04.03.2005 02.06 49.248 java.exe
25.02.2005 10.43 15.072 spmsg.dll
26.01.2005 03.48 63.256 zlcommdb.dll
26.01.2005 03.48 71.448 zlcomm.dll
26.01.2005 03.47 100.120 vsxml.dll
26.01.2005 03.47 333.592 vsutil.dll
26.01.2005 03.47 71.448 vsregexp.dll
26.01.2005 03.47 169.752 vspubapi.dll
26.01.2005 03.47 112.408 vsmonapi.dll
26.01.2005 03.47 116.504 vsinit.dll
26.01.2005 03.47 274.232 vsdatant.sys
26.01.2005 03.47 75.544 vsdata.dll
26.01.2005 03.39 50.864 vsutil_loc0407.dll
11.01.2005 08.31 121.336 FNTCACHE.DAT
20.12.2004 20.37 28.672 vxblock.dll
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
13.06.2005 15.53 1.854 jusched.log
13.06.2005 15.52 1.902 kb.log
13.06.2005 15.44 16.384 ~DF6038.tmp
12.06.2005 20.00 87.541 default.chw
12.06.2005 01.20 623 ~WRS0001.tmp
12.06.2005 01.20 196.608 ~WRF0000.tmp
12.06.2005 00.33 16.384 ~DF15D6.tmp
7 Datei(en) 321.296 Bytes
0 Verzeichnis(se), 5.065.355.264 Bytes frei
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\WINNT
13.06.2005 15.54 1.114 Windows Update.log
13.06.2005 15.54 28.555 setupapi.log
13.06.2005 15.52 32.636 SchedLgU.Txt
13.06.2005 12.01 1.636 win.ini
13.06.2005 12.01 71 hdkctnts.ini
13.06.2005 01.39 79 AvxOnline.log
12.06.2005 22.25 32 pavsig.txt
12.06.2005 20.38 707 _default.pif
12.06.2005 20.38 9.522 Zapotek.bmp
12.06.2005 20.38 24.074 winnt.bmp
12.06.2005 20.38 1.145 ODBC.INI
12.06.2005 20.38 4.866 nbbta.txt
12.06.2005 20.38 249 KTEL.INI
12.06.2005 20.38 21.817 folder.htt
12.06.2005 20.38 8.150 ACD Wallpaper.bmp
12.06.2005 19.54 1.285.026 ShellIconCache
12.06.2005 19.36 1.632 avmcoins.log
12.06.2005 19.36 806 avmenum32.log
12.06.2005 14.11 21.078 ntbtlog.txt
10.06.2005 23.17 40.244 SIGVERIF.TXT
08.06.2005 01.41 439 system.ini
05.06.2005 02.04 1.125 winamp.ini
02.06.2005 18.28 0 nsreg.dat
02.06.2005 18.28 99.970 UninstallFirefox.exe
02.06.2005 18.28 2.608 mozver.dat
02.06.2005 15.53 217 MANUELDE.ANN
02.06.2005 12.30 4.866 pxpqo.txt
02.06.2005 12.00 37 vbaddin.ini
02.06.2005 12.00 36 vb.ini
02.06.2005 12.00 65.978 Seifenblase.bmp
02.06.2005 12.00 17.362 Rhododendron.bmp
02.06.2005 12.00 49 hardcopy.INI
02.06.2005 12.00 26.582 Granit.bmp
02.06.2005 12.00 26.680 F„cher.bmp
02.06.2005 12.00 139.264 AVM_cpdi.clr
02.06.2005 12.00 280 AUTOLNCH.REG
02.06.2005 11.45 17.336 Angler.bmp
01.06.2005 01.15 10.304 MSOPrefs.232
30.05.2005 05.17 17.062 Kaffeetasse.bmp
28.05.2005 12.55 0 crav MUSS exe heissen Jojo Trojaner.dat
22.05.2005 05.56 4.866 rymqp.txt
21.05.2005 19.31 65.832 Santa Fe-Stuck.bmp
17.05.2005 21.58 86 ZWECKFORM.INI
11.05.2005 23.19 1.405 msdfmap.ini
10.05.2005 19.23 0 tyqok.txt
06.05.2005 04.36 4.866 xyeyi SOLL txt TROJANER Verdacht.dat
06.05.2005 01.58 0 ippe SOLL exe Trojaner Verdacht.txt
05.05.2005 06.05 82.944 clock.avi
02.05.2005 16.28 30.245 swsetup.inf
02.05.2005 11.22 23 welcome.ini
20.04.2005 16.31 448 WISO.INI
20.04.2005 12.05 538 KODWIN.INI
08.04.2005 07.46 8.192 REGLOCS.OLD
27.03.2005 22.01 0 ADDIN.INI
05.11.2004 21.59 1.080 gramit32.cfg
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\
13.06.2005 16.20 0 sys.txt
13.06.2005 16.20 5.683 system.txt
13.06.2005 16.19 613 systemtemp.txt
13.06.2005 16.17 92.031 system32.txt
13.06.2005 16.11 149 win.txt
13.06.2005 16.09 82 log.txt
13.06.2005 15.53 402.653.184 pagefile.sys
12.06.2005 22.08 6 AVPCallback.log
11.06.2005 02.07 11.084 Norton letzter Eintrag NavCClt.Log
13.04.2005 10.26 36.358 hardcopy.log
04.04.2004 12.54 192 boot.ini
28.03.2004 12.25 216.096 ntldr
28.03.2004 12.25 34.724 NTDETECT.COM
28.03.2004 11.57 0 IO.SYS
28.03.2004 11.57 0 MSDOS.SYS
15 Datei(en) 403.050.202 Bytes
0 Verzeichnis(se), 5.065.355.264 Bytes frei
Siehste noch was Verdächtiges ??
Viele Grüße + vielen Dank
jwd
Beim ABOUTBUSTER ist die Fehlermeldung gekommen:
TabStrip from comctl32.ocx
ich habe die Vers. 5 runtergeladen, kann jedoch im abgesicherten Modus keinem Update-Wunsch nachkommen.
Was soll ich hier machen ? Ein Log war nicht zu entlocken
die Killbox habe ich entsprechend bestückt, neugestartet etc.
HijackThis meldet dies :
Logfile of HijackThis v1.99.1
Scan saved at 16.05, on 13.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\OfficeEnglish\Server\oeserver.exe
C:\Programme\DeTeMedien\GelbeSeiten für Deutschland\OMAlarm.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\VIRUS TROJANER hijackthis\Trojaner Hilfs und Such Programme\Nikita HiJackThis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: hardcopy.exe.lnk = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office English Server.lnk = C:\Programme\OfficeEnglish\Server\oeserver.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://www.pandasoftware.com
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{389F15B9-9828-479A-9C93-1DB017924EB4}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
hier weitere neuen LOGS NACH Ausführen der killbox :
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\WINNT\system32
13.06.2005 15.53 890 vsconfig.xml
10.06.2005 22.46 4.212 zllictbl.dat
04.06.2005 11.39 3.069 jupdate-1.5.0_02-b09.log
02.06.2005 01.10 0 syslj.exe
28.05.2005 16.36 16.384 Perflib_Perfdata_584.dat
15.05.2005 14.22 753 ModemLog_AVM ISDN Custom Config.txt
15.05.2005 14.22 762 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
15.05.2005 14.22 748 ModemLog_AVM ISDN FAX (G3).txt
15.05.2005 14.22 759 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
15.05.2005 14.22 764 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
14.05.2005 21.36 3.567 liddx.txt
07.05.2005 10.51 1.051.992 MRT.exe
06.05.2005 23.25 3.567 jzfvj.txt
06.05.2005 06.41 0 jveap SOLL txt TROJANER Verdacht.dat
06.05.2005 04.21 0 msou32 SOLL exeTROJANER VERDACHT.txt
29.04.2005 00.16 1.122.576 webvw.dll
04.03.2005 03.36 127.078 javaws.exe
04.03.2005 03.36 49.265 jpicpl32.cpl
04.03.2005 02.07 49.250 javaw.exe
04.03.2005 02.06 49.248 java.exe
25.02.2005 10.43 15.072 spmsg.dll
26.01.2005 03.48 63.256 zlcommdb.dll
26.01.2005 03.48 71.448 zlcomm.dll
26.01.2005 03.47 100.120 vsxml.dll
26.01.2005 03.47 333.592 vsutil.dll
26.01.2005 03.47 71.448 vsregexp.dll
26.01.2005 03.47 169.752 vspubapi.dll
26.01.2005 03.47 112.408 vsmonapi.dll
26.01.2005 03.47 116.504 vsinit.dll
26.01.2005 03.47 274.232 vsdatant.sys
26.01.2005 03.47 75.544 vsdata.dll
26.01.2005 03.39 50.864 vsutil_loc0407.dll
11.01.2005 08.31 121.336 FNTCACHE.DAT
20.12.2004 20.37 28.672 vxblock.dll
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
13.06.2005 15.53 1.854 jusched.log
13.06.2005 15.52 1.902 kb.log
13.06.2005 15.44 16.384 ~DF6038.tmp
12.06.2005 20.00 87.541 default.chw
12.06.2005 01.20 623 ~WRS0001.tmp
12.06.2005 01.20 196.608 ~WRF0000.tmp
12.06.2005 00.33 16.384 ~DF15D6.tmp
7 Datei(en) 321.296 Bytes
0 Verzeichnis(se), 5.065.355.264 Bytes frei
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\WINNT
13.06.2005 15.54 1.114 Windows Update.log
13.06.2005 15.54 28.555 setupapi.log
13.06.2005 15.52 32.636 SchedLgU.Txt
13.06.2005 12.01 1.636 win.ini
13.06.2005 12.01 71 hdkctnts.ini
13.06.2005 01.39 79 AvxOnline.log
12.06.2005 22.25 32 pavsig.txt
12.06.2005 20.38 707 _default.pif
12.06.2005 20.38 9.522 Zapotek.bmp
12.06.2005 20.38 24.074 winnt.bmp
12.06.2005 20.38 1.145 ODBC.INI
12.06.2005 20.38 4.866 nbbta.txt
12.06.2005 20.38 249 KTEL.INI
12.06.2005 20.38 21.817 folder.htt
12.06.2005 20.38 8.150 ACD Wallpaper.bmp
12.06.2005 19.54 1.285.026 ShellIconCache
12.06.2005 19.36 1.632 avmcoins.log
12.06.2005 19.36 806 avmenum32.log
12.06.2005 14.11 21.078 ntbtlog.txt
10.06.2005 23.17 40.244 SIGVERIF.TXT
08.06.2005 01.41 439 system.ini
05.06.2005 02.04 1.125 winamp.ini
02.06.2005 18.28 0 nsreg.dat
02.06.2005 18.28 99.970 UninstallFirefox.exe
02.06.2005 18.28 2.608 mozver.dat
02.06.2005 15.53 217 MANUELDE.ANN
02.06.2005 12.30 4.866 pxpqo.txt
02.06.2005 12.00 37 vbaddin.ini
02.06.2005 12.00 36 vb.ini
02.06.2005 12.00 65.978 Seifenblase.bmp
02.06.2005 12.00 17.362 Rhododendron.bmp
02.06.2005 12.00 49 hardcopy.INI
02.06.2005 12.00 26.582 Granit.bmp
02.06.2005 12.00 26.680 F„cher.bmp
02.06.2005 12.00 139.264 AVM_cpdi.clr
02.06.2005 12.00 280 AUTOLNCH.REG
02.06.2005 11.45 17.336 Angler.bmp
01.06.2005 01.15 10.304 MSOPrefs.232
30.05.2005 05.17 17.062 Kaffeetasse.bmp
28.05.2005 12.55 0 crav MUSS exe heissen Jojo Trojaner.dat
22.05.2005 05.56 4.866 rymqp.txt
21.05.2005 19.31 65.832 Santa Fe-Stuck.bmp
17.05.2005 21.58 86 ZWECKFORM.INI
11.05.2005 23.19 1.405 msdfmap.ini
10.05.2005 19.23 0 tyqok.txt
06.05.2005 04.36 4.866 xyeyi SOLL txt TROJANER Verdacht.dat
06.05.2005 01.58 0 ippe SOLL exe Trojaner Verdacht.txt
05.05.2005 06.05 82.944 clock.avi
02.05.2005 16.28 30.245 swsetup.inf
02.05.2005 11.22 23 welcome.ini
20.04.2005 16.31 448 WISO.INI
20.04.2005 12.05 538 KODWIN.INI
08.04.2005 07.46 8.192 REGLOCS.OLD
27.03.2005 22.01 0 ADDIN.INI
05.11.2004 21.59 1.080 gramit32.cfg
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 501E-0951
Verzeichnis von C:\
13.06.2005 16.20 0 sys.txt
13.06.2005 16.20 5.683 system.txt
13.06.2005 16.19 613 systemtemp.txt
13.06.2005 16.17 92.031 system32.txt
13.06.2005 16.11 149 win.txt
13.06.2005 16.09 82 log.txt
13.06.2005 15.53 402.653.184 pagefile.sys
12.06.2005 22.08 6 AVPCallback.log
11.06.2005 02.07 11.084 Norton letzter Eintrag NavCClt.Log
13.04.2005 10.26 36.358 hardcopy.log
04.04.2004 12.54 192 boot.ini
28.03.2004 12.25 216.096 ntldr
28.03.2004 12.25 34.724 NTDETECT.COM
28.03.2004 11.57 0 IO.SYS
28.03.2004 11.57 0 MSDOS.SYS
15 Datei(en) 403.050.202 Bytes
0 Verzeichnis(se), 5.065.355.264 Bytes frei
Siehste noch was Verdächtiges ??
Viele Grüße + vielen Dank
jwd
- jwd
- Beiträge: 25
- Registriert: 02.06.2005, 00:01
23 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Workshop zum Thema "Einbau einer zweiten Festplatte&quo Forum: Feedback Autor: YX2FLY Antworten: |
kennt einer von euch den VDD mod für das epox 8rda+?? Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Problem mit DFÜ-Verbindung nach Installation einer Software Forum: Software-Hilfe Autor: schlitzoehrli Antworten: |
Monitor schaltet sich nach einer Weile von selbst aus. Warum Forum: Hardware-Hilfe Autor: Care333 Antworten: |
Frage zur Verwendung einer IP-Adresse Forum: Online- und PC-Sicherheit Autor: Anonymous Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste