Hijackthis logfile

von **DasMufflon** am 28.01.2006, 22:09

Moin, hier das Ergebniss meines scans.

Logfile of HijackThis v1.99.1
Scan saved at 21:39:32, on 28.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\shost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\VVSN\VVSN.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Radeon Omega Drivers\v2.6.53\ATI Tray Tools\atitray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Windows Media Bonus Pack for Windows XP\PowerToys\mpxptray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Dokumente und Einstellungen\Das Mufflon\Desktop\Hijackthis\HijackThis.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\Opera\Opera.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [saap] c:\programme\search-assistant\saap.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.53\ATI Tray Tools\atitray.exe
O4 - Startup: MPXPTray.lnk = C:\Programme\Windows Media Bonus Pack for Windows XP\PowerToys\mpxptray.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{90B7A743-B390-4D5E-A288-4C76585165C6}: NameServer = 213.191.92.82 213.191.74.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{90B7A743-B390-4D5E-A288-4C76585165C6}: NameServer = 213.191.92.82 213.191.74.11
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich würde mich freuen, wenn jemand mir sagen könnte, was damit nicht stimmt. Wenn alles ok ist, freu ich mich natürlich auch ^^

Mfg

von **Nikita** am 29.01.2006, 01:46

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Service Hosts

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

von **DasMufflon** am 29.01.2006, 02:49

Hier das Ergebnis von RegSearch

REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 29.01.2006 02:18:36 for strings:
; 'service hosts'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEHOST\0000]
"DeviceDesc"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServiceHost]
"DisplayName"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServiceHost]
"Description"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEHOST\0000]
"DeviceDesc"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ServiceHost]
"DisplayName"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ServiceHost]
"Description"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEHOST\0000]
"DeviceDesc"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceHost]
"DisplayName"="Service Hosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceHost]
"Description"="Service Hosts"

; End Of The Log...

Und hier das Ergebnis von der DatFind.bat:

Verzeichnis von C:\WINDOWS\system32

28.01.2006 21:57 35.875 vsconfig.xml
26.01.2006 00:46 2.206 wpa.dbl
28.12.2005 11:23 30.208 TFTP2524
28.12.2005 11:23 71 i
28.12.2005 11:22 4.212 zllictbl.dat
11.12.2005 12:58 151.584 FNTCACHE.DAT
19.11.2005 23:25 2.368 SVKP.sys
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
12.11.2005 18:26 311.604 perfh009.dat
12.11.2005 18:26 39.992 perfc009.dat
12.11.2005 18:26 316.594 perfh007.dat
12.11.2005 18:26 48.156 perfc007.dat
12.11.2005 18:26 723.744 PerfStringBackup.INI
24.08.2005 22:46 1.100 d3d8caps.dat

Verzeichnis von C:\DOKUME~1\DASMUF~1\LOKALE~1\Temp

28.01.2006 22:52 4.592 SIntfIcn.ani
28.01.2006 22:52 24.516 SIntfNT.dll
28.01.2006 22:52 19.924 SIntf32.dll
28.01.2006 22:52 12.067 SIntf16.dll
28.01.2006 22:52 36.864 CmdLineExt02.dll
28.01.2006 21:58 16.384 Perflib_Perfdata_228.dat
28.01.2006 21:34 16.384 Perflib_Perfdata_140.dat
21.01.2006 00:53 67.560 TFR27B.tmp
21.01.2006 00:53 21.122 TFR27A.tmp
21.01.2006 00:53 23.427 TFR279.tmp
21.01.2006 00:53 71.682 TFR278.tmp
21.01.2006 00:53 10.225 TFR276.tmp
21.01.2006 00:53 35.574 TFR275.tmp
21.01.2006 00:53 32.204 TFR274.tmp
21.01.2006 00:53 27.777 TFR273.tmp
16.01.2006 18:57 0 fla1A.tmp
14.01.2006 01:47 16.384 Perflib_Perfdata_67c.dat
28.12.2005 11:22 256 ZLT04ef3.TMP
21.12.2005 23:47 896 TWAIN.LOG
21.12.2005 23:47 3 Twain001.Mtx
21.12.2005 23:47 156 Twunk001.MTX
02.12.2005 22:44 40.448 CmdLineExt03.dll
20.11.2005 14:58 17.920 dmouclas.sys

Verzeichnis von C:\WINDOWS

29.01.2006 02:18 1.125 Winamp.ini
28.01.2006 21:58 0 0.log
28.01.2006 21:57 159 wiadebug.log
28.01.2006 21:57 50 wiaservc.log
28.01.2006 21:57 2.048 bootstat.dat
28.01.2006 21:53 786.765 setupapi.log
28.01.2006 21:46 21.588 mozver.dat
28.01.2006 15:06 32.572 SchedLgU.Txt
22.01.2006 19:59 847 scummvm.ini
14.01.2006 18:56 305 nsw.log
10.01.2006 01:57 82.917 War3Unin.dat
08.01.2006 04:01 21.578 cdplayer.ini
28.12.2005 11:23 59.904 shost.exe
28.12.2005 10:58 158 wininit.ini
28.12.2005 10:58 2.929 netcfg.log
28.12.2005 10:58 303 awprotoc.txt
28.12.2005 10:58 61 awerror.txt
11.12.2005 12:51 295 Q321178.log
19.11.2005 23:30 4.096 d3dx.dat
19.11.2005 23:20 453.738 Directx.log
28.09.2005 13:18 54.284 Windows Update.log
27.09.2005 16:03 17.580 EPSTPLOG.TXT
27.09.2005 15:57 11.989 EPSTPLOG.BAK
27.09.2005 15:27 579 win.ini

Verzeichnis von C:\

29.01.2006 02:31 0 sys.txt
29.01.2006 02:31 7.669 system.txt
29.01.2006 02:29 395.891 systemtemp.txt
29.01.2006 02:27 101.394 system32.txt
28.01.2006 21:57 805.306.368 pagefile.sys

Clean Up habe ich auch ausgeführt,weiß nicht, ob das wichtig ist, aber es wurden knapp 25.000 dateien gelöscht und ca 1,5 GB freigeräumt. Daas hört sich nach ner Menge an.... so wie ich das verstanden habe, nur temporäre Dateien? Oder noch was anderes?

Mfg

von **Nikita** am 29.01.2006, 14:55

Start-->Ausfuehren--> regedit

bearbeiten--> suchen --> Service Hosts

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEHOST\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServiceHost]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEHOST\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ServiceHost]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEHOST\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceHost]

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\TFTP2524
C:\WINDOWS\system32\i
C:\DOKUME~1\DASMUF~1\LOKALE~1\Temp\dmouclas.sys
C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\shost.exe

PC neustarten

scanne mit Kaspersky und kopiere hier den Scanreport
http://virus-protect.org/onlinescan.html

von **DasMufflon** am 29.01.2006, 17:56

Hallo Nikita,

hier das Ergebnis des Kaspersky-Scans:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, January 29, 2006 17:28:55
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/01/2006
Kaspersky Anti-Virus database records: 163128
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Scan Statistics:
Total number of scanned objects: 95351
Number of viruses found: 6
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 4651 sec

Infected Object Name - Virus Name
C:\!KillBox\shost.exe Infected: Backdoor.Win32.SdBot.aig
C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache\jar\1.0\classload.jar-10ffa0b5-13d83157.zip/GetAccess.class Infected: Trojan.Java.ClassLoader.c
C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache\jar\1.0\classload.jar-10ffa0b5-13d83157.zip/InsecureClassLoader.class Infected: Exploit.Java.ByteVerify
C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache\jar\1.0\classload.jar-10ffa0b5-13d83157.zip/Dummy.class Infected: Trojan.Java.ClassLoader.Dummy.a
C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache\jar\1.0\classload.jar-10ffa0b5-13d83157.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.v
C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache\jar\1.0\classload.jar-10ffa0b5-13d83157.zip Infected: Trojan-Downloader.Java.OpenConnection.v
C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache\jar\1.0\javainstaller.jar-4514e5ea-79811100.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.u
C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache\jar\1.0\javainstaller.jar-4514e5ea-79811100.zip Infected: Trojan-Downloader.Java.OpenStream.u
C:\System Volume Information\_restore{BBAC3144-F436-4264-B7A6-9DC2E9EA1044}\RP209\A0080444.exe Infected: Backdoor.Win32.SdBot.aig

Scan process completed.

von **Nikita** am 30.01.2006, 13:13

C:\!KillBox\shost.exe <--manuell loeschen

ATF-Cleaner
http://virus-protect.org/ie.html
hake alles an und leere vor allem das Java-Cache

Systemwiederherstellung deaktivieren
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(nach der Reinigung wieder aktivieren)

scanne und berichte, ob noch was gefunden wurde
ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.exe

multiavtool
http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier.

von **DasMufflon** am 31.01.2006, 12:20

Hallo Nikita,

ich habe ein Problem mit dem ATF Cleaner. Nach ca einer stunde verbraucht das Teil 99% der Systemrescourcen und das Fenster ist nicht lesbar (weiße Fläche). Ist das normal und der Vorgang kann so lange dauern oder könnte ein anderes Problem vorliegen. außerdem wollte ich Fragen, ob die Systemwiederherstellung vor dem ATF scan abgestellt werden soll, oder danach.

Danke,

Mufflon

von **Nikita** am 31.01.2006, 13:40

leere das Java-Cache manuell, dann fuehre alles weitere aus + berichte

C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache

noch mal anwenden --> die temp-Dateien muessen unbedingt geloescht werden !
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

von **DasMufflon** am 01.02.2006, 01:31

Hallo Nikita,

ich fasse zusammen:

1. Manuell shost.exe gelöscht
2. Manuell Java Cache gelöscht unter C:\Dokumente und Einstellungen\Das Mufflon\.jpi_cache
3.CleanUp wie beschrieben laufen lassen
4.Systemwiederherstellung deaktiviert
5.F-Sdbot laufen lassen
6. Multiavtool --> McAfee
7. Reboot + Systemwiederherstellung wieder aktiviert.

Mit den folgenden Resultaten:

F-sdbot findet keine viren im Speicher. Hier jetzt die logs von den drei McAfee Scans:

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4686 created Jan 31 2006
Scanning for 174289 viruses, trojans and variants.
Virus Scan Results

C:\Windows\System32

01/31/2006 23:24:09

Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 8676
Clean: ................. 8665
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1

Time: 00:07.15

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4686 created Jan 31 2006
Scanning for 174289 viruses, trojans and variants.
Virus Scan Results

C:\Windows

01/31/2006 23:33:47

Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
C:\WINDOWS\NDNuninstall6_38.exe ... Found potentially unwanted program Adware-NDotNet.
The file or process has been deleted.
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 23236
Clean: ................. 23224
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 1

Time: 00:10.13

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4686 created Jan 31 2006
Scanning for 174289 viruses, trojans and variants.
Virus Scan Results

C:\

01/31/2006 23:45:33

Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\WToolsA.exe.q_1F4B9A07_q ... Found potentially unwanted program Adware-Websearch.
The file or process has been deleted.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\WToolsB.dll.q_1F4BE002_q ... Found potentially unwanted program Adware-Websearch.
The file or process has been deleted.
C:\Programme\Uninstall iMeshBar.dll ... Found potentially unwanted program Adware-Imeshbar.
The file or process has been deleted.
C:\Programme\VVSN\VVSN.exe ... Found potentially unwanted program Adware-SaveNow.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 147072
Clean: ................. 146671
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 4
Non-critical Error(s): 3

Time: 01:08.03

So, jetzt bist Du wieder dran

MfG,

Mufflon

von **Nikita** am 01.02.2006, 01:38

nun, der scanner hat noch so einiges gefunden

Eigentlich muesste nun wieder alles clean sein

ueberpruefe bitte mal alle ports.
http://virus-protect.org/portauthority.html
und berichte, ob es offene Ports gibt...und welche es sind.

von **DasMufflon** am 01.02.2006, 02:45

So wies aussieht, keine offenen ports:

GRC Port Authority Report created on UTC: 2006-02-01 at 00:43:24

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

Ist das System damit tatsächlich wieder clean? Oder sind noch weitere checks empfehlenswert?

von **Nikita** am 01.02.2006, 11:42

poste mir noch mal die 4 Logs von datfindbat (bis August)

und mache einen Onlinescan mit Panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html

von **DasMufflon** am 02.02.2006, 02:11

Hallo Nikita,

Datfindbat lieferte folgendes:

Verzeichnis von C:\WINDOWS\system32

01.02.2006 21:37 35.875 vsconfig.xml
26.01.2006 00:46 2.206 wpa.dbl
28.12.2005 11:22 4.212 zllictbl.dat
11.12.2005 12:58 151.584 FNTCACHE.DAT
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
12.11.2005 18:26 311.604 perfh009.dat
12.11.2005 18:26 39.992 perfc009.dat
12.11.2005 18:26 316.594 perfh007.dat
12.11.2005 18:26 48.156 perfc007.dat
12.11.2005 18:26 723.744 PerfStringBackup.INI
24.08.2005 22:46 1.100 d3d8caps.dat

Verzeichnis von C:\DOKUME~1\DASMUF~1\LOKALE~1\Temp

01.02.2006 21:38 16.384 Perflib_Perfdata_f8.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 16.568.131.584 Bytes frei

Verzeichnis von C:\WINDOWS

01.02.2006 21:37 0 0.log
01.02.2006 21:37 50 wiaservc.log
01.02.2006 21:37 159 wiadebug.log
01.02.2006 21:37 2.048 bootstat.dat
01.02.2006 02:29 32.572 SchedLgU.Txt
01.02.2006 00:58 210.411 F-Sdbot.log
30.01.2006 13:36 1.125 Winamp.ini
29.01.2006 16:07 790.318 setupapi.log
28.01.2006 21:46 21.588 mozver.dat
22.01.2006 19:59 847 scummvm.ini
14.01.2006 18:56 305 nsw.log
10.01.2006 01:57 82.917 War3Unin.dat
08.01.2006 04:01 21.578 cdplayer.ini
28.12.2005 10:58 158 wininit.ini
28.12.2005 10:58 2.929 netcfg.log
28.12.2005 10:58 303 awprotoc.txt
28.12.2005 10:58 61 awerror.txt
11.12.2005 12:51 295 Q321178.log
19.11.2005 23:30 4.096 d3dx.dat
19.11.2005 23:20 453.738 Directx.log
28.09.2005 13:18 54.284 Windows Update.log
27.09.2005 16:03 17.580 EPSTPLOG.TXT
27.09.2005 15:57 11.989 EPSTPLOG.BAK
27.09.2005 15:27 579 win.ini
24.08.2005 22:43 29.890 Omega Drivers Log.txt
24.08.2005 22:39 737.280 iun6002.exe
06.08.2005 02:43 54.156 QTFont.qfn

Verzeichnis von C:\

02.02.2006 00:25 0 sys.txt
02.02.2006 00:25 7.142 system.txt
02.02.2006 00:25 307 systemtemp.txt
02.02.2006 00:25 101.361 system32.txt
01.02.2006 21:37 805.306.368 pagefile.sys

Der Panda Scan hat noch ne Menge gefunden

Incident Status Location

Adware:adware/wintools Not disinfected C:\WINDOWS\SYSTEM32\TBPS.ini
Adware:adware/ist.istbar Not disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
Adware:adware/savenow Not disinfected C:\PROGRAMME\VVSN
Adware:adware/ncase Not disinfected Windows Registry
Potentially unwanted tool:application/myway Not disinfected HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MYWAY.HTMLMENU
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.2o7.net/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.adtech.de/]
Spyware:Cookie/C.porngraph Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.c.porngraph.com/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Euniverseads Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.euniverseads.com/]
Spyware:Cookie/go Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.go.com/]
Spyware:Cookie/Maxserving Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.maxserving.com/]
Spyware:Cookie/MetriWeb Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.metriweb.be/]
Spyware:Cookie/PayCounter Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.paycounter.com/]
Spyware:Cookie/QkSrv Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.qksrv.net/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.statcounter.com/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/WebPower Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.webpower.com/]
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[.zedo.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[a.as-us.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Bilbo.counted Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[bilbo.counted.com/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/onestat.com Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[stat.onestat.com/]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.com.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.adtech.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/BurstNet Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.burstnet.com/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.advertising.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.servedby.advertising.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.advertising.com/]
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.2o7.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.as-us.falkag.net/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.112.2o7.net/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.hitbox.com/]
Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.valueclick.com/]
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.belnk.com/]
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.zedo.com/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.atdmt.com/]
Spyware:Cookie/Maxserving Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.maxserving.com/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.fastclick.net/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[.statcounter.com/]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9pe\cookies.txt[]
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Das Mufflon\Anwendungsdaten\Mozilla\Profiles\Mufflon\wgwadmys.slt\cookies.txt[]
Das wars, mfg Mufflon

von **Nikita** am 02.02.2006, 13:17

manuell loeschen

C:\WINDOWS\SYSTEM32\TBPS.ini
C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
C:\PROGRAMME\VVSN

wenn es noch da ist: (loeschen)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan

Start-->Ausfuehren--> regedit

bearbeiten--> suchen--> MYWAY

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MYWAY.HTMLMENU <---loeschen

PC neustarten

Hijackthis logfile

Hijackthis logfile

Ähnliche Themen

Wer ist online?