Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ HijackThis-Logs _ komische IP
Geschrieben von: r00t5yst3m 22.03.2007, 13:57
moin ...
ich habe ein problem ... ich soll wohl nach der meinung meines Spiels World of Warcraft ein trojaner auf dem pc haben wobei ich mir sicher (80%) bin das es nicht so ist .. aber in meinem hijackthis log ist etwas komisch
ich poste mal den ganzen
Logfile of HijackThis v1.99.1
Scan saved at 13:37:46, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\r00tsyst3m\Desktop\hijackthis\HijackThis.exe
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0EA9AAC0-BB65-459F-8D22-BD675E2C9246} - C:\WINDOWS\system32\yyuviebh.dll
O2 - BHO: (no name) - {66D0308C-F7C5-4AF0-A263-CAD7BD78F79A} - C:\WINDOWS\system32\pmkhf.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5694AE2F-3D18-48FD-8D25-349D89A3F130}: NameServer = 85.255.116.99,85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFEB1806-C2FE-4A93-BC2B-028C5CF5B897}: NameServer = 85.255.116.99,85.255.112.133
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.133
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
so das ist er .... aber was ist das bitte
O17 - HKLM\System\CCS\Services\Tcpip\..\{5694AE2F-3D18-48FD-8D25-349D89A3F130}: NameServer = 85.255.116.99,85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFEB1806-C2FE-4A93-BC2B-028C5CF5B897}: NameServer = 85.255.116.99,85.255.112.133
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.133
ein named server o0 versteh net was des ist bitte um hilfe
Geschrieben von: skep 22.03.2007, 14:02
http://de.wikipedia.org/wiki/Nameserver#Nameserver
Jetzt stellt sich dann die Frage warum du einen ukrainischen Nameserver hast (laut: http://whois.domaintools.com/85.255.116.99) ..aber das musst du selber wissen..
Nachtrag: dein Nameserver liegt im IP-Bereich eines ukrainischen Hosters..da klingeln fuer gewoehnlich alle Alarmglocken 
Geschrieben von: bond7 22.03.2007, 14:16
O2 - BHO: (no name) - {0EA9AAC0-BB65-459F-8D22-BD675E2C9246} - C:\WINDOWS\system32\yyuviebh.dll
O2 - BHO: (no name) - {66D0308C-F7C5-4AF0-A263-CAD7BD78F79A} - C:\WINDOWS\system32\pmkhf.dll (file missing)
da ist scheinbar dochwas malwaremässiges drauf.
Geschrieben von: r00t5yst3m 22.03.2007, 14:17
grüssle bond =)
ya ähm warum hab ich ukrainische server auf meinem PC ?! .. also das verwirrt mich grade
Geschrieben von: hypnosekroete 22.03.2007, 14:28
Die IP 85.255.166.99 im Klartext ist "xbox.debi.inhoster.com"
Allein die google-Suche nach inhoster + ukraine macht irgendwie wenig Hoffnung... 
<http://www.google.de/search?hl=de&q=inhoster+ukraine&btnG=Google-Suche&meta=>
C:\WINDOWS\system32\pmkhf.dll
Bööööse! <http://www.avira.com/de/threats/section/fulldetails/id_vir/2792/tr_vundo.gen.html>
Geschrieben von: bond7 22.03.2007, 14:33
Sicher ist das System infiziert und die Malware hat auch die Nameserver-Einträge geändert , mit hoher Wahrscheinlichkeit um Bankseiten ect. auf Fakeurls umzuleiten, egal wie du diese seriöse Bank aufrufen willst man erwischt immer die falsche. .
Geschrieben von: raman 22.03.2007, 14:37
Naja, wareout/DNSChanger sorgt u.a. dafuer, das man auf andere Seiten umgeleitet wird, sofern es die gewuenschte Seite nicht gibt. Es laedt diverse Dinge nach und nutzt Rootkit Techniken(Blacklight sollte die versteckten Dateien finden. Eigentlich ist es auch nur eine versteckte Datei!;) )
Geschrieben von: hypnosekroete 22.03.2007, 14:37
ich soll wohl nach der meinung meines Spiels World of Warcraft ein trojaner auf dem pc haben
Vielleicht hilft ein richtiger Virenscanner?
SCNR
Geschrieben von: r00t5yst3m 22.03.2007, 14:45
Vielleicht hilft ein richtiger Virenscanner?
SCNR
gekaufte version von mcaffee ist net sicher ?!
Geschrieben von: raman 22.03.2007, 14:46
Teste C:\WINDOWS\system32\pmkhf.dll bei Jotti/VT oder schicke es an virus@rokop-security.de. Fuer Vundo fehlt da ein Eintrag.
Geschrieben von: hypnosekroete 22.03.2007, 15:01
gekaufte version von mcaffee ist net sicher ?!
Auch nicht (un)sicherer als alle anderen...
Schon Fox Mulder wusste: trustno1!
Fuer Vundo fehlt da ein Eintrag.
Fehlt ein Eintrag im Log um auf Vundo schließen zu können oder fehlt der bei McAfee?
Eigentlich kennt Affi den...
Geschrieben von: raman 22.03.2007, 15:08
Vundos gibts wie Sand am Meer und sollten bei einer nicht umbenannten Hijackthis.exe nicht zu sehen sein...... Ein Test bei Jotti wuerde mehr aufschulss geben.
Geschrieben von: hypnosekroete 22.03.2007, 15:20
Das stimmt natürlich, aufschlussreicher wär's!
Aber ich dachte mir, da es watschelt wie eine Ente und quaakt wie eine Ente.... <http://www.google.de/search?q=pmkhf.dll+&hl=de&start=10&sa=N>
Geschrieben von: r00t5yst3m 22.03.2007, 16:12
also ....
ich hab im abgesicherten modus nochmal gescannt und es waren keine funde da ... zu dem trojan diesem vundos den hatte ich schon druff .. aber auch sofort wieder gelöscht mit so einem anti - tool ... naja
und nun sollte mien system eigendlich sauber sein ich poste ma eben den neuen hijackthis log
Logfile of HijackThis v1.99.1
Scan saved at 16:08:10, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\programme\mcafee.com\vso\mcvsshld.exe
c:\programme\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\r00tsyst3m\Desktop\hijackthis\HijackThis.exe
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
so und raman ich habe keine datei namens pmkhf.dll
bzw finde keine
Geschrieben von: raman 22.03.2007, 16:23
Stimmt, das war eine C:\WINDOWS\system32\yyuviebh.dll Mach mal aus "jux und Dollerei" ein Comboscan:
http://virus-protect.org/artikel/tools/comboscan.html
Blacklight hast du genutzt?
Geschrieben von: r00t5yst3m 22.03.2007, 16:41
Blacklight hast du genutzt?
nope mache ich jetzt ...
und ich hatte nun bei virustotal.com die dll hochgeladen ergebniss war
AhnLab-V3 2007.3.23.0 03.22.2007 Win-Trojan/Klone.131584
AntiVir 7.3.1.44 03.22.2007 TR/Dldr.ConHook.Gen
Authentium 4.93.8 03.22.2007 no virus found
Avast 4.7.936.0 03.21.2007 no virus found
AVG 7.5.0.447 03.22.2007 Generic3.KHR
BitDefender 7.2 03.22.2007 no virus found
CAT-QuickHeal 9.00 03.21.2007 Trojan.Klone.j
ClamAV devel-20070312 03.22.2007 no virus found
DrWeb 4.33 03.22.2007 no virus found
eSafe 7.0.14.0 03.22.2007 Suspicious Trojan/Worm
eTrust-Vet 30.6.3501 03.22.2007 Win32/Vundo.CH
Ewido 4.0 03.22.2007 no virus found
FileAdvisor 1 03.22.2007 no virus found
Fortinet 2.85.0.0 03.22.2007 no virus found
F-Prot 4.3.1.45 03.21.2007 no virus found
F-Secure 6.70.13030.0 03.22.2007 Packed.Win32.Klone.j
Ikarus T3.1.1.3 03.22.2007 no virus found
Kaspersky 4.0.2.24 03.22.2007 Packed.Win32.Klone.j
McAfee 4989 03.21.2007 no virus found
Microsoft 1.2306 03.22.2007 no virus found
NOD32v2 2136 03.22.2007 a variant of Win32/Adware.BHO.V
Norman 5.80.02 03.22.2007 no virus found
Panda 9.0.0.4 03.22.2007 Spyware/Virtumonde
Prevx1 V2 03.22.2007 no virus found
Sophos 4.15.0 03.13.2007 Troj/Virtum-AJ
Sunbelt 2.2.907.0 03.22.2007 no virus found
Symantec 10 03.22.2007 Trojan.Vundo
TheHacker 6.1.6.079 03.22.2007 Trojan/Klone.j
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.22.2007 no virus found
VirusBuster 4.3.7:9 03.22.2007 Trojan.DL.Conhook.AQ
Webwasher-Gateway 6.0.1 03.22.2007 Trojan.Dldr.ConHook.Gen
-.- kann echt nicht sein -.-
EDIT : also soll ich den ganzen comboscann nochmna posten ? ist verteufelt lang =P
Geschrieben von: bond7 22.03.2007, 16:49
wars doch der falsche Virenscanner auf dem System , wenn ihm alle anderen Scanner hätten von der Infektion informieren können .
Geschrieben von: r00t5yst3m 22.03.2007, 16:54
hier neuer post mit comboscann ... wollt net das der andere post so unübersichtlich ist
ComboScan v20070306.20 run by r00tsyst3m on 2007-03-22 at 16:41:56
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- System Restore --------------------------------------------------------------
Successfully created ComboScan Restore Point.
-- Last 5 Restore Point(s) --
54: 2007-03-22 15:42:00 UTC - RP54 - ComboScan Restore Point
53: 2007-03-21 23:30:04 UTC - RP53 - Systemprüfpunkt
52: 2007-03-20 23:18:18 UTC - RP52 - Systemprüfpunkt
51: 2007-03-19 17:53:23 UTC - RP51 - Systemprüfpunkt
50: 2007-03-17 13:22:25 UTC - RP50 - Systemprüfpunkt
-- First Restore Point --
1: 2007-02-13 01:24:58 UTC - RP1 - Systemprüfpunkt
Performed disk cleanup.
-- HijackThis (run as r00tsyst3m.exe) ------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:42:16, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\programme\mcafee.com\vso\mcvsshld.exe
c:\programme\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\r00tsyst3m\Desktop\comboscan.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\DOKUME~1\R00TSY~1\Desktop\HIJACK~1\r00tsyst3m.exe
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
-- HijackThis Fixed Entries (C:\DOKUME~1\R00TSY~1\Desktop\HIJACK~1\backups\) ---
backup-20070322-141921-734 O2 - BHO: (no name) - {0EA9AAC0-BB65-459F-8D22-BD675E2C9246} - C:\WINDOWS\system32\yyuviebh.dll
backup-20070322-141922-256 O17 - HKLM\System\CCS\Services\Tcpip\..\{5694AE2F-3D18-48FD-8D25-349D89A3F130}: NameServer = 85.255.116.99,85.255.112.133
backup-20070322-141922-414 O2 - BHO: (no name) - {66D0308C-F7C5-4AF0-A263-CAD7BD78F79A} - C:\WINDOWS\system32\pmkhf.dll (file missing)
backup-20070322-141922-599 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.133
backup-20070322-141922-777 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.133
backup-20070322-141922-963 O17 - HKLM\System\CCS\Services\Tcpip\..\{DFEB1806-C2FE-4A93-BC2B-028C5CF5B897}: NameServer = 85.255.116.99,85.255.112.133
-- File Associations -----------------------------------------------------------
.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
3R ALCXWDM (Service for Realtek AC97 Audio (WDM)) - C:\WINDOWS\system32\drivers\alcxwdm.sys
1R AmdK8 (AMD-Prozessortreiber) - C:\WINDOWS\system32\drivers\AmdK8.sys
3S GVCplDrv - C:\WINDOWS\system32\drivers\GVCplDrv.sys
3R HidUsb (Microsoft HID Class-Treiber) - C:\WINDOWS\system32\drivers\hidusb.sys
1R kbdhid (Tastatur-HID-Treiber) - C:\WINDOWS\system32\drivers\kbdhid.sys
3R mouhid (Maus-HID-Treiber) - C:\WINDOWS\system32\drivers\mouhid.sys
3R NaiAvFilter1 - C:\WINDOWS\system32\drivers\naiavf5x.sys
3S Nokia USB Generic - C:\WINDOWS\system32\drivers\nmwcdc.sys
3S Nokia USB Modem - C:\WINDOWS\system32\drivers\nmwcdcm.sys
3S Nokia USB Phone Parent - C:\WINDOWS\system32\drivers\nmwcd.sys
3S Nokia USB Port - C:\WINDOWS\system32\drivers\nmwcdcj.sys
3R nv - C:\WINDOWS\system32\drivers\nv4_mini.sys
3R NVENETFD (NVIDIA nForce Networking Controller Driver) - C:\WINDOWS\system32\drivers\NVENETFD.sys
3R nvnetbus (NVIDIA Network Bus Enumerator) - C:\WINDOWS\system32\drivers\nvnetbus.sys
0R PxHelp20 - C:\WINDOWS\system32\drivers\PxHelp20.sys
3R SIS163u (SiS 163 usb Wireless LAN Adapter Driver) - C:\WINDOWS\system32\drivers\sis163u.sys
3R usbccgp (Microsoft Standard-USB-Haupttreiber) - C:\WINDOWS\system32\drivers\usbccgp.sys
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\system32\drivers\usbehci.sys
3R usbohci (Miniporttreiber für Microsoft USB Open Host-Controller) - C:\WINDOWS\system32\drivers\usbohci.sys
3S usbscan (USB-Scannertreiber) - C:\WINDOWS\system32\drivers\usbscan.sys
3S USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\USBSTOR.SYS
-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
2R McDetect.exe (McAfee WSC Integration) - c:\programme\mcafee.com\agent\mcdetect.exe
2R McShield (McAfee.com McShield) - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
2R McTskshd.exe (McAfee Task Scheduler) - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
3S mcupdmgr.exe (McAfee SecurityCenter Update Manager) - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
2R NVSvc (NVIDIA Display Driver Service) - C:\WINDOWS\System32\nvsvc32.exe
3S ServiceLayer - "C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe"
2R UMWdf (Windows User Mode Driver Framework) - C:\WINDOWS\system32\wdfmgr.exe
-- Files created between 2007-02-22 and 2007-03-22 -----------------------------
2007-03-10 04:17:41 0 d-------- C:\Programme\Electronic Arts<ELECTR~1>
2007-03-10 03:01:41 131604 --a------ C:\WINDOWS\system32\yyuviebh.dll
2007-03-09 22:41:58 1010 --a------ C:\WINDOWS\eReg.dat
2007-03-09 22:39:32 0 d-------- C:\Programme\EA Games<EAGAME~1>
2007-03-09 22:09:54 0 d-------- C:\UT2004
2007-03-06 11:38:12 0 d-------- C:\WINDOWS\Sun
2007-03-06 11:37:23 0 d-------- C:\Programme\Java
2007-03-06 11:34:40 0 d-------- C:\Programme\Gemeinsame Dateien\Java
2007-03-06 11:33:40 667 --a------ C:\WINDOWS\mozver.dat
2007-03-06 10:29:29 0 d-------- C:\Programme\Nsasoft
2007-03-03 10:31:01 0 d-------- C:\Programme\SIM
2007-03-02 06:05:14 0 d-------- C:\Programme\ACProtect<ACPROT~1>
2007-03-02 06:01:24 0 d--h----- C:\WINDOWS\dameware
2007-03-02 05:54:22 0 d-------- C:\Programme\No-IP
2007-03-02 04:23:03 0 d-------- C:\Programme\AVI Codec Pack<AVICOD~1>
2007-03-02 04:23:00 0 d-------- C:\WINDOWS\system32\quicktime<QUICKT~1>
2007-03-01 17:56:26 0 d-------- C:\Programme\Gemeinsame Dateien\Nokia
2007-03-01 17:56:08 13312 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys
2007-03-01 17:56:08 13312 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys
2007-03-01 17:56:08 8704 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys
2007-03-01 17:56:07 4608 --a------ C:\WINDOWS\system32\nmwcdlog.dll
2007-03-01 17:56:07 30720 --a------ C:\WINDOWS\system32\nmwcdcocls.dll<NMWCDC~1.DLL>
2007-03-01 17:56:07 127488 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys
2007-03-01 17:55:59 0 d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2007-02-24 13:33:46 0 d-------- C:\Perl
2007-02-22 11:10:34 0 d-------- C:\Programme\IrfanView<IRFANV~1>
-- Find3M Report ---------------------------------------------------------------
2007-03-22 16:26:39 0 d-------- C:\Programme\World of Warcraft<WORLDO~1>
2007-03-22 16:14:59 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1>
2007-03-21 23:38:52 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1>
2007-03-14 18:17:48 0 d-------- C:\Programme\mIRC
2007-03-14 06:17:30 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Arcsoft
2007-03-10 04:38:28 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien<MEINED~1>
2007-03-10 03:44:17 0 d-------- C:\Programme\RaidenFTPD<RAIDEN~1>
2007-03-10 03:44:17 0 d-------- C:\Programme\GameSpy Arcade<GAMESP~1>
2007-03-09 22:54:14 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-03-07 17:37:18 0 d-------- C:\Programme\ICQLite
2007-03-07 12:30:47 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\sim
2007-03-06 11:38:12 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Sun
2007-03-06 11:34:40 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-03-06 06:04:09 0 d-------- C:\Programme\Messenger<MESSEN~1>
2007-03-03 14:44:13 0 d-------- C:\Programme\FlashFXP
2007-03-02 05:19:05 0 d-------- C:\Programme\DivX
2007-03-01 17:56:05 0 d-------- C:\Programme\Nokia
2007-03-01 13:04:05 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Nokia Multimedia Player<NOKIAM~1>
2007-02-22 19:59:49 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\ActiveState<ACTIVE~1>
2007-02-21 17:54:05 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Canon
2007-02-21 17:42:21 0 d-------- C:\Programme\Canon
2007-02-21 17:41:03 0 d-------- C:\Programme\ArcSoft
2007-02-21 17:37:45 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-02-21 17:37:45 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\InterTrust<INTERT~1>
2007-02-21 17:37:45 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Adobe
2007-02-20 19:32:16 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Nokia
2007-02-18 11:42:39 0 d-------- C:\Programme\Google
2007-02-18 01:18:13 0 d-------- C:\Programme\BitTorrent<BITTOR~1>
2007-02-18 01:14:45 316924 --a------ C:\WINDOWS\system32\perfh007.dat
2007-02-18 01:14:45 48354 --a------ C:\WINDOWS\system32\perfc007.dat
2007-02-17 21:14:25 0 d-------- C:\Programme\MSXML 4.0<MSXML4~1.0>
2007-02-17 21:12:50 0 d-------- C:\Programme\Gemeinsame Dateien\System
2007-02-17 19:00:20 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\ICQ Toolbar<ICQTOO~1>
2007-02-17 18:46:49 0 d-------- C:\Programme\MSN Messenger<MSNMES~1>
2007-02-16 02:17:49 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\DivX
2007-02-16 02:06:03 0 d-------- C:\Programme\Ahead
2007-02-16 02:05:58 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-02-16 01:33:39 0 d-------- C:\Programme\Winamp
2007-02-15 16:05:31 0 d--h----- C:\Programme\WindowsUpdate<WINDOW~3>
2007-02-15 15:57:35 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\FlashFXP
2007-02-15 15:52:07 0 d-------- C:\Programme\RhinoSoft.com<RHINOS~1.COM>
2007-02-15 14:04:46 60166 --a------ C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\NMM-MetaData.db<NMM-ME~1.DB>
2007-02-15 13:57:15 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Datalayer<DATALA~1>
2007-02-15 13:53:02 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\PC Suite<PCSUIT~1>
2007-02-15 13:52:59 0 d-------- C:\Programme\DIFX
2007-02-14 03:21:23 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\BitTorrent<BITTOR~1>
2007-02-14 01:01:36 0 d---s---- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Microsoft<MICROS~1>
2007-02-13 18:42:23 0 d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment<BLIZZA~1>
2007-02-13 18:10:13 0 d-------- C:\Programme\Serious Sam 2<SERIOU~1>
2007-02-13 18:09:57 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll<CMDLIN~1.DLL>
2007-02-13 17:48:46 0 d-------- C:\Programme\AMD
2007-02-13 13:19:22 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\ICQLite
2007-02-13 12:40:17 60416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2007-02-13 12:33:13 0 d-------- C:\Programme\Teamspeak2_RC2<TEAMSP~1>
2007-02-13 12:33:13 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\teamspeak2<TEAMSP~1>
2007-02-13 12:19:30 0 d-------- C:\Programme\Realtek AC97<REALTE~2>
2007-02-13 04:42:29 0 d-------- C:\Programme\Movie Maker<MOVIEM~1>
2007-02-13 04:39:49 0 d-------- C:\Programme\Windows NT<WINDOW~1>
2007-02-13 04:10:31 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Macromedia<MACROM~1>
2007-02-13 03:57:21 0 d-------- C:\Programme\Lavalys
2007-02-13 03:24:14 0 d-------- C:\Programme\Realtek Sound Manager<REALTE~1>
2007-02-13 03:24:14 0 d-------- C:\Programme\AvRack
2007-02-13 03:13:18 0 --a------ C:\WINDOWS\nsreg.dat
2007-02-13 03:13:16 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Mozilla
2007-02-13 02:56:49 0 d-------- C:\Programme\802.11 Wireless LAN<802~1.11W>
2007-02-13 02:56:39 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield<INSTAL~1>
2007-02-13 02:29:08 0 d-------- C:\Programme\McAfee.com
2007-02-13 02:24:53 0 d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared<MICROS~1>
2007-02-13 02:24:50 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Identities<IDENTI~1>
2007-02-13 02:20:00 0 d-------- C:\Programme\microsoft frontpage<MICROS~1>
2007-02-13 02:19:40 0 -rahs---- C:\MSDOS.SYS
2007-02-13 02:19:40 0 -rahs---- C:\IO.SYS
2007-02-13 02:19:40 0 --a------ C:\CONFIG.SYS
2007-02-13 02:19:40 0 --a------ C:\AUTOEXEC.BAT
2007-02-13 02:18:39 0 d-------- C:\Programme\Online-Dienste<ONLINE~2>
2007-02-13 02:17:59 0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2007-02-13 02:17:54 0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2007-02-13 02:17:17 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat<EMPTYR~1.DAT>
2007-02-13 02:17:00 0 d-------- C:\Programme\Online Services<ONLINE~1>
2007-02-13 02:16:52 0 d-------- C:\Programme\MSN Gaming Zone<MSNGAM~1>
2007-02-13 02:11:27 0 d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-02-13 02:11:24 0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines<SPEECH~1>
2007-02-13 02:11:04 62 --ahs---- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\desktop.ini
2007-02-01 05:56:06 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll<DIVX_X~2.DLL>
2007-02-01 05:56:05 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll<DIVX_X~3.DLL>
2007-02-01 05:56:05 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll<DIVX_X~1.DLL>
2007-02-01 05:56:04 639066 --a------ C:\WINDOWS\system32\DivX.dll
2007-01-31 22:27:01 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-01-31 00:15:10 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe<DIVXCO~1.EXE>
2007-01-30 06:03:40 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-01-30 06:03:34 118520 -----n--- C:\WINDOWS\system32\pxinsi64.exe
2007-01-30 06:03:34 116472 -----n--- C:\WINDOWS\system32\pxcpyi64.exe
2007-01-30 06:03:34 129784 -----n--- C:\WINDOWS\system32\pxafs.dll
2007-01-30 06:03:26 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-01-30 06:03:26 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-01-30 05:56:56 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-01-30 05:56:56 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-01-30 05:56:54 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-01-30 05:56:52 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-01-30 05:56:52 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-01-30 05:56:52 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-01-30 05:56:52 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-01-30 05:56:52 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-01-29 09:58:06 60416 -----n--- C:\WINDOWS\system32\tzchange.exe
-- Registry Dump ---------------------------------------------------------------
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"VSOCheckTask"="\"C:\\PROGRA~1\\McAfee.com\\VSO\\mcmnhdlr.exe\" /checktask"
"VirusScan Online"="C:\\Programme\\McAfee.com\\VSO\\mcvsshld.exe"
"OASClnt"="C:\\Programme\\McAfee.com\\VSO\\oasclnt.exe"
"MCAgentExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"
"MCUpdateExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"SoundMan"="SOUNDMAN.EXE"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Google Updater.lnk"
"backup"="C:\\WINDOWS\\pss\\Google Updater.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Google\\GOOGLE~1\\GOOGLE~1.EXE -systray -startup"
"item"="Google Updater"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bittorrent"
"hkey"="HKCU"
"command"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LaunchApplication"
"hkey"="HKLM"
"command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -startup"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PcSync2"
"hkey"="HKCU"
"command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIM]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sim"
"hkey"="HKCU"
"command"="\"C:\\Programme\\SIM\\sim.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"="kdccl.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AFC37E94-71A5-4E7B-9480-BCA74A5EFE39}"=""
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
-- End of ComboScan: finished at 2007-03-22 at 16:42:44 ------------------------
Geschrieben von: raman 22.03.2007, 17:06
Das wird wohl der DNS Changer sein:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"="kdccl.exe"
Geschrieben von: r00t5yst3m 22.03.2007, 17:12
Das wird wohl der DNS Changer sein:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"="kdccl.exe"
verstehe net ganz !?
was soll ich nun tun also die DLL im wondows/system32 ist ya Win-Trojan/Klone.131584 soll ich die einfach löschen ? damit ist es bestimmt net getan denk ich mal
Geschrieben von: raman 22.03.2007, 17:17
Die DLL kannst du ja ersteinmal umbenennen. Blacklight sollte eigentlich die Datei kdccl.exe bei einem Scan melden. Diese sorgt, bzw hat fuer die komischen IP Adressen Eintraege gesorgt.
Suche bitte im Windows oder System32 Ordner nach einer Datei Namens VirtualDNS.dll
Geschrieben von: hypnosekroete 22.03.2007, 17:26
die DLL im wondows/system32 ist ya Win-Trojan/Klone.131584...
...aka Trojan.Vundo (by Symantec) wollte ich nochmal so anmerken.
Hier gibt's von Symantec ein Removal-Tool <http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan.vundo.removal.tool.html>
Geschrieben von: raman 22.03.2007, 17:33
Das Removaltool von Symantec kannste knicken und ich glaube natuerlich eher Antivirs Erkennung!
Geschrieben von: r00t5yst3m 22.03.2007, 17:35
so ...
also raman hatte wie immer recht ... die exe wurde von blacklight gefunden und die DLL lösche ich grade (die von dem vundo oder wie der hieß)
die andere DLL die virualDNS die hab ich nicht habe alles nachgeschaut
/edit wie werde ich den tollen trojaner nun denn ganz los ?!
Geschrieben von: raman 22.03.2007, 17:37
Du musst die exe Datei von Blacklight umbenennen lassen und nach einem Neustart den im Hijackthis log neu auftauchenden Eintrag fixen. Die umbenannte exe kannst du auch bei Jotti/VT hochladen......
Geschrieben von: r00t5yst3m 22.03.2007, 17:43
das is der neue logg da seh ich aber nix komisches oder so ~~
Logfile of HijackThis v1.99.1
Scan saved at 17:39:41, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\r00tsyst3m\Desktop\hijackthis\r00tsyst3m.exe
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
und blacklight hat die datei wohl umbenannt aber in welchen namen ...
Geschrieben von: hypnosekroete 22.03.2007, 17:47
Das Removaltool von Symantec kannste knicken und ich glaube natuerlich eher Antivirs Erkennung!
Zu dem Tool ganz speziell kann ich nix sagen, weil nie im Einsatz gehabt/gesehen.
Hab aber mal Tr.Blackmail (od. so ähnlich) erfolgreich mithilfe von einem Symantec-Tool gesäubert...
Und zu der Erkennung: Ist ja wirklich 'ne Glaubensfrage, da jede AV-Company ihre eigene Taxonomie benutzt...
Zum Glück glaubst Du (in diesem Fall) nicht dem Bitdefender (zB)
Geschrieben von: raman 22.03.2007, 18:20
Oh, versteh mich nicht falsch. Die Tools von Symantec sind an sich gut, nur das fuer Vundo halt nicht. Das kannst du auch am Datum des Artikels erkennen. Das ist fast 2 Jahre alt.
und blacklight hat die datei wohl umbenannt aber in welchen namen ...
Es hat einfach .ren angehaengt. Blacklight findet also nun nichts mehr?
Geschrieben von: r00t 23.03.2007, 10:23
ne blacklight findet nix mehr ... die eine dll ist auf einmal auch verschwne findet nix mehr ... und die eine dll ist auch verschwunden ...
wollte mich schonmal in aller form bedanken dieses forum hat mir schon mehrmals sehr gut geholfen besonderen dank an raman bond und die kröte =P
und edit /
~~ mcaffee hat de echt net gefunden obwohl vollversion ect
AhnLab-V3 2007.3.23.0 03.22.2007 no virus found
AntiVir 7.3.1.44 03.23.2007 TR/Dldr.DNSChanger.Gen
Authentium 4.93.8 03.22.2007 W32/Trojan.YPO
Avast 4.7.936.0 03.22.2007 Win32:DNSChanger-BA
AVG 7.5.0.447 03.22.2007 Generic2.AAFB
BitDefender 7.2 03.23.2007 Trojan.Dnschange.L
CAT-QuickHeal 9.00 03.22.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 03.23.2007 no virus found
DrWeb 4.33 03.23.2007 Trojan.DnsChange
eSafe 7.0.14.0 03.22.2007 no virus found
eTrust-Vet 30.6.3504 03.23.2007 Win32/Alureon!generic
Ewido 4.0 03.22.2007 Downloader.DNSChanger
FileAdvisor 1 03.23.2007 no virus found
Fortinet 2.85.0.0 03.23.2007 no virus found
F-Prot 4.3.1.45 03.23.2007 W32/Trojan.YPO
F-Secure 6.70.13030.0 03.23.2007 Trojan.Win32.DNSChanger.in
Ikarus T3.1.1.3 03.23.2007 Trojan.Win32.DNSChanger.hg
Kaspersky 4.0.2.24 03.23.2007 Trojan.Win32.DNSChanger.in
McAfee 4990 03.22.2007 no virus found
Microsoft 1.2306 03.23.2007 Trojan:Win32/Alureon.A
NOD32v2 2138 03.23.2007 probably a variant of Win32/Small.FB
Norman 5.80.02 03.23.2007 W32/Suspicious_C.gen
Panda 9.0.0.4 03.22.2007 Trj/DNSChanger.PJ
Prevx1 V2 03.23.2007 no virus found
Sophos 4.15.0 03.23.2007 no virus found
Sunbelt 2.2.907.0 03.22.2007 VIPRE.Suspicious
Symantec 10 03.23.2007 no virus found
TheHacker 6.1.6.080 03.23.2007 no virus found
UNA 1.83 03.16.2007 Trojan.Win32.DNSChanger.E252
VBA32 3.11.2 03.22.2007 Trojan.DnsChange
VirusBuster 4.3.7:9 03.22.2007 Trojan.DNSChanger.MU
Webwasher-Gateway 6.0.1 03.23.2007 Trojan.Dldr.DNSChanger.Gen
ein lob an G-data anti viren kit ! hab die datei ma meinem kollegen gegeben dessen gdata es gleich gefunden hat !
fage ist mein system somit wider clean ?
Geschrieben von: hypnosekroete 23.03.2007, 11:01
Klingt ja erstmal ganz gut.
Welche Datei ist das denn, die Du Deinem Kumpel gegeben bzw. bei VT hochgeladen hast?
Welche DNS sind jetzt in den TCP/IP-Eigenschaften eingetragen? Möglicherweise hast Du den Schädling entfernt, benutzt aber immernoch über die geänderten ukrainischen DNS-Server.
Ob Dein System jetzt Clean bzw was noch wichtiger ist, wieder vertrauenswürdig ist, musst Du im Endeffekt selbst entscheiden, manch einem würde das reichen, manch einem nicht, siehe <http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html> und <http://de.wikipedia.org/wiki/Technische_Kompromittierung>
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)