kann virus nicht löschen.

[cccp]

Hallo, ich habe seit ein paar tagen einen virus drauf. kann deswegen nicht auf links klicken. dann kommt immer so ne seite...

kann sich das mal bitte einer angucken?
eintrag O17 ist rot markiert bei auslesen der logfile

Code:

Logfile of HijackThis v1.99.1
Scan saved at 15:57:55, on 13.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\Tcrack 12_4\tcrack12_4.exe
C:\Dokumente und Einstellungen\cccp3er\Desktop\mini_sro.exe
C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\T_Bot 0801 (Mit Scripts)\TbotSRo0801\TbotSRo0801.exe
D:\Spiele\Silkroad\sro_client.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\cccp3er\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{992BA640-575F-4006-BF56-B66F3F686125}: NameServer = 85.255.116.34 85.255.112.139
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

[[GC]Sunny]

Hallo und Willkommen!

Zunächst brauchen wir noch ein paar Infos zu deinem System, einige Einträge aus dem Logfile sind zwar eindeutig was z.B. eine DNS-Umleitung deiner Daten über einen ausländischen Sever angeht, jedoch müssen wir herausfinden was dafür verantwortlich ist/war.



Um weitere Informationen über dein System zu erhalten, erstelle bitte eine filelist.
Lade dazu die filelist.zip auf deinen Desktop herunter.

*entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
*starte deinen Rechner neu auf
*öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
*dein Editor (Textverarbeitungsprogramm) wird sich öffnen
*markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage,
wähle kopieren, füge diese Dateien deinem nächsten Beitrag an

*Dies sind die Verzeichnisse, von denen wir jeweils die letzten 30 Tage sehen möchten:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein dickes Dankeschön an unseren Moderator Karl83 für die filelist.bat (Anleitung)



Kennst du diese Programme welche im Hijacklog ersichtlich sind?

Code:

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\Tcrack 12_4\tcrack12_4.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\mini_sro.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\T_Bot 0801 (Mit Scripts)\TbotSRo0801\TbotSRo0801.exe

Desweiteren:

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Gruß
Sunny

[cccp]

Was ich nochmal anmerken muss ist, das ich vorher schon mal diese nameserver viruse hatte, da waren viel mehr. ca 8 stück mit O16 die meisten und der mit O17 ging nie weg, dann hatte ich hier im forum so ein programm gefunden. musste pc rebooten und dann hat er den virus gelöscht. das prog war in englischen bereich, finds leider nicht mehr.
achja und ich denke die viruse sind von einem tool für ein spiel. das spiel Silkroad Online. da gibts halt son bot der von alleine spielt aber viele hacker nutzen das programm aus und bauen trojaner ein die die game id´s und passwörter speichern und weiterleiten um an die teuren silkroad sccounts zu kommen. das spiel ist im prinzip wie WoW nur free aber es gibt viele leute die dort trotzdem zahlen um bestimmte sachen dazu zu bekommen, premium eben.

so hier die daten

Code:

 Verzeichnis von C:\

13.09.2007  17:46     1.073.270.784 hiberfil.sys
13.09.2007  17:46     1.610.612.736 pagefile.sys
06.09.2007  23:12               235 autologin.ini
05.09.2007  09:59                 0 CONFIG.SYS
05.09.2007  09:59                 0 MSDOS.SYS
05.09.2007  09:59                 0 IO.SYS
05.09.2007  09:59                 0 AUTOEXEC.BAT
05.09.2007  09:54               211 boot.ini


 Verzeichnis von C:\WINDOWS\system32

11.09.2007  22:25             5.214 jupdate-1.6.0_02-b06.log
11.09.2007  10:03           265.416 FNTCACHE.DAT
09.09.2007  15:23             2.206 wpa.dbl
07.09.2007  10:43             3.002 CONFIG.NT
06.09.2007  23:00           427.592 perfh009.dat
06.09.2007  23:00            66.376 perfc009.dat
06.09.2007  23:00           442.770 perfh007.dat
06.09.2007  23:00            78.360 perfc007.dat
06.09.2007  23:00           989.700 PerfStringBackup.INI
06.09.2007  12:09           801.144 aswBoot.exe
06.09.2007  12:00            95.608 AvastSS.scr
06.09.2007  04:50        17.474.680 MRT.exe
05.09.2007  12:29           128.914 TZLog.log
05.09.2007  10:54                 0 h323log.txt
05.09.2007  10:02               386 $winnt$.inf
05.09.2007  09:59            16.832 amcompat.tlb
05.09.2007  09:59            23.392 nscompat.tlb
05.09.2007  09:58               488 logonui.exe.manifest
05.09.2007  09:58               488 WindowsLogon.manifest
05.09.2007  09:58               749 cdplayer.exe.manifest
05.09.2007  09:58               749 nwc.cpl.manifest
05.09.2007  09:58               749 ncpa.cpl.manifest
05.09.2007  09:58               749 sapi.cpl.manifest
05.09.2007  09:58               749 wuaucpl.cpl.manifest
05.09.2007  09:56            21.740 emptyregdb.dat


 Verzeichnis von C:\WINDOWS

13.09.2007  17:46                 0 0.log
13.09.2007  17:46             2.048 bootstat.dat
13.09.2007  17:45         1.478.376 WindowsUpdate.log
13.09.2007  17:45             6.068 SchedLgU.Txt
12.09.2007  21:06                69 NeroDigital.ini
12.09.2007  11:03           375.583 setupapi.log
11.09.2007  22:25               667 mozver.dat
11.09.2007  08:57             1.232 wiadebug.log
10.09.2007  11:01                50 wiaservc.log
06.09.2007  23:04           183.136 setupact.log
05.09.2007  17:48           109.961 DirectX.log
05.09.2007  16:08             1.676 wmsetup.log
05.09.2007  15:53           121.020 ntdtcsetup.log
05.09.2007  15:53           202.708 comsetup.log
05.09.2007  15:53           642.312 iis6.log
05.09.2007  15:53            29.242 tabletoc.log
05.09.2007  15:53            31.665 ocmsn.log
05.09.2007  15:53           264.077 tsoc.log
05.09.2007  15:53            18.857 KB938127-IE7.log
05.09.2007  15:53             1.355 imsins.log
05.09.2007  15:53            39.737 MedCtrOC.log
05.09.2007  15:53           277.172 ocgen.log
05.09.2007  15:53            28.681 msgsocm.log
05.09.2007  15:53           100.260 netfxocm.log
05.09.2007  15:53           567.980 FaxSetup.log
05.09.2007  15:53           177.428 msmqinst.log
05.09.2007  15:53             1.355 imsins.BAK
05.09.2007  15:53            23.834 KB937143-IE7.log
05.09.2007  15:53            57.488 updspapi.log
05.09.2007  12:40             6.240 spupdsvc.log
05.09.2007  12:29           117.214 KB933360.log
05.09.2007  12:29           559.292 msxml6-KB933579-enu-x86.LOG
05.09.2007  12:29           106.862 KB938127.log
05.09.2007  12:29           110.115 KB936021.log
05.09.2007  12:29            88.809 KB936782.log
05.09.2007  12:29           117.271 KB937143.log
05.09.2007  12:29           110.843 KB938829.log
05.09.2007  12:29           110.299 KB921503.log
05.09.2007  12:28           110.716 KB938828.log
05.09.2007  12:27            90.524 KB923689.log
05.09.2007  12:27            90.582 KB925398.log
05.09.2007  12:27           105.135 KB935839.log
05.09.2007  12:27           105.952 KB935840.log
05.09.2007  12:26           109.369 KB929123.log
05.09.2007  12:26            91.199 KB927891.log
05.09.2007  12:26           105.276 KB930916.log
05.09.2007  12:26           106.051 KB920213.log
05.09.2007  12:26           108.019 KB890046.log
05.09.2007  12:26            86.332 XPSEPSCLP.log
05.09.2007  12:26            85.197 XpsEPSC.log
05.09.2007  12:26           103.830 KB932168.log
05.09.2007  12:26            15.060 ie7_main.log
05.09.2007  12:26            88.499 ie7.log
05.09.2007  12:25            32.329 IDNMitigationAPIs.log
05.09.2007  12:25            32.243 NLSDownlevelMapping.log
05.09.2007  12:25            34.618 KB915865.log
05.09.2007  12:03            54.352 KB931261.log
05.09.2007  12:03            53.864 KB930178.log
05.09.2007  12:03            57.617 KB931784.log
05.09.2007  12:03            55.666 KB925902.log
05.09.2007  12:03            54.618 KB925720.log
05.09.2007  12:03            52.941 KB926436.log
05.09.2007  12:03            52.088 KB918118.log
05.09.2007  12:03            46.471 KB927779.log
05.09.2007  12:02            49.733 KB924667.log
05.09.2007  12:02            43.160 KB927802.log
05.09.2007  12:02            46.029 KB928843.log
05.09.2007  12:02            44.161 KB928255.log
05.09.2007  12:02            48.397 KB926255.log
05.09.2007  12:02            42.860 KB923980.log
05.09.2007  12:02            42.487 KB924270.log
05.09.2007  12:01            42.164 KB922819.log
05.09.2007  12:01            43.553 KB923191.log
05.09.2007  12:01            39.008 KB924496.log
05.09.2007  12:01            39.580 KB923414.log
05.09.2007  12:01            39.461 KB920872.log
05.09.2007  12:01            39.351 KB920685.log
05.09.2007  12:01            37.414 KB919007.log
05.09.2007  12:01            35.287 KB916595.log
05.09.2007  12:01            29.178 KB922582.log
05.09.2007  12:00            32.037 KB920683.log
05.09.2007  12:00            34.848 KB920670.log
05.09.2007  12:00            34.618 KB914388.log
05.09.2007  11:59            34.857 KB911280.log
05.09.2007  11:59            32.383 KB917953.log
05.09.2007  11:59            31.671 KB913580.log
05.09.2007  11:59            33.531 KB918439.log
05.09.2007  11:59            33.419 KB917344.log
05.09.2007  11:59            29.788 KB914389.log
05.09.2007  11:59            31.007 KB908531.log
05.09.2007  11:59            34.952 KB900485.log
05.09.2007  11:59            33.521 KB911562.log
05.09.2007  11:58            18.305 KB911564.log
05.09.2007  11:58            32.840 KB911927.log
05.09.2007  11:58            28.454 KB908519.log
05.09.2007  11:58            29.345 KB904706.log
05.09.2007  11:58            24.215 KB910437.log
05.09.2007  11:58            31.398 KB900725.log
05.09.2007  11:58            27.840 KB905749.log
05.09.2007  11:58            29.783 KB905414.log
05.09.2007  11:58            28.872 KB901017.log
05.09.2007  11:58            34.257 KB902400.log
05.09.2007  11:57            22.808 KB894391.log
05.09.2007  11:57            26.084 KB896423.log
05.09.2007  11:57            23.184 KB899587.log
05.09.2007  11:57            22.676 KB899591.log
05.09.2007  11:57            22.859 KB893756.log
05.09.2007  11:57            22.220 KB896358.log
05.09.2007  11:57            21.479 KB890859.log
05.09.2007  11:57            19.928 KB901214.log
05.09.2007  11:57            18.050 KB896428.log
05.09.2007  11:57            20.007 KB885835.log
05.09.2007  11:57            18.536 KB891781.log
05.09.2007  11:57            17.740 KB887472.log
05.09.2007  11:57            17.275 KB888302.log
05.09.2007  11:57            16.228 KB885836.log
05.09.2007  11:57            12.283 KB886185.log
05.09.2007  11:56            16.027 KB873339.log
05.09.2007  11:47             5.379 KB892130.log
05.09.2007  11:46             7.660 KB898461.log
05.09.2007  11:46             6.640 KB893803v2.log
05.09.2007  11:03                 0 nsreg.dat
05.09.2007  10:39                 0 Sti_Trace.log
05.09.2007  10:16             1.348 regopt.log
05.09.2007  10:16               231 system.ini
05.09.2007  10:15                 0 setuperr.log
05.09.2007  10:11               829 OEWABLog.txt
05.09.2007  10:11           833.715 setuplog.txt
05.09.2007  10:02             8.192 REGLOCS.OLD
05.09.2007  09:59                 0 control.ini
05.09.2007  09:59               477 win.ini
05.09.2007  09:59           316.640 WMSysPr9.prx
05.09.2007  09:59             4.161 ODBCINST.INI
05.09.2007  09:58               749 WindowsShell.Manifest
05.09.2007  09:57             1.023 sessmgr.setup.log
05.09.2007  09:56                37 vbaddin.ini
05.09.2007  09:56                36 vb.ini
05.09.2007  09:56               133 DtcInstall.log
05.09.2007  09:55               200 cmsetacl.log


 Verzeichnis von C:\WINDOWS\Prefetch

13.09.2007  17:45            21.096 LOGONUI.EXE-0AF22957.pf
13.09.2007  17:43           124.324 WINRAR.EXE-3588DFE8.pf
13.09.2007  17:41            56.848 HIJACKTHIS.EXE-01B1E757.pf
13.09.2007  17:37            99.088 FIREFOX.EXE-1D57670A.pf
13.09.2007  17:37            15.106 FLASHGOT.EXE-228C2560.pf
13.09.2007  15:58            26.424 NOTEPAD.EXE-336351A9.pf
13.09.2007  11:31            26.756 TASKMGR.EXE-20256C55.pf
13.09.2007  11:31           130.978 WMPLAYER.EXE-09969339.pf
13.09.2007  11:31            22.394 MDM.EXE-27F66238.pf
13.09.2007  11:23            25.666 TRAINSHOW.BAT-1E412BCD.pf
13.09.2007  11:21            62.584 SRO_CLIENT.EXE-3172944B.pf
13.09.2007  11:21            46.976 TBOTSRO0801.EXE-02A7966B.pf
13.09.2007  09:46            21.062 SETUP.OVR-10EB9DE2.pf
13.09.2007  09:45            79.716 AVAST.SETUP-2B043760.pf
13.09.2007  09:02            98.330 IEXPLORE.EXE-2CA9778D.pf
13.09.2007  03:35            38.002 WMIPRVSE.EXE-28F301A9.pf
13.09.2007  03:34            40.186 WUAUCLT.EXE-399A8E72.pf
12.09.2007  23:03            19.392 VERCLSID.EXE-3667BD89.pf
12.09.2007  22:58           120.304 FIREFOX.EXE-17EE503B.pf
12.09.2007  21:09            15.846 MINI_SRO.EXE-1C3AF289.pf
12.09.2007  21:06            22.856 SOPADVER.EXE-209729D9.pf
12.09.2007  21:06            73.870 SOPCAST.EXE-3675B024.pf
12.09.2007  21:06            25.208 CMD.EXE-087B4001.pf
12.09.2007  21:06            20.826 TCRACK12_4.EXE-24BA8A68.pf
12.09.2007  21:06         1.053.580 NTOSBOOT-B00DFAAD.pf
12.09.2007  21:03            33.902 TVANTS.EXE-0884D347.pf
12.09.2007  21:03            17.532 EXPLORER.EXE-082F38A9.pf
12.09.2007  20:50            63.012 WMPLAYER.EXE-0996933B.pf
12.09.2007  20:30            19.710 RUNDLL32.EXE-3FF6B77E.pf
12.09.2007  11:17            58.256 RASAUTOU.EXE-18B88A68.pf
12.09.2007  11:04            89.986 EXCEL.EXE-3AB61D88.pf
12.09.2007  11:03            13.678 RUNDLL32.EXE-451FC2C0.pf
11.09.2007  22:40            27.532 SILKROAD.EXE-07D7753E.pf
11.09.2007  22:24           113.254 MSIEXEC.EXE-2F8A8CAE.pf
11.09.2007  18:15            25.968 SILKERRSENDER.EXE-11010349.pf
11.09.2007  13:15            20.136 RUNDLL32.EXE-12E27DD0.pf
11.09.2007  11:01           387.800 Layout.ini
11.09.2007  08:47            13.108 CALC.EXE-02CD573A.pf
10.09.2007  23:10            24.952 MSOHTMED.EXE-37A06F08.pf
10.09.2007  23:04            98.286 ICQ.EXE-3425F561.pf
10.09.2007  11:30            38.322 REGSVR32.EXE-25EEFE2F.pf
10.09.2007  11:30            21.906 DLLHOST.EXE-510654BC.pf
10.09.2007  11:29            56.942 IMAPI.EXE-0BF740A4.pf
10.09.2007  11:01            18.766 SVCHOST.EXE-3530F672.pf
10.09.2007  11:01            35.570 MSI123.TMP-18ED079E.pf
10.09.2007  11:01            16.310 VS7JIT.EXE-2DFA4AB0.pf
10.09.2007  10:56            52.616 OSE00000.EXE-2E48F3E7.pf
10.09.2007  10:56            27.714 OSE.EXE-186163F5.pf
10.09.2007  10:54            19.354 SETUP.EXE-28D5DA8A.pf
10.09.2007  10:53            25.964 DAEMON.EXE-28AD7272.pf
10.09.2007  10:53            23.102 CHKUPD.EXE-0686DE4E.pf
10.09.2007  10:50            12.448 SPTDINST-X86.EXE-1B681C48.pf
10.09.2007  10:50            33.736 DAEMON410-X86.EXE-31F6E5AD.pf
09.09.2007  22:54            53.408 NMINDEXSTORESVR.EXE-1DBCF9FD.pf
09.09.2007  22:54            17.470 CTFMON.EXE-0E17969B.pf
09.09.2007  22:53            23.490 ASHDISP.EXE-0B874892.pf
09.09.2007  22:53            19.796 NMBGMONITOR.EXE-0BC10095.pf
09.09.2007  22:53             7.016 NEROCHECK.EXE-1BD71082.pf
09.09.2007  22:51            11.462 RESTARTIT.EXE-0D9FB91D.pf
09.09.2007  22:51            11.244 SC.EXE-012262AF.pf
09.09.2007  22:51            12.686 NIRCMD.EXE-3860F618.pf
09.09.2007  22:51            23.840 IPCONFIG.EXE-2395F30B.pf
09.09.2007  22:51            11.158 FINDSTR.EXE-0CA6274B.pf
09.09.2007  22:51            23.728 DUMPHIVE.EXE-11673944.pf
09.09.2007  22:51             8.356 SWREG.EXE-1FE294C3.pf
09.09.2007  22:51            11.484 FIND.EXE-0EC32F1E.pf
09.09.2007  22:50            17.844 IS-BC75Q.TMP-0542DFEA.pf
09.09.2007  22:50            15.522 FIXWAREOUT.EXE-1D64DC4A.pf
09.09.2007  22:27            15.312 REGEDIT.EXE-1B606482.pf
09.09.2007  21:50            24.620 ASHWEBSV.EXE-091EF0CF.pf
09.09.2007  21:50            21.668 ASHMAISV.EXE-24E25810.pf
09.09.2007  21:45            36.894 RUNDLL32.EXE-2576181F.pf
09.09.2007  21:22            72.826 WMPLAYER.EXE-0996933A.pf
09.09.2007  20:13            24.716 SHOWTIME.EXE-1713ECDC.pf
09.09.2007  20:07            26.758 RUNDLL32.EXE-363E2FB1.pf
09.09.2007  19:28            20.356 SPPARSER.EXE-01EF8183.pf
09.09.2007  19:00            51.564 BITSPIRIT.EXE-2F072AE5.pf
09.09.2007  14:21            23.246 RUNDLL32.EXE-4346A01F.pf
09.09.2007  02:50            23.630 RUNDLL32.EXE-4900361D.pf
09.09.2007  01:07            18.368 TMP1.EXE-2073620E.pf
09.09.2007  01:07            13.282 CODEC-FUN4158.EXE-1A8E0F1E.pf
09.09.2007  01:07            10.234 TMP2.EXE-19582C32.pf
09.09.2007  01:07             5.380 NS6C.TMP-1C52F827.pf
09.09.2007  01:07             6.200 CHECK.EXE-2DA4B57A.pf
08.09.2007  16:51            19.084 RUNDLL32.EXE-47F56481.pf
08.09.2007  16:45            19.226 RUNDLL32.EXE-2CB5E615.pf
08.09.2007  16:44             5.790 TVANTSSETUP59.EXE-1820D619.pf
08.09.2007  16:44            14.124 GLB52.TMP-0D6F6852.pf
08.09.2007  16:44            15.022 GLJ54.TMP-04543C5A.pf
08.09.2007  16:44            37.914 SETUP-SOPCAST-1.1.2-2007-04-2-07760BD7.pf
08.09.2007  16:28            21.216 ICQUPDATER.EXE-31BDD315.pf
08.09.2007  15:38            15.986 RUNDLL32.EXE-25C40596.pf
08.09.2007  00:16           102.796 TBOTSRO0801.EXE-215AE7C8.pf
07.09.2007  23:44            61.228 NERO.EXE-2031B565.pf
07.09.2007  23:43            11.828 NMFIRSTSTART.EXE-115B5C51.pf
07.09.2007  23:43            11.114 NERODELTMP.EXE-370BEB11.pf
07.09.2007  23:43            15.524 NBSERVICE.EXE-00252459.pf
07.09.2007  23:43             8.670 NEROREMOTECTRLHANDLER.EXE-20176ACF.pf
07.09.2007  23:43            30.616 NEROVISION.EXE-0D954CB8.pf
07.09.2007  23:36            19.802 SHFOLDER.EXE-22C5EA4B.pf
07.09.2007  23:34            55.756 SETUPX.EXE-059AF2A2.pf
07.09.2007  23:34            11.872 NERO_Y.EXE-1AB5B3B4.pf
07.09.2007  23:34             6.218 YCOMP_SETUP_NERO.EXE-102178A5.pf
07.09.2007  23:34            12.960 GLBD.TMP-347B4FAB.pf
07.09.2007  23:33            55.770 NERO7232B_DE.EXE-1BE6F635.pf
07.09.2007  11:31            46.116 MSHTA.EXE-331DF029.pf
07.09.2007  11:31            14.776 RUNDLL32.EXE-19F507BE.pf
07.09.2007  10:56            17.774 RUNDLL32.EXE-34CA3F70.pf
07.09.2007  10:43            20.638 AVAST.SETUP-217C1889.pf
07.09.2007  10:43            52.710 AVAST!HOMEEDITION4.7.1043.EXE-154394F0.pf
07.09.2007  10:43            35.758 HELPSVC.EXE-2878DDA2.pf
07.09.2007  10:43            21.630 RUNDLL32.EXE-2713D42E.pf
07.09.2007  10:43            59.862 HELPCTR.EXE-3862B6F5.pf
07.09.2007  10:43            18.460 MSINFO32.EXE-20B2F2A1.pf
07.09.2007  10:41            15.662 AVAST.SETUP-0897EED6.pf
07.09.2007  10:41            15.258 AVAST.SETUP-1AB8CF70.pf
07.09.2007  08:34            14.456 RUNDLL32.EXE-2C7FC071.pf
07.09.2007  08:31            28.968 RUNDLL32.EXE-164D631A.pf
07.09.2007  08:31            53.712 RUNDLL32.EXE-1BC55A4F.pf
07.09.2007  06:31            47.902 MSCORSVW.EXE-1BF30400.pf
06.09.2007  23:34            47.254 TBOTSRO0906.EXE-0C3BA275.pf
06.09.2007  23:23           220.940 DWWIN.EXE-30875ADC.pf
06.09.2007  23:23            20.750 T-BOT AUTOPUZZLER.EXE-2D203487.pf
06.09.2007  23:23            26.470 DRWTSN32.EXE-2B4B52AC.pf
06.09.2007  23:23            41.524 TBOTSRO0905.EXE-01A50C72.pf
06.09.2007  23:12            29.320 KONFIGURATOR.EXE-109445A7.pf
06.09.2007  23:03            15.472 NGEN.EXE-38021CCC.pf
06.09.2007  23:03            51.956 MOFCOMP.EXE-01718E95.pf
06.09.2007  23:01            29.394 LODCTR.EXE-1009C3B4.pf
06.09.2007  23:00            11.518 REGTLIBV12.EXE-0E2FA54B.pf


 Verzeichnis von C:\WINDOWS\tasks

13.09.2007  17:46                 6 SA.DAT


 Verzeichnis von C:\WINDOWS\temp

13.09.2007  17:46            16.384 Perflib_Perfdata_73c.dat
12.09.2007  21:04            16.384 Perflib_Perfdata_72c.dat
11.09.2007  22:17            16.384 Perflib_Perfdata_714.dat
11.09.2007  10:03            16.384 Perflib_Perfdata_694.dat
10.09.2007  10:51            16.384 Perflib_Perfdata_720.dat
09.09.2007  22:52            16.384 Perflib_Perfdata_6d8.dat
09.09.2007  15:23            16.384 Perflib_Perfdata_690.dat
08.09.2007  00:17            16.384 Perflib_Perfdata_6bc.dat
05.09.2007  10:59            16.384 Perflib_Perfdata_540.dat
04.09.2007  18:17         1.624.735 Musik.mp3
04.09.2007  01:53            68.434 Autopuzzler.bmp
02.09.2007  22:22            68.434 Konfigurator.bmp


 Verzeichnis von C:\DOKUME~1\cccp3er\LOKALE~1\Temp

13.09.2007  17:46           116.636 filelist.txt
12.09.2007  21:09             1.032 jusched.log
12.09.2007  21:06            20.409 sop_ad.jpg
12.09.2007  11:04           196.608 ~DF74FD.tmp
12.09.2007  11:04           196.608 ~DF73DD.tmp
11.09.2007  22:25           143.360 secuniasi17236.dll
11.09.2007  22:25               708 java_install_reg.log
11.09.2007  22:25             1.160 jinstall.cfg
11.09.2007  22:25                 0 java_install.log
11.09.2007  22:25           158.208 7227b.mst
11.09.2007  22:25           108.032 7227a.mst
11.09.2007  17:45                 0 lva8E.tmp
10.09.2007  11:09           123.811 SetupExe(20070910105438468).log
09.09.2007  23:02            16.384 ~DF6BB0.tmp
09.09.2007  01:07            65.536 ~DF2878.tmp
06.09.2007  23:04           760.762 dd_dotnetfx3install.txt
06.09.2007  23:04           302.752 uxeventlog.txt
06.09.2007  23:03           431.036 dd_dotnetfx3lpinstall.txt
06.09.2007  23:03         1.408.650 dd_depcheckdotnetfx30.txt
06.09.2007  23:03           627.144 dd_netfx_retMSI_langpack092F.txt
06.09.2007  23:03           118.136 dd_WF_Langpack_x86_msi0928.txt
06.09.2007  23:03           272.646 dd_wcf_langpack_msi090B.txt
06.09.2007  23:03           231.972 dd_wpf_langpack_msi08F7.txt
06.09.2007  23:02           186.866 dd_WF_3.0_x86retMSI08A9.txt
06.09.2007  23:02           446.248 dd_wpf_retMSI0833.txt
06.09.2007  23:01           590.100 dd_wcf_retMSI07C8.txt
06.09.2007  23:01             6.251 dd_wcf_retCA1849.txt
06.09.2007  23:01         5.282.720 dd_netfx_retMSI06A5.txt
06.09.2007  23:00             5.012 ASPNETSetup_00004.log
06.09.2007  22:59             9.646 dd_WIC.txt
06.09.2007  22:59           134.154 dd_rgb_retMSI0684.txt
06.09.2007  17:54            16.384 ~DF6296.tmp
05.09.2007  19:15            49.152 ~DFE50E.tmp
05.09.2007  12:28             5.012 ASPNETSetup_00003.log
05.09.2007  12:02             5.012 ASPNETSetup_00002.log
05.09.2007  12:00             5.012 ASPNETSetup_00001.log
05.09.2007  11:26           812.052 dd_netfx_retMSI_langpack2555.txt
05.09.2007  11:25            46.521 dd_XPS_langpack.txt
05.09.2007  11:25           133.110 dd_WF_Langpack_x86_msi252E.txt
05.09.2007  11:25           296.926 dd_wcf_langpack_msi2521.txt
05.09.2007  11:25           297.600 dd_wpf_langpack_msi2514.txt
05.09.2007  11:24           242.906 dd_WF_3.0_x86retMSI23DA.txt
05.09.2007  11:23           745.078 dd_wpf_retMSI1F9B.txt
05.09.2007  11:18           773.886 dd_wcf_retMSI1F56.txt
05.09.2007  11:18             5.132 dd_wcf_retCA3825.txt
05.09.2007  11:18            45.812 dd_XPS.txt
05.09.2007  11:17         4.676.796 dd_netfx_retMSI1D25.txt
05.09.2007  11:15             4.562 ASPNETSetup_00000.log
05.09.2007  11:14           378.020 dd_msxml_retMSI1CD3.txt
05.09.2007  11:14           135.840 dd_rgb_retMSI1CD0.txt
05.09.2007  11:12            16.384 ~DF2110.tmp

[cccp]

keiner ne ahnung?

*edit*
achja F-Secure Blacklight hatte nichts gefunden...

[argos]

hi

wir sitzen nicht Tag und Nacht vor dem Computer -->An alle Ratsuchenden

1. Lade dir dieses Tool -> fixwareout von subtratam, oder von fixwareout von bleepingcomputer.com herunter

Speichere es auf deinem Desktop. Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"

klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu aufzustarten (reboot), mach das bitte.

Dein System wird länger dazu brauchen als sonst, das ist normal.


2. Fixe nun mit HijackThis folgende Einträge im Logfile:[/b]

O17 - HKLM\System\CCS\Services\Tcpip\..\{992BA640-575F-4006-BF56-B66F3F686125}: NameServer = 85.255.116.34 85.255.112.139

Achtung:

Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

ein neues HJT-Logfile bitte posten

[cccp]

vielen dank, hat wunderbar geklappt. der virus ist weg. von genau diesem tool hab ich oben gesprochen. hatte es nur nicht mehr wieder gefunden...

danke nochmal an euch beide, klasse arbeit hier. nur weiter zu empfehlen, was ich auch schon oft genug gemacht habe

[argos]

hi

OK, aber dein System ist noch nicht sauber und eine Frage leider bleibt noch unbeantwortet:

von unser Kollege [GC]Sunny: Kennst du diese Programme welche im Hijacklog ersichtlich sind?

Code:

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\Tcrack 12_4\tcrack12_4.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\mini_sro.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\T_Bot 0801 (Mit Scripts)\TbotSRo0801\TbotSRo0801.exe

Datei-Kontrolle
Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen:

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\Tcrack 12_4\tcrack12_4.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\mini_sro.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\T_Bot 0801 (Mit Scripts)\TbotSRo0801\TbotSRo0801.exe

Lass diese datei(en) bei virustotal überprüfen , wenn das ergebnis vorliegt, den kleinen button "filter" drücken, dann das ergebnis ( egal wie es aussieht, mittels copy&paste mit inklusive Dateigröße und Name, MD5 und SHA1 hier posten Beispiel):
alternativ kannst du diese datei(en) auch bei virscan.org scannen lassen:

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\Tcrack 12_4\tcrack12_4.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\mini_sro.exe

C:\Dokumente und Einstellungen\cccp3er\Desktop\T-Bot mit allem Drum und Drann\T_Bot 0801 (Mit Scripts)\TbotSRo0801\TbotSRo0801.exe

[cccp]

wie gesagt, das sind programme die zu dem spiel silkroad gehören
einmal der bot, dann der crack für den bot und ein tool das das spiel minimiert...

[argos]

1. kannst Du diese Dateien bitte bei virustotal oder virscan.org prüfen lassen?

2.

Zitat von Karl83
Hier sind einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner fsbl.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Scanner wieder einschalten, bevor Du ins Netz gehst!


Nun alle Logs posten.