Home » Viren, Trojaner & Malware Forum » hartnäckiger Trojaner W32/Stration-AE » Themenansicht

hartnäckiger Trojaner W32/Stration-AE
#0
11.06.2007, 22:44
robbi33
...neu hier

Beiträge: 5
#1 Hallo zusammen!

Hab seit kurzem folgendes Problem auf meinem Rechner mit WinXP:

Beim Scan mit Avira AntiVir findet er immer die Trojaner
1- W32/Stration-AE ( e1.dll )
2- tr/dldr.conHook.gen ( fgnafgn.dll )
- und noch weitere...

Die Nr. 2 lässt sich weder mit Antivir, Unlocker, Killbox löschen!
fgnafgn.dll ist laut Antivir mit folgenden Prozessen verbunden:
csrss.exe
winlogon.exe
Wenn ich jetzt versuche diese zu löschen, startet der PC neu.

Den Registry-Eintrag [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" konnte ich entfernen

Habe auch schon die Systemwiederherstellung ausgeschaltet und obige Scans im abgesicherten Modus ausgeführt.
Er löscht dann alle, bis auf fgnafgn.dll.
Beim Neustart und dann im Normalmodus, schmeisst mir Antivir sofort wieder sämtliche Warnungen an den Kopp, sprich e1.dll , fgnafgn.dll , ip6(und noch was dahinter).dll

Ich weiss momentan einfach nicht weiter

Hier mal mein Scan:

Code

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:07:37, on 11.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\kxmixer.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\def.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Dokumente und Einstellungen\Gerard\Eigene Dateien\HJThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sat1.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SE/1?http://toolbar.msn.de/installsuccess.aspx&&FORM=TOOLBR&DI=3021&CM=MsgrInstall
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {68B954B4-078A-42FB-A6A8-FA1F42AC0BC1} - c:\windows\system32\fgnafgn.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {D748ADC2-E2C7-4D7B-84B4-9E6FB0DAA3D9} - c:\windows\system32\hzaywjyb.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [xxndiag] C:\WINDOWS\tgt86.exe
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe
O4 - HKLM\..\Run: [sscvsr.exe] C:\WINDOWS\system32\sscvsr.exe -s
O4 - HKLM\..\Run: [asf] C:\WINDOWS\asf32.exe s
O4 - HKLM\..\Run: [svcsr.exe] C:\WINDOWS\svcsr.exe -s
O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\system32\svct_32.exe
O4 - HKLM\..\Run: [def] C:\WINDOWS\def.exe s
O4 - HKLM\..\Run: [msrvc.exe] C:\WINDOWS\system32\msrvc.exe -s
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Update] C:\Programme\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O12 - Plugin for .html: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.hyves.de/cab/ImageUploader3.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\system32\ccfgcscd.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: wgvlxfkx - C:\WINDOWS\SYSTEM32\fgnafgn.dll
O20 - Winlogon Notify: zxcmgr - zxcmgr32.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 10132 bytes


Danke im Voraus
Seitenanfang Seitenende
12.06.2007, 11:28
raman
Moderator

Beiträge: 7805
#2 Fuehre bitte die Punkte 1-3 von diesem Thread aus: http://board.protecus.de/t23188-lastpage.htm

Dann stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm und scanne den PC im abgesicherten Modus. Alle Funde bitte umbenennen oder in Quarantäne verschieben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.06.2007, 12:58
robbi33
...neu hier

Themenstarter

Beiträge: 5
#3 Hi Danke!

!!Der Combofix-Log befindet sich im Anhang, da er doch sehr lang ist!!

HijackThis Log-File
Logfile of HijackThis v1.99.1
Scan saved at 12:49, on 2007-06-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Dokumente und Einstellungen\Gerard\Desktop\hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sat1.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SE/1?http://toolbar.msn.de/installsuccess.aspx&&FORM=TOOLBR&DI=3021&CM=MsgrInstall
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {D748ADC2-E2C7-4D7B-84B4-9E6FB0DAA3D9} - c:\windows\system32\hzaywjyb.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O12 - Plugin for .html: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.hyves.de/cab/ImageUploader3.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\system32\ccfgcscd.dll (file missing)
O20 - Winlogon Notify: zxcmgr - zxcmgr32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe


...un hier von der datfindbat
Verzeichnis von C:\WINDOWS\system32

2007-06-12 11:21 8,328 eInstall.dat
2007-06-11 22:55 2,544 settings.aaw
2007-06-11 22:55 1,232 history.aaw
2007-06-10 21:07 20,819 FFASTLOG.TXT
2007-06-09 13:15 684,567 libeay32.dll
2007-06-09 13:15 147,729 libssl32.dll
2007-06-08 17:27 4 klve.gfx
2007-06-08 17:17 4 lodc30.abi
2007-06-08 17:11 440 lodc30.adf
2007-06-08 16:14 2,244 lodc30.ab
2007-06-08 16:13 660 lodc30.mb
2007-06-08 15:43 16 lodc30.tlt
2007-06-08 15:43 4 lodc30.tli
2007-06-08 15:43 457 lodc30.tld
2007-06-08 13:08 22 uiqsmx.dll
2007-06-08 11:46 854 spmsmtsmxpfx.dll
2007-06-08 11:46 854 smtsmxpfx.dll
2007-06-08 11:46 8,704 sporder.dll
2007-06-07 13:26 2,206 wpa.dbl
2007-06-06 15:17 45,056 mx9pw56.exe
2007-06-05 21:17 4 mkdlvcv.fxs
2007-06-05 20:54 16 odfwbc16.tlt
2007-06-05 10:22 4 ccfgcscd.dat
2007-05-31 10:47 45,056 ero37s.exe
2007-05-31 09:29 12,468 service32.exe
2007-05-24 11:43 45,056 hnlo61.exe
2007-05-23 18:23 4 mklvcv.gfx
2007-05-23 17:59 16 owbc11.tlt
2007-05-18 18:13 222 sysmwbt.exe7.exe
2007-05-15 10:17 428,424 dfg32.tmp
2007-04-19 19:37 1,044,480 contfilt.dll
2007-04-17 16:21 356,352 mwtsp.dll
2007-04-17 16:18 126,976 mwnsp.dll
2007-04-13 15:19 7,680 lsdelete.exe
2007-04-12 22:55 4,699 MRT.INI
2007-04-12 20:15 121,080 MSForms.TWD
2007-04-04 09:29 154,768 FNTCACHE.DAT
2007-04-03 22:48 13,511,640 MRT.exe
2007-04-02 14:21 428,032 swreg.exe
2007-03-25 13:00 380,486 perfh009.dat
2007-03-25 13:00 52,900 perfc009.dat
2007-03-25 13:00 391,330 perfh007.dat
2007-03-25 13:00 63,778 perfc007.dat
2007-03-25 13:00 897,954 PerfStringBackup.INI
2007-03-17 15:44 293,376 winsrv.dll
2007-03-09 12:24 123,392 xpsp3res.dll
2007-03-08 17:36 40,960 mf3216.dll
2007-03-08 17:36 281,600 gdi32.dll
2007-03-08 17:36 579,072 user32.dll
2007-03-08 17:32 1,843,712 win32k.sys
2007-03-01 14:10 9,857 jupdate-1.5.0_11-b03.log

Anhang: ComboFix.txt
Seitenanfang Seitenende
12.06.2007, 21:33
raman
Moderator

Beiträge: 7805
#4 Diese Dateien solltest du einer genaueren Pruefung unterziehen.

Aus dem Ordner System32:

2007-06-06 15:17 45,056 mx9pw56.exe
2007-06-05 21:17 4 mkdlvcv.fxs
2007-06-05 20:54 16 odfwbc16.tlt
2007-06-05 10:22 4 ccfgcscd.dat
2007-05-31 10:47 45,056 ero37s.exe
2007-05-31 09:29 12,468 service32.exe
2007-05-24 11:43 45,056 hnlo61.exe
2007-05-23 18:23 4 mklvcv.gfx
2007-05-23 17:59 16 owbc11.tlt
2007-05-18 18:13 222 sysmwbt.exe7.exe
2007-05-15 10:17 428,424 dfg32.tmp

und

2007-06-06 15:08 16 --a------ C:\WINDOWS\def.dat
2007-06-06 15:08 154,758 --a------ C:\WINDOWS\def.exe
2007-06-03 17:01 0 --a------ C:\WINDOWS\hjpgtk.dll
2007-05-31 10:47 45,056 --ah----- C:\WINDOWS\system32\ero37s.exe
2007-05-31 10:38 16 --a------ C:\WINDOWS\asf.dat
2007-05-31 10:38 133,583 --a------ C:\WINDOWS\asf.exe
2007-05-31 09:28 12,468 --a------ C:\WINDOWS\system32\service32.exe
2007-05-24 16:24 16 --a------ C:\WINDOWS\hfs.dat
2007-05-24 11:43 45,056 --ah----- C:\WINDOWS\system32\hnlo61.exe
2007-05-18 18:13 222 --a------ C:\WINDOWS\system32\sysmwbt.exe7.exe
2007-05-18 14:12 16 --a------ C:\WINDOWS\fdd.dat
2007-05-17 17:36 0 --a------ C:\WINDOWS\pc3hid.exe
2007-05-17 17:35 0 --a------ C:\WINDOWS\ogx5r1bglo.dat
2007-04-24 09:04:26 3,142,236 ----a-w C:\WINDOWS\ftxlke.pif
2007-04-16 14:49:30 0 ----a-w C:\WINDOWS\cdi1okj.dll
2007-04-14 19:49:49 97,987 ----a-w C:\WINDOWS\tife32.exe
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-04-11 11:20:55 0 ----a-w C:\WINDOWS\tcsrahrk2.reg
2007-03-29 20:23:06 0 ----a-w C:\WINDOWS\x0h7bh.reg

Im Zweifelsfalle alle diese Dateien verschieben, packen und an virus@protecus.de schicken.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.06.2007, 00:28
robbi33
...neu hier

Themenstarter

Beiträge: 5
#5 Hi!
Danke das du mal nen Blick draufgeworfen hast!

Folgende Dateien konnte ich als Virus enttarnen und löschen:

- mx9pw56.exe
- hnlo61.exe

Beide vom Typ Stration/Gen@mm

Die anderen habe ich zu einer .7z-Datei gepackt und an die o.a. mail-adresse verschickt.

Vielen Dank im Voraus für die Mühe
Seitenanfang Seitenende
13.06.2007, 05:49
raman
Moderator

Beiträge: 7805
#6 Es fehlen noch diese(teilweise)

2007-06-06 15:08 16 --a------ C:\WINDOWS\def.dat
2007-06-06 15:08 154,758 --a------ C:\WINDOWS\def.exe
2007-06-03 17:01 0 --a------ C:\WINDOWS\hjpgtk.dll
2007-05-31 10:47 45,056 --ah----- C:\WINDOWS\system32\ero37s.exe
2007-05-31 10:38 16 --a------ C:\WINDOWS\asf.dat
2007-05-31 10:38 133,583 --a------ C:\WINDOWS\asf.exe
2007-05-31 09:28 12,468 --a------ C:\WINDOWS\system32\service32.exe
2007-05-24 16:24 16 --a------ C:\WINDOWS\hfs.dat
2007-05-24 11:43 45,056 --ah----- C:\WINDOWS\system32\hnlo61.exe
2007-05-18 18:13 222 --a------ C:\WINDOWS\system32\sysmwbt.exe7.exe
2007-05-18 14:12 16 --a------ C:\WINDOWS\fdd.dat
2007-05-17 17:36 0 --a------ C:\WINDOWS\pc3hid.exe
2007-05-17 17:35 0 --a------ C:\WINDOWS\ogx5r1bglo.dat
2007-04-24 09:04:26 3,142,236 ----a-w C:\WINDOWS\ftxlke.pif
2007-04-16 14:49:30 0 ----a-w C:\WINDOWS\cdi1okj.dll
2007-04-14 19:49:49 97,987 ----a-w C:\WINDOWS\tife32.exe
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-04-11 11:20:55 0 ----a-w C:\WINDOWS\tcsrahrk2.reg
2007-03-29 20:23:06 0 ----a-w C:\WINDOWS\x0h7bh.reg:
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.06.2007, 12:15
robbi33
...neu hier

Themenstarter

Beiträge: 5
#7 Hi

habe jetzt alle o.a. Dateien nochmal versendet.
Diesmal gepackt im ZIP-Format
Komisch das da soviele dateien fehlen, hatte eigentlich alle reingepackt und auch nochmal kontrolliert...?

Die dateien die im jetzigen PAckage nicht vorhanden sind z.B. hnlo61.exe habe ich gstern nacht noch gelöscht, nach einem Scan mit NOD32.


Vielen Dank
Seitenanfang Seitenende
13.06.2007, 12:20
raman
Moderator

Beiträge: 7805
#8 Du kannst die Dateien auf jeden Fall loeschen. Sehr sonderbare Dateien darunter. Umbenanntes ICQ use. Viele Dateien mit Groesse Null( Kann man ja auch sehen) da ist eine asf.exe teste diese bitte einmal bei Jotti Virustotal
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.06.2007, 14:23
robbi33
...neu hier

Themenstarter

Beiträge: 5
#9 Ok, vielen Dank für deine Hilfe!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1