Trojaner TR/Qhost.PH lässt sich nicht entfernen.

#0
29.10.2007, 09:13
Member

Beiträge: 104
#1 Hallo Leute,
Ich hab folgendes Problem.
Ich hab seit ner weile den Trojaner TR/Qhost.PH auf meinem Lappi und bekomme den einfach net weg.Hab schon verschiedene Programme probiert um den zu entfernen wie z.B Antivir , Kaspersky , Spybot ,Norton...Antivir findet den zwar aber kann den nicht entfernen.Der TR befindet sich im Windows ordner ( C:/WINDOWS/system32/sulimo.dat)

Kann mir da jemand helfen????

Dqanke im Vorraus.
Seitenanfang Seitenende
29.10.2007, 10:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Hier faengt es an http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
29.10.2007, 11:56
Member

Themenstarter

Beiträge: 104
#3 hier der Combofix report:


ComboFix 07-10-29.1 - Besitzer 2007-10-29 11:34:12.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\4_exception.nls
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\sulimo.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\runtime


((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-29 ))))))))))))))))))))))))))))))
.

2007-10-29 11:32 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-29 11:28 20,992 --a------ C:\WINDOWS\daedae.exe
2007-10-29 11:28 16,384 --a------ C:\WINDOWS\xlavba6.exe
2007-10-24 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-23 19:09 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-29 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-10-29 10:25 --------- d-----w C:\Programme\MDT6
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2002-09-04 09:26 62,264 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-09-19 14:35]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 15:51]
"SigmaTel StacMon"="C:\Programme\SigmaTel\C-Major Audio\stacmon.exe" [2003-03-26 18:19]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 16:46 C:\WINDOWS\system32\ico.exe]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 10:29]
"HKSERV.EXE"="C:\Programme\Sony\HotKey Utility\HKserv.exe" [2003-08-14 10:00]
"MaxtorOneTouch"="C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe" [2003-05-21 14:30]
"MXO Auto Loader"="C:\WINDOWS\MXOALDR.EXE" [2003-04-07 17:09]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-01-13 15:30]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 12:42]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 18:51]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 17:37]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-03-22 14:23 C:\WINDOWS\KHALMNPR.Exe]
"CONNECTScheduler"="C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" [2005-10-12 03:29]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2002-09-11 13:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-10-02 15:22]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2005-07-08 16:56]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-07-30 02:52:00]
CONNECTAUTrayApp.lnk - C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe [2005-10-14 02:18:13]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-10-02 15:22:22]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\kem.exe [2004-10-02 15:21:34]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04]
PowerPanel.lnk - C:\Programme\powerpanel\Program\PcfMgr.exe [2003-11-18 14:22:47]

R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys
R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command - E:\autorun.exe
readit\command - notepad readme.doc

.
**************************************************************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-29 11:53:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-29 11:54:33 - machine was rebooted
.
--- E O F ---



HIJACK LOG:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:59:28, on 29.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\GMR\GMRMan.exe
C:\Programme\powerpanel\Program\PcfMgr.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\sony\CONNECTAutoUpdate\CONNECTAutoUpdate.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {07041BB2-F22C-413C-9597-622D474EE889} (DLCFRAME (version 1,2,4,25)) - http://service.wuerth.de/duebeltechnik/DLCFrame.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184525456312
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1184525432015
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{7900459A-10CE-4A1D-9B4B-89EEE8A78C14}: NameServer = 192.168.100.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Programme\sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

--
End of file - 11735 bytes


DATFIND:



29.10.2007 09:19 427.790 perfh009.dat
29.10.2007 09:19 66.574 perfc009.dat
29.10.2007 09:19 443.014 perfh007.dat
29.10.2007 09:19 78.558 perfc007.dat
29.10.2007 09:19 1.028.816 PerfStringBackup.INI
29.10.2007 09:06 1.158 wpa.dbl
23.10.2007 19:26 249.936 TZLog.log
27.09.2007 21:19 18.089.592 MRT.exe
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 13.824 ieudinit.exe
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 08:34 161.792 ieakui.dll
30.07.2007 18:20 30.040 wuaucpl.cpl.mui
30.07.2007 18:20 30.040 wuapi.dll.mui
30.07.2007 18:19 1.712.984 wuaueng.dll
30.07.2007 18:19 549.720 wuapi.dll
30.07.2007 18:19 325.976 wucltui.dll
30.07.2007 18:19 216.408 wuaucpl.cpl
30.07.2007 18:19 203.096 wuweb.dll
30.07.2007 18:19 92.504 cdm.dll
30.07.2007 18:19 53.080 wuauclt.exe
30.07.2007 18:19 43.352 wups2.dll
30.07.2007 18:19 271.224 mucltui.dll
30.07.2007 18:19 207.736 muweb.dll
30.07.2007 18:18 34.136 wucltui.dll.mui
30.07.2007 18:18 30.072 mucltui.dll.mui
30.07.2007 18:18 33.624 wups.dll
30.07.2007 18:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
18.07.2007 13:42 60.416 tzchange.exe
15.07.2007 20:38 236.760 FNTCACHE.DAT
15.07.2007 20:06 23.392 nscompat.tlb
15.07.2007 20:06 16.832 amcompat.tlb
09.07.2007 14:16 582.656 rpcrt4.dll


Also der Antivir meldet andauernt den Trojaner und blockiert damit ständig alle andern funktionen.Ich bin nur die fenster vom antivir am zuklicken.

Der TR befindet sich in C:/WINDOWS/system32/sulimo.dat
Dieser Beitrag wurde am 29.10.2007 um 12:08 Uhr von Dasmo editiert.
Seitenanfang Seitenende
29.10.2007, 12:10
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\daedae.exe
C:\WINDOWS\xlavba6.exe


Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus
Seitenanfang Seitenende
29.10.2007, 12:39
Member

Themenstarter

Beiträge: 104
#5 und dann??? der hat da 4 sachen gefunden.
Seitenanfang Seitenende
29.10.2007, 12:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Am Ende das ergebnis hier rein kopieren
__________
MfG Argus
Seitenanfang Seitenende
29.10.2007, 12:42
Member

Themenstarter

Beiträge: 104
#7 Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.27.0 2007.10.29 -
AntiVir 7.6.0.30 2007.10.29 HEUR/Malware
Authentium 4.93.8 2007.10.28 -
Avast 4.7.1074.0 2007.10.28 -
AVG 7.5.0.503 2007.10.28 -
BitDefender 7.2 2007.10.29 -
CAT-QuickHeal 9.00 2007.10.26 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.10.29 -
DrWeb 4.44.0.09170 2007.10.29 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5250 2007.10.29 -
Ewido 4.0 2007.10.28 -
FileAdvisor 1 2007.10.29 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.29 -
F-Secure 6.70.13030.0 2007.10.29 -
Ikarus T3.1.1.12 2007.10.29 -
Kaspersky 7.0.0.125 2007.10.29 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.29 -
NOD32v2 2622 2007.10.28 -
Norman 5.80.02 2007.10.26 -
Panda 9.0.0.4 2007.10.28 Suspicious file
Prevx1 V2 2007.10.29 -
Rising 19.47.02.00 2007.10.29 -
Sophos 4.23.0 2007.10.29 -
Sunbelt 2.2.907.0 2007.10.27 -
Symantec 10 2007.10.29 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.28 -
Webwasher-Gateway 6.6.1 2007.10.29 Heuristic.Malware


Die daedae.exe nimmt der nicht an
Seitenanfang Seitenende
29.10.2007, 12:47
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 cfscript.txt

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\daedae.exe
C:\WINDOWS\xlavba6.exe


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus
Seitenanfang Seitenende
29.10.2007, 12:50
Member

Themenstarter

Beiträge: 104
#9 mit folgenden text meinst du was genau??

meinst du das hier?
file::
C:\WINDOWS\daedae.exe
C:\WINDOWS\xlavba6.exe
Seitenanfang Seitenende
29.10.2007, 12:53
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Du kopierst das ganze total

file::
C:\WINDOWS\daedae.exe
C:\WINDOWS\xlavba6.exe
__________
MfG Argus
Seitenanfang Seitenende
29.10.2007, 13:01
Member

Themenstarter

Beiträge: 104
#11 ComboFix 07-10-29.1 - Besitzer 2007-10-29 12:57:46.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\WINDOWS\daedae.exe
C:\WINDOWS\xlavba6.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\daedae.exe
C:\WINDOWS\xlavba6.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-29 ))))))))))))))))))))))))))))))
.

2007-10-29 11:32 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-24 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-23 19:09 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-29 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-10-29 10:25 --------- d-----w C:\Programme\MDT6
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2002-09-04 09:26 62,264 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-09-19 14:35]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 15:51]
"SigmaTel StacMon"="C:\Programme\SigmaTel\C-Major Audio\stacmon.exe" [2003-03-26 18:19]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 16:46 C:\WINDOWS\system32\ico.exe]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 10:29]
"HKSERV.EXE"="C:\Programme\Sony\HotKey Utility\HKserv.exe" [2003-08-14 10:00]
"MaxtorOneTouch"="C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe" [2003-05-21 14:30]
"MXO Auto Loader"="C:\WINDOWS\MXOALDR.EXE" [2003-04-07 17:09]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-01-13 15:30]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 12:42]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 18:51]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 17:37]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-03-22 14:23 C:\WINDOWS\KHALMNPR.Exe]
"CONNECTScheduler"="C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" [2005-10-12 03:29]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2002-09-11 13:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-10-02 15:22]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2005-07-08 16:56]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-07-30 02:52:00]
CONNECTAUTrayApp.lnk - C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe [2005-10-14 02:18:13]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-10-02 15:22:22]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\kem.exe [2004-10-02 15:21:34]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04]
PowerPanel.lnk - C:\Programme\powerpanel\Program\PcfMgr.exe [2003-11-18 14:22:47]

R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys
R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command - E:\autorun.exe
readit\command - notepad readme.doc

.
**************************************************************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-29 13:00:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-29 13:01:08
C:\ComboFix2.txt ... 2007-10-29 11:54
.
--- E O F ---
Seitenanfang Seitenende
29.10.2007, 13:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Entferne auf C:\ Qoobox-->Papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Antivir
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm

JAVA
Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe

Entferne CombiFix bitte von dein Rechner
Start > Ausführen>Kopiere rein ComboFix /u OK
__________
MfG Argus
Seitenanfang Seitenende
29.10.2007, 13:46
Member

Themenstarter

Beiträge: 104
#13 so alles erledigt.und jetzt?
Seitenanfang Seitenende
29.10.2007, 14:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Auf jeden fall ist C:/WINDOWS/system32/sulimo.dat weg!
__________
MfG Argus
Seitenanfang Seitenende
29.10.2007, 16:16
Member

Themenstarter

Beiträge: 104
#15 Jo schonmal vielen vielen dank.Werd jetzt nochmal den antivir durchjagen um zu schaun ob der noch was findet.Aber wenn die sulimo weg ist dürfte der ja nix finden.Nochmal vielen dank.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »