TR/Vundo.gen infiziert?!

#0
17.12.2007, 12:25
...neu hier

Beiträge: 3
#1 Ich Beschreibe Mein Problem mal zuerst.
Also, ich hab mir ich glaub am 13.12.07 wohl den Trojaner Vundo.gen eingefangen. zu mindestens hat das mein Antivir gesagt.
Ich hatte mehrere infizierte Dateien, unter anderem "yayaxvvs.dll" , "mlljg.dll" und .exe mit dem Namen "DDC.exe" und "bhqhdetk.exe"

Habe im Netzt die Programme "VundoFix" und "Spybot search & Destroy" gefunden und ausgeführt, damit konnte ich jedoch nur ein teil der infizierten Dateien (die .exe) löschen.

----Auszug aus dem Report------
Virtumonde:[SBI$47E741CD]Einstellungen(Registrierungsdatenbank-Schlüssel,fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws

Virtumonde.ddc: [SBI $6DAC5CA3] Ausführbare Datei (Datei, fixed)
C:\WINDOWS\system32\bhqhdetk.exe
----ENDE-----

Habe dann das Programm "VirtumondoBeGone" benutzt und das hat die "yayaxvvs.dll" in "yayaxvvs.dll.vir" umgeschrieben so das ich diese Datei löschen könnte. (Keine logs mehr vorhanden)
Ich hatte soweit alles gelöscht bis auf die "mlljg.dll" nach dem ich euer Forum gefunden hatte und ich mich entschlossen hatte hier mein Problem zu Posten habe ich die Beschriebenen Vorbereitungen durchgeführt. und Wollte die Logs posten und da viel mir auf, das nach dem combofix-scan mein Anivir keine befallene .dll mehr finden kann.

[i]EDIT: hier noch der catchmelog von combofix (gerade gefunden ;)
file zipped: C:\WINDOWS\system32\mlljg.dll -> catchme.zip -> mlljg.dll ( 335968 bytes )
PE file "C:\WINDOWS\system32\mlljg.dll" killed successfully
[/i]

Nachdem ich noch einen Systemscan mit antivir gemacht habe wurde noch eine "virtumondeddc.zipp" gefunden die ich mit Antivir unter Quarantäne stellen konnte. Hatte nochmal den Pfad dieser Datei verfolgt und festgestellt das es der Recovery-Ordner von Spybot war ;). Diese Datei habe ich dann auch gelöscht.
Ich habe im Moment keine Erkennbaren Probleme!

Nach dem großen Bogen jetzt meine Frage. Bin ich schon "geheilt" oder findet ihr noch Verdächtige Dateien? Hab nochmal nen Restart gemacht und das sind meine aktuellen Logs:


EDIT: Ich hab vergessen zu erwähnen das sich auch die .dlls in dem Ordner: C:\WINDOWS\system32\ befanden
---Combofix------START

ComboFix 07-12-16.4 - fleXo 2007-12-17 11:56:35.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1109 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\fleXo\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-17 bis 2007-12-17 ))))))))))))))))))))))))))))))
.

2007-12-17 03:15 . 2007-12-17 03:15 <DIR> d-------- C:\Programme\Sun
2007-12-17 02:53 . 2007-12-17 02:53 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-12-17 02:53 . 2007-12-17 02:53 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-12-17 02:52 . 2007-12-17 02:52 <DIR> d-------- C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Sunbelt Software
2007-12-16 22:49 . 2007-12-16 22:49 <DIR> d-------- C:\Programme\Avira
2007-12-16 22:10 . 2007-12-16 22:10 <DIR> d-------- C:\Programme\Lavasoft
2007-12-16 22:10 . 2007-12-16 22:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-16 20:22 . 2007-12-16 22:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-16 19:54 . 2007-12-16 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Corel
2007-12-16 19:53 . 2007-12-16 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-12-16 19:43 . 2006-10-23 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-12-16 19:43 . 2006-10-23 11:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-12-16 19:43 . 2006-10-23 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-12-16 19:43 . 2007-12-17 10:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-12-16 19:43 . 2006-10-23 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-12-16 19:43 . 2006-10-23 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-12-16 19:43 . 2007-12-16 19:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-16 18:40 . 2007-12-16 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-16 17:57 . 2007-12-16 17:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2007-12-16 17:24 . 2007-12-17 00:42 <DIR> d-------- C:\Programme\Enigma Software Group
2007-12-16 17:13 . 2007-12-16 17:13 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-16 13:06 . 2007-12-16 16:53 <DIR> d-------- C:\VundoFix Backups
2007-12-16 11:57 . 2007-12-16 11:58 970,434 ---hs---- C:\WINDOWS\system32\hdfmkjgi.ini
2007-12-15 11:53 . 2007-12-16 11:54 970,374 ---hs---- C:\WINDOWS\system32\ttqtjeqr.ini
2007-12-14 20:11 . 2007-12-14 20:11 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-12-14 20:11 . 2007-12-14 20:11 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-12-14 17:40 . 2007-12-14 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP
2007-12-14 12:01 . 2007-12-14 12:01 <DIR> d-------- C:\WINDOWS\nview
2007-12-14 12:01 . 2007-10-04 17:14 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-12-14 12:01 . 2007-12-14 12:12 140,158 --a------ C:\WINDOWS\system32\nvapps.xml
2007-12-14 12:01 . 2007-10-04 17:14 17,525 --a------ C:\WINDOWS\system32\nvdisp.nvu
2007-12-14 12:00 . 2007-10-04 18:16 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-12-14 00:44 . 2006-06-20 16:53 100,352 --a------ C:\WINDOWS\system32\drivers\vdrv8000.sys
2007-12-14 00:44 . 2006-04-25 17:20 11,520 --a------ C:\WINDOWS\system32\drivers\HHCDHelp.sys
2007-12-14 00:43 . 2004-07-13 11:57 1,843,200 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2007-12-14 00:43 . 2003-07-24 18:01 1,044,480 --------- C:\WINDOWS\system32\ROBOEX32.DLL
2007-12-14 00:43 . 2004-07-06 11:52 811,008 --a------ C:\WINDOWS\system32\NCTAudioCDGrabber2.dll
2007-12-14 00:43 . 2005-04-26 14:17 643,072 --a------ C:\WINDOWS\system32\DVDProX2.dll
2007-12-14 00:43 . 2004-07-13 11:58 315,392 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll
2007-12-14 00:22 . 2007-12-14 00:43 <DIR> d-------- C:\Programme\Virtual CD v8
2007-11-17 14:52 . 2007-11-17 14:52 <DIR> d-------- C:\Programme\iPod

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-17 09:08 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-12-17 02:20 --------- d-----w C:\Programme\Java
2007-12-16 21:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-15 11:50 --------- d-----w C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Azureus
2007-12-14 19:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-13 15:11 --------- d-----w C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\My Games
2007-12-08 18:27 --------- d-----w C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\teamspeak2
2007-11-17 13:53 --------- d-----w C:\Programme\iTunes
2007-11-17 13:50 --------- d-----w C:\Programme\QuickTime
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-12 18:40 --------- d-----w C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Skype
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-28 17:02 --------- d-----w C:\Programme\Bridge Builder
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-10-04 16:14 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-10-04 16:14 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-10-04 16:14 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-10-04 16:14 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-10-04 16:14 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-10-04 16:14 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-10-04 16:14 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-10-04 16:14 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-10-04 16:14 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-10-04 16:14 3,629,056 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-10-04 16:14 3,551,232 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-10-04 16:14 3,334,144 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-10-04 16:14 3,166,208 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-10-04 16:14 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-10-04 16:14 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-10-04 16:14 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-10-04 16:14 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-10-04 16:14 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-10-04 16:14 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-10-04 16:14 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-10-04 16:14 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-10-04 16:14 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-10-04 16:14 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-10-04 16:14 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-10-04 16:14 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-10-04 16:14 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-10-04 16:14 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-10-04 16:14 2,441,216 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-10-04 16:14 2,371,584 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-10-04 16:14 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-10-04 16:14 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-10-04 16:14 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-10-04 16:14 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-10-04 16:14 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-10-04 16:14 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-10-04 16:14 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-10-04 16:14 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FFTI"="C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Mozilla\Firefox\Profiles\4s4eo85y.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe" [2007-03-30 12:31]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 C:\WINDOWS\mixer.exe]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 00:52]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-11-14 23:43]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-15 13:11]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:58 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-16 22:51]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"OSSelectorReinstall"=C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"60f1fac8"=rundll32.exe "C:\WINDOWS\system32\igjkmfdh.dll",b
"VC8Player"=C:\Programme\Virtual CD v8\System\VC8Play.exe
"nwiz"=nwiz.exe /install
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys
R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys
R3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
R3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys
S3 DOSMEMIO;MEMIO;\??\F:\MEMIO.SYS
S3 HHCDHelp.sys;HHCDHelp.sys;\??\C:\WINDOWS\system32\drivers\HHCDHelp.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-12-14 16:16:11 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-17 09:06:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-17 11:59:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-17 12:00:29
C:\ComboFix2.txt ... 2007-12-17 10:54
.
2007-12-13 11:43:31 --- E O F ---


----HijackThis------Start


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:36, on 17.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
E:\Downloads\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Mozilla\Firefox\Profiles\4s4eo85y.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Mozilla\Firefox\Profiles/4s4eo85y.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161601040703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7273 bytes

----Datfind------Start

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60F1-FA67

Verzeichnis von C:\WINDOWS\system32

17.12.2007 11:53 2.422 wpa.dbl
17.12.2007 03:15 5.396 jupdate-1.6.0_03-b05.log
17.12.2007 02:53 0 SBFC.dat
17.12.2007 02:53 0 SBRC.dat
16.12.2007 11:58 970.434 hdfmkjgi.ini
16.12.2007 11:54 970.374 ttqtjeqr.ini
14.12.2007 12:12 140.158 nvapps.xml
13.12.2007 21:26 156.160 swreg.exe
13.12.2007 12:41 387.268 TZLog.log
04.12.2007 01:00 136.704 swsc.exe
02.12.2007 15:00 18.684.536 MRT.exe
14.11.2007 23:43 49.152 QuickTime.qts
14.11.2007 23:43 65.536 QuickTimeVR.qtx
13.11.2007 12:31 60.416 tzchange.exe
31.10.2007 00:19 3.590.656 mshtml.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 12:37 400.760 perfh009.dat
28.10.2007 12:37 415.454 perfh007.dat
28.10.2007 12:37 62.422 perfc009.dat
28.10.2007 12:37 75.186 perfc007.dat
28.10.2007 12:37 965.398 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
25.10.2007 09:28 222.720 wmasf.dll
11.10.2007 11:00 134.072 FNTCACHE.DAT
11.10.2007 00:46 824.832 wininet.dll
11.10.2007 00:46 232.960 webcheck.dll
11.10.2007 00:46 1.159.680 urlmon.dll
11.10.2007 00:46 671.232 mstime.dll
11.10.2007 00:46 105.984 url.dll
11.10.2007 00:46 102.400 occache.dll
11.10.2007 00:46 478.208 mshtmled.dll
11.10.2007 00:46 193.024 msrating.dll
11.10.2007 00:46 6.065.664 ieframe.dll
11.10.2007 00:46 1.831.424 inetcpl.cpl
11.10.2007 00:46 52.224 msfeedsbs.dll
11.10.2007 00:46 27.648 jsproxy.dll
11.10.2007 00:46 267.776 iertutil.dll
11.10.2007 00:46 44.544 iernonce.dll
11.10.2007 00:46 459.264 msfeeds.dll
11.10.2007 00:46 124.928 advpack.dll
11.10.2007 00:46 384.512 iedkcs32.dll
11.10.2007 00:46 230.400 ieaksie.dll
11.10.2007 00:46 383.488 ieapfltr.dll
11.10.2007 00:46 63.488 icardie.dll
11.10.2007 00:46 214.528 dxtrans.dll
11.10.2007 00:46 132.608 extmgr.dll
11.10.2007 00:46 153.088 ieakeng.dll
10.10.2007 11:59 13.824 ieudinit.exe
10.10.2007 11:59 70.656 ie4uinit.exe
10.10.2007 06:46 161.792 ieakui.dll
04.10.2007 18:16 356.352 NVUNINST.EXE
04.10.2007 17:14 6.750.208 nvoglnt.dll
04.10.2007 17:14 286.720 nvnt4cpl.dll
04.10.2007 17:14 249.856 nvrscs.dll
04.10.2007 17:14 2.854.912 nvmoblsr.dll
04.10.2007 17:14 253.952 nvrsda.dll
04.10.2007 17:14 1.150.976 nvmobls.dll
04.10.2007 17:14 81.920 nvmctray.dll
04.10.2007 17:14 278.528 nvrsde.dll
04.10.2007 17:14 282.624 nvrsel.dll
04.10.2007 17:14 245.760 nvrseng.dll
04.10.2007 17:14 458.752 nvmccssr.dll
04.10.2007 17:14 188.416 nvmccss.dll
04.10.2007 17:14 45.056 nvmccsrs.dll
04.10.2007 17:14 282.624 nvrses.dll
04.10.2007 17:14 274.432 nvrsesm.dll
04.10.2007 17:14 229.376 nvmccs.dll
04.10.2007 17:14 1.478.656 nview.dll
04.10.2007 17:14 3.166.208 nvgamesr.dll
04.10.2007 17:14 249.856 nvrsfi.dll
04.10.2007 17:14 282.624 nvrsfr.dll
04.10.2007 17:14 327.680 nvrshe.dll
04.10.2007 17:14 3.334.144 nvgames.dll
04.10.2007 17:14 307.200 nvexpbar.dll
04.10.2007 17:14 1.339.392 nvdspsch.exe
04.10.2007 17:14 258.048 nvrshu.dll
04.10.2007 17:14 278.528 nvrsit.dll
04.10.2007 17:14 5.509.120 nvdispsr.dll
04.10.2007 17:14 6.344.704 nvdisps.dll
04.10.2007 17:14 266.240 nvrsja.dll
04.10.2007 17:14 258.048 nvrsko.dll
04.10.2007 17:14 274.432 nvrsnl.dll
04.10.2007 17:14 253.952 nvrsno.dll
04.10.2007 17:14 17.525 nvdisp.nvu
04.10.2007 17:14 1.073.152 nvcpluir.dll
04.10.2007 17:14 253.952 nvrspl.dll
04.10.2007 17:14 274.432 nvrspt.dll
04.10.2007 17:14 753.664 nvcplui.exe
04.10.2007 17:14 8.491.008 nvcpl.dll
04.10.2007 17:14 413.696 nvcpl.cpl
04.10.2007 17:14 147.456 nvcolor.exe
04.10.2007 17:14 270.336 nvrsru.dll
04.10.2007 17:14 258.048 nvrssk.dll
04.10.2007 17:14 258.048 nvrssl.dll
04.10.2007 17:14 253.952 nvrssv.dll
04.10.2007 17:14 36.864 nvcodins.dll
04.10.2007 17:14 36.864 nvcod.dll
04.10.2007 17:14 442.368 nvappbar.exe
04.10.2007 17:14 364.544 nvapi.dll
04.10.2007 17:14 5.783.424 nv4_disp.dll
04.10.2007 17:14 253.952 nvrsth.dll
04.10.2007 17:14 327.680 nvrsar.dll
04.10.2007 17:14 1.626.112 nwiz.exe
04.10.2007 17:14 2.441.216 nvwssr.dll
04.10.2007 17:14 2.371.584 nvwss.dll
04.10.2007 17:14 167.936 nvwrszht.dll
04.10.2007 17:14 163.840 nvwrszhc.dll
04.10.2007 17:14 303.104 nvwrstr.dll
04.10.2007 17:14 290.816 nvwrsth.dll
04.10.2007 17:14 294.912 nvwrssv.dll
04.10.2007 17:14 303.104 nvwrssl.dll
04.10.2007 17:14 299.008 nvwrssk.dll
04.10.2007 17:14 425.984 keystone.exe
04.10.2007 17:14 315.392 nvwrsru.dll
04.10.2007 17:14 319.488 nvwrsptb.dll
04.10.2007 17:14 323.584 nvwrspt.dll
04.10.2007 17:14 294.912 nvwrspl.dll
04.10.2007 17:14 299.008 nvwrsno.dll
04.10.2007 17:14 319.488 nvwrsnl.dll
04.10.2007 17:14 196.608 nvwrsko.dll
04.10.2007 17:14 212.992 nvwrsja.dll
04.10.2007 17:14 323.584 nvwrsit.dll
04.10.2007 17:14 315.392 nvwrshu.dll
04.10.2007 17:14 278.528 nvwrshe.dll
04.10.2007 17:14 327.680 nvwrsfr.dll
04.10.2007 17:14 303.104 nvwrsfi.dll
04.10.2007 17:14 327.680 nvwrsesm.dll
04.10.2007 17:14 335.872 nvwrses.dll
04.10.2007 17:14 286.720 nvwrseng.dll
04.10.2007 17:14 335.872 nvwrsel.dll
04.10.2007 17:14 311.296 nvwrsde.dll
04.10.2007 17:14 294.912 nvwrsda.dll
04.10.2007 17:14 286.720 nvwrscs.dll
04.10.2007 17:14 282.624 nvwrsar.dll
04.10.2007 17:14 1.019.904 nvwimg.dll
04.10.2007 17:14 1.703.936 nvwdmcpl.dll
04.10.2007 17:14 81.920 nvwddi.dll
04.10.2007 17:14 3.629.056 nvvitvsr.dll
04.10.2007 17:14 3.551.232 nvvitvs.dll
04.10.2007 17:14 266.240 nvrsptb.dll
04.10.2007 17:14 356.352 nvudisp.exe
04.10.2007 17:14 73.728 nvtuicpl.cpl
04.10.2007 17:14 155.716 nvsvc32.exe
04.10.2007 17:14 466.944 nvshell.dll
04.10.2007 17:14 126.976 nvrszht.dll
04.10.2007 17:14 225.280 nvrszhc.dll
04.10.2007 17:14 258.048 nvrstr.dll
29.09.2007 21:09 103.736 PnkBstrB.exe
29.09.2007 21:09 66.872 PnkBstrA.exe
26.09.2007 18:05 12.288 advpack.dll.mui
09.09.2007 17:58 51 everest_cpl.ini

275 Datei(en) 21.107.629 Bytes
0 Verzeichnis(se), 390.778.880 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60F1-FA67

Verzeichnis von C:\WINDOWS\temp

17.12.2007 11:51 256 ZLT04272.TMP
17.12.2007 11:51 256 ZLT05678.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 390.778.880 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60F1-FA67

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.11.2007 16:04 1.523.536 FP_AX_CAB_INSTALLER.exe
20.11.2007 15:50 247 swflash.inf
23.10.2006 10:48 65 desktop.ini
26.05.2005 03:19 291 wuweb.inf
13.04.2004 11:04 307.200 isusweb.dll
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
12.01.2000 10:09 118.784 iftw.dll
12.01.2000 10:07 593.920 iftw.exe
12.01.2000 10:01 118.784 IsiteLite.dll
11.01.2000 08:40 338 iftw.inf
11 Datei(en) 2.884.349 Bytes
0 Verzeichnis(se), 390.778.880 Bytes frei


----------------------------------------------------------------

Ich hoffe ich konnte euch mein Anliegen so genau wie möglich beschreiben und würde mich freuen von euch zu hören.

Danke im Voraus
fleXo
Dieser Beitrag wurde am 17.12.2007 um 12:42 Uhr von fleXo editiert.
Seitenanfang Seitenende
17.12.2007, 13:37
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

die (versteckten) Files gehören (passiv) noch dazu:
C:\WINDOWS\system32\hdfmkjgi.ini
C:\WINDOWS\system32\ttqtjeqr.ini
Die Dateien kannst Du löschen...
(Alle Dateien sichtbar machen: http://freenet-homepage.de/rene-gad/invisible.html)

Die hier bitte Online prüfen lassen:
C:\WINDOWS\system32\drivers\atksgt.sys
C:\WINDOWS\system32\drivers\lirsgt.sys

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\drivers\atksgt.sys
C:\WINDOWS\system32\drivers\lirsgt.sys

und eventuell:
C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Mozilla\Firefox\Profiles\4s4eo85y.default\ex tensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe

Poste das Ergebnis mit Filename;

Was ist das hier;)
O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Mozilla\Firefox\Profiles\4s4eo85y.default\ex tensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\fleXo\Anwendungsdaten\Mozilla\Firefox\Profiles/4s4eo85y.default\ex tensions\{B13721C7-F507-4982-B2E5-502A71474FED}"

Das sieht aus wie ein Firefox-Plug in, dass nicht von der Mozillaseite stammt (und daher verdächtig ist)...

Könnte das hier sein:
...
Thank you for trying out the new Skype 2.6. beta. The beta includes a small extension to your default browser (in your case FireFox) which allows you to call all phone numbers found on web pages very easily. The installer for that is the FFTI.exe you discovered.
...

chris
Dieser Beitrag wurde am 17.12.2007 um 13:46 Uhr von Chris4You editiert.
Seitenanfang Seitenende
17.12.2007, 15:13
...neu hier

Themenstarter

Beiträge: 3
#3 Datei atksgt.sys empfangen 2007.12.17 14:13:43 (CET)
Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.17.10 2007.12.17 -
AntiVir 7.6.0.45 2007.12.17 -
Authentium 4.93.8 2007.12.16 -
Avast 4.7.1098.0 2007.12.16 -
AVG 7.5.0.503 2007.12.17 -
BitDefender 7.2 2007.12.17 -
CAT-QuickHeal 9.00 2007.12.15 -
ClamAV 0.91.2 2007.12.17 -
DrWeb 4.44.0.09170 2007.12.17 -
eSafe 7.0.15.0 2007.12.16 -
eTrust-Vet 31.3.5382 2007.12.17 -
Ewido 4.0 2007.12.17 -
FileAdvisor 1 2007.12.17 -
Fortinet 3.14.0.0 2007.12.17 -
F-Prot 4.4.2.54 2007.12.17 -
F-Secure 6.70.13030.0 2007.12.17 -
Ikarus T3.1.1.15 2007.12.17 -
Kaspersky 7.0.0.125 2007.12.17 -
McAfee 5186 2007.12.14 -
Microsoft 1.3109 2007.12.17 -
NOD32v2 2727 2007.12.17 -
Norman 5.80.02 2007.12.14 -
Panda 9.0.0.4 2007.12.16 -
Prevx1 V2 2007.12.17 -
Rising 20.23.02.00 2007.12.17 -
Sophos 4.24.0 2007.12.17 -
Sunbelt 2.2.907.0 2007.12.15 -
Symantec 10 2007.12.17 -
TheHacker 6.2.9.160 2007.12.14 -
VBA32 3.12.2.5 2007.12.17 -
VirusBuster 4.3.26:9 2007.12.16 -
Webwasher-Gateway 6.6.2 2007.12.17 -

weitere Informationen
File size: 271360 bytes
MD5: 6e996cf8459a2594e0e9609d0e34d41f
SHA1: 1678e635c095a40b5e128bdac173fdeb97e88a88
PEiD: -


Datei lirsgt.sys empfangen 2007.12.17 14:31:33 (CET)
Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.17.10 2007.12.17 -
AntiVir 7.6.0.45 2007.12.17 -
Authentium 4.93.8 2007.12.16 -
Avast 4.7.1098.0 2007.12.16 -
AVG 7.5.0.503 2007.12.17 -
BitDefender 7.2 2007.12.17 -
CAT-QuickHeal 9.00 2007.12.15 -
ClamAV 0.91.2 2007.12.17 -
DrWeb 4.44.0.09170 2007.12.17 -
eSafe 7.0.15.0 2007.12.16 -
eTrust-Vet 31.3.5382 2007.12.17 -
Ewido 4.0 2007.12.17 -
FileAdvisor 1 2007.12.17 -
Fortinet 3.14.0.0 2007.12.17 -
F-Prot 4.4.2.54 2007.12.17 -
F-Secure 6.70.13030.0 2007.12.17 -
Ikarus T3.1.1.15 2007.12.17 -
Kaspersky 7.0.0.125 2007.12.17 -
McAfee 5186 2007.12.14 -
Microsoft 1.3109 2007.12.17 -
NOD32v2 2727 2007.12.17 -
Norman 5.80.02 2007.12.14 -
Panda 9.0.0.4 2007.12.16 -
Prevx1 V2 2007.12.17 -
Rising 20.23.02.00 2007.12.17 -
Sophos 4.24.0 2007.12.17 -
Sunbelt 2.2.907.0 2007.12.15 -
Symantec 10 2007.12.17 -
TheHacker 6.2.9.160 2007.12.14 -
VBA32 3.12.2.5 2007.12.17 -
VirusBuster 4.3.26:9 2007.12.16 -
Webwasher-Gateway 6.6.2 2007.12.17 -

weitere Informationen
File size: 18048 bytes
MD5: 975b6cf65f44e95883f3855bae8cecaf
SHA1: d5094781d99b0f9337470d3b110ce9135043be99
PEiD: -


Datei ffti.exe empfangen 2007.12.17 14:58:15 (CET)
Gestoppt
Ergebnis: 1/32 (3.13%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.17.10 2007.12.17 -
AntiVir 7.6.0.45 2007.12.17 -
Authentium 4.93.8 2007.12.16 -
Avast 4.7.1098.0 2007.12.16 -
AVG 7.5.0.503 2007.12.17 -
BitDefender 7.2 2007.12.17 -
CAT-QuickHeal 9.00 2007.12.15 -
ClamAV 0.91.2 2007.12.17 -
DrWeb 4.44.0.09170 2007.12.17 -
eSafe 7.0.15.0 2007.12.16 -
eTrust-Vet 31.3.5382 2007.12.17 -
Ewido 4.0 2007.12.17 -
FileAdvisor 1 2007.12.17 -
Fortinet 3.14.0.0 2007.12.17 -
F-Prot 4.4.2.54 2007.12.17 -
F-Secure 6.70.13030.0 2007.12.17 -
Ikarus T3.1.1.15 2007.12.17 not-a-virus:AdWare.Win32.DigitalNames.w
Kaspersky 7.0.0.125 2007.12.17 -
McAfee 5186 2007.12.14 -
Microsoft 1.3109 2007.12.17 -
NOD32v2 2727 2007.12.17 -
Norman 5.80.02 2007.12.14 -
Panda 9.0.0.4 2007.12.16 -
Prevx1 V2 2007.12.17 -
Rising 20.23.02.00 2007.12.17 -
Sophos 4.24.0 2007.12.17 -
Sunbelt 2.2.907.0 2007.12.15 -
Symantec 10 2007.12.17 -
TheHacker 6.2.9.160 2007.12.14 -
VBA32 3.12.2.5 2007.12.17 -
VirusBuster 4.3.26:9 2007.12.16 -
Webwasher-Gateway 6.6.2 2007.12.17 -

weitere Informationen
File size: 2526784 bytes
MD5: cdf11ddb9fb50546acd3b59599952b99
SHA1: 22b05cd9192920c22fdf6a029ca4cc303309f2ea
PEiD: -
packers: UTF-8
packers: ZIP


Da hattest du wohl die richtige Spürnase ;) .
Habe die .exe Datei mal rausgesucht und mir die Eigenschaften angeguckt und unter Beschreibung folgendes Entdeckt: Skype toolbar for FireFox Setup

Komischerweise hatte ich das nur mal kurz ausprobiert und dann gleich wieder gelöscht. Dachte ich zumindest :\ .

Kann ich die toolbar einfach komplett löschen?

fleXo
Seitenanfang Seitenende
17.12.2007, 16:50
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

kannst es mal ausprobieren, schau aber ersteinmal ob Du die Toolbar über den Firefox direkt wieder los wirst...

So, einen hab ich noch:
"60f1fac8"=rundll32.exe "C:\WINDOWS\system32\igjkmfdh.dll",b
Prüfen ob die noch da ist, dann onlinecheck und ggf. mit Avenger, Killbox oder catchme Virtmundotobegone etc. löschen..

Abschließend noch ein Scan mit Dr. Web:
Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

und um sicher zu gehen die Systemwiederherstellung bereinigen:
http://www.bsi.bund.de/av/texte/wiederher.htm
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Und dann noch die Backups von Avenger&co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren


chris
Dieser Beitrag wurde am 17.12.2007 um 16:57 Uhr von Chris4You editiert.
Seitenanfang Seitenende
17.12.2007, 22:41
...neu hier

Themenstarter

Beiträge: 3
#5 Hat Alles wunderbar geklappt!!

Ich danke Dir recht herzlich für die schnelle Hilfe, DANKE!!!


mit glücklichem Gruß
fleXo ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: