Home » Viren, Trojaner & Malware Forum » Generic10 Trojanerbefall - Malware Protector 2008 » Themenansicht

Generic10 Trojanerbefall - Malware Protector 2008
#0
29.06.2008, 16:38
Envorcer
...neu hier

Beiträge: 3
#1 Hallo zusammen,

ich habe jetzt nach einem anscheinend "angeblichen" Javaupdate einen
laut AVG Trojaner namens Generic10 eingefangen.

Es ist momentan so das ich keine Einstellungen für den Bildschirmschoner mehr vornehmen kann und das dieser Trojaner als Bildschirmschoner einen Windowsbluescreen macht bzw den Windows Startbildschirm.

Logfile von Combiofix:

ComboFix 08-06-20.4 - Thomas 2008-06-29 16:18:58.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1532 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware Protector 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware Protector 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware Protector 2008\How to Register Malware Protector 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware Protector 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware Protector 2008\Malware Protector 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware Protector 2008\Register Malware Protector 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware Protector 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Protector 2008.lnk
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\rhcnutj0e7ae
C:\Programme\shclutj0e7ae
C:\WINDOWS\system32\blphcjutj0e7ae.scr
C:\WINDOWS\system32\lphcjutj0e7ae.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.

2008-06-29 15:46 . 2008-06-29 15:46 <DIR> d-------- C:\Programme\Trend Micro
2008-06-29 13:49 . 2008-06-29 13:49 <DIR> d-------- C:\Programme\CCleaner
2008-06-29 13:38 . 2008-06-29 16:12 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-06-27 18:55 . 2008-06-27 18:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-06-27 16:33 . 2008-06-27 16:33 <DIR> d-------- C:\Programme\rhcnutj0e7ae
2008-06-27 16:31 . 2008-06-29 14:32 <DIR> d--h----- C:\$AVG8.VAULT$
2008-06-26 19:27 . 2008-06-29 13:25 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg
2008-06-26 19:27 . 2008-06-26 19:27 <DIR> d-------- C:\Programme\AVG
2008-06-26 19:27 . 2008-06-26 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-06-26 19:27 . 2008-06-26 19:27 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-06-26 19:27 . 2008-06-26 19:27 75,272 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-06-26 19:27 . 2008-06-26 19:27 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-06-13 16:23 . 2008-06-26 19:33 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2008-06-13 16:23 . 2008-06-26 19:33 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2008-06-13 16:23 . 2008-06-26 19:33 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2008-06-13 16:09 . 2008-06-26 19:34 26,804 --a------ C:\WINDOWS\DIIUnin.dat
2008-06-13 16:08 . 2008-06-13 16:08 102,400 --a------ C:\WINDOWS\DIIUnin.exe
2008-06-13 16:08 . 2008-06-13 16:08 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-06-06 15:03 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-06-06 15:03 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-06-06 15:03 . 2008-06-06 15:03 425 --a------ C:\WINDOWS\BRWMARK.INI
2008-06-06 15:03 . 2008-06-06 15:03 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-06-06 15:02 . 2008-06-06 15:02 50 --a------ C:\WINDOWS\system32\bridf07a.dat
2008-06-06 15:00 . 2008-06-06 15:00 <DIR> d-------- C:\Programme\Nuance
2008-06-06 15:00 . 2008-06-06 15:01 <DIR> d-------- C:\Programme\Brother
2008-06-06 14:59 . 2008-06-06 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-06-06 14:59 . 2006-10-24 15:35 31,664 --a------ C:\WINDOWS\maxlink.ini
2008-06-06 14:58 . 2008-06-06 14:58 <DIR> d-------- C:\Programme\ScanSoft
2008-06-06 14:58 . 2008-06-06 14:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-06-06 14:58 . 2008-06-06 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-06-06 14:57 . 2008-06-06 14:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 17:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-06-25 14:34 --------- d-----w C:\Programme\buffed
2008-06-24 15:22 --------- d-----w C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\LimeWire
2008-06-24 15:12 --------- d-----w C:\Programme\MobMapUpdater
2008-06-06 13:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-06 12:58 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-25 09:54 --------- d-----w C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Ubisoft
2008-05-25 09:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-05-18 11:29 --------- d-----w C:\Programme\burst
2008-05-04 15:16 --------- d-----w C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\teamspeak2
2008-02-16 16:55 22,328 ----a-w C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\PnkBstrK.sys
2007-08-09 12:08 8,784 ----a-w C:\Programme\mozilla firefox\plugins\ractrlkeyhook.dll
2007-08-09 12:10 245,408 ----a-w C:\Programme\mozilla firefox\plugins\unicows.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"CurseClient"="C:\Programme\Curse\CurseClient.exe" [2008-05-19 16:57 1400832]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 01:09 486856]
"BLASC"="C:\Programme\buffed\BLASC.exe" [2008-06-25 16:34 2243072]
"MobMapUpdater"="C:\Programme\MobMapUpdater\MobMapUpdater.exe" [2008-06-24 17:12 1696384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-04 19:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-04 19:41 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"nwiz"="nwiz.exe" [2007-12-04 19:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 21:12 30248]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 21:10 46632]
"PPort11reminder"="C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 13:46 255528]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 15:58 65536]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-06-26 19:27 1177368]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
LMIinit.dll 2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^[verify-U]-Software.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\[verify-U]-Software.lnk
backup=C:\WINDOWS\pss\[verify-U]-Software.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-05-15 16:55 1057328 C:\Programme\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-12-05 23:55 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LGODDFU]
--a------ 2008-02-08 23:41 249856 C:\Programme\lg_fwupdate\fwupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-04-19 14:26 484904 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI]
--a------ 2007-08-03 16:09 63048 C:\Programme\LogMeIn\x86\LogMeInSystray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-04 19:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-03-23 14:20 227328 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2006-11-23 16:10 56928 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-05-15 16:55 1628208 C:\Programme\Nero\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2007-08-03 07:22 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\burst\\core-new1.1.3\\btdownloadheadless.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\burst\\core-shad0w5.7.6\\btdownloadheadless.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"E:\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"E:\\Battlefield 1942\\BF1942.exe"=
"E:\\Anno 1701\\Anno1701.exe"=
"E:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"E:\\Asassins Creed\\AssassinsCreed_Dx9.exe"=
"E:\\Asassins Creed\\AssassinsCreed_Dx10.exe"=
"E:\\Asassins Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-06-26 19:27]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-06-26 19:27]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-06-26 19:27]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-06-26 19:27]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-08-03 16:09]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 16:09]

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 16:19:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
"ImagePath"="\"C:\Programme\
[verify-U] AVS\[verify-U]-Service.exe\""

"ImagePath"="system32\drivers\
[verify-U]-driver.sys"


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\[verify-U]]
"ImagePath"="\"C:\Programme\

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\[verify-U]_System]
"ImagePath"="system32\drivers\
.
Zeit der Fertigstellung: 2008-06-29 16:20:06
ComboFix-quarantined-files.txt 2008-06-29 14:20:04

12 Verzeichnis(se), 41,868,189,696 Bytes frei
15 Verzeichnis(se), 41,860,120,576 Bytes frei

186

____________________________________
Logfile HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:56, on 29.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Curse\CurseClient.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\buffed\BLASC.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\MobMapUpdater\MobMapUpdater.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\[verify-U] AVS\[verify-U]-Service.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schlach.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CurseClient] C:\Programme\Curse\CurseClient.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [MobMapUpdater] "C:\Programme\MobMapUpdater\MobMapUpdater.exe" --silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202507812828
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Cybit AG - C:\Programme\[verify-U] AVS\[verify-U]-Service.exe

--
End of file - 6373 bytes


_______________________________________

In HiJackThis wird man so wie ich das sehe nichts mehr von dem Trojaner finden da ich ihn per Ausführen -> MsConfig aus dem Autostart geholt habe

allerdings zeigt ihn ComboFix noch an.

Hoffe ihr könnt mir helfen
MFG
Seitenanfang Seitenende
29.06.2008, 17:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo, Envorcer

http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop

OTMoveIt öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Programme\rhcnutj0e7ae
Klicke auf den Roten MoveIt!

--
Text im rechten Fenster / Results
Mit rechtem Mausklick abkopieren und im Forenbeitrag mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2008, 17:24
Envorcer
...neu hier

Themenstarter

Beiträge: 3
#3 Ergebnis:

C:\Programme\rhcnutj0e7ae moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 06292008_172328
Seitenanfang Seitenende
29.06.2008, 17:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo, Envorcer

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

dann sollte wieder alles i.o. sein
oder klappt noch irgendwas nicht ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2008, 17:30
Envorcer
...neu hier

Themenstarter

Beiträge: 3
#5 Funktioniert alles wieder wunderbar, vielen Dank!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1