Trojaner TR/Dropper.Gen |
||
---|---|---|
#0
| ||
29.09.2008, 13:24
...neu hier
Beiträge: 7 |
||
|
||
29.09.2008, 13:37
Moderator
Beiträge: 5694 |
#2
lenina1979
>> Lass folgende Datei bei www.virustotal.com/de prüfen und poste das Ergenis: C:/WINDOWS/system32/oembios.exe >> SDFix Download SDFix zum Desktop http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread Gruss Swiss |
|
|
||
29.09.2008, 15:26
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo,
danke für die schnelle Antwort, ich habe aber ein Problem, ich finde im system32-Ordner 3 oembio-Dateien. Eine ist eine BIN-Datei (12,5 MB), die andere ist eine DAT-Datei (4,41 KB) und die dritte heißt oembios.sig (SIG-Datei 6,62 KB). Welche soll ich nehmen für die virustotal-Seite? Und noch ein dumme Frage: wie startet man im abgesicherten Modus? |
|
|
||
29.09.2008, 15:32
Moderator
Beiträge: 5694 |
#4
Dann lass doch alle einmal prüfen.
Abgesicherter Modus: http://board.protecus.de/t13063.htm Gruss Swiss |
|
|
||
29.09.2008, 15:35
...neu hier
Themenstarter Beiträge: 7 |
#5
Ok, nicht, daß ich hier was kaputt mache.. :-) Soll ich das mit dem abgesicherten Modus dann gleich mal machen oder wollt Ihr Euch erst die Ergebnisse von virustotal ansehen?
Petra |
|
|
||
29.09.2008, 15:36
Moderator
Beiträge: 5694 |
||
|
||
29.09.2008, 15:39
...neu hier
Themenstarter Beiträge: 7 |
#7
Also das ist das Ergebnis von der BIN-Datei.. erfolglos
Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.25.0 2008.09.29 - AntiVir 7.8.1.34 2008.09.29 - Authentium 5.1.0.4 2008.09.29 - Avast 4.8.1195.0 2008.09.29 - AVG 8.0.0.161 2008.09.29 - BitDefender 7.2 2008.09.29 - CAT-QuickHeal 9.50 2008.09.29 - ClamAV 0.93.1 2008.09.29 - DrWeb 4.44.0.09170 2008.09.29 - eSafe 7.0.17.0 2008.09.29 - eTrust-Vet 31.6.6116 2008.09.29 - Ewido 4.0 2008.09.29 - F-Prot 4.4.4.56 2008.09.28 - F-Secure 8.0.14332.0 2008.09.29 - Fortinet 3.113.0.0 2008.09.29 - GData 19 2008.09.29 - Ikarus T3.1.1.34.0 2008.09.29 - K7AntiVirus 7.10.473 2008.09.25 - Kaspersky 7.0.0.125 2008.09.29 - McAfee 5392 2008.09.25 - Microsoft 1.3903 2008.09.29 - NOD32 3479 2008.09.29 - Norman 5.80.02 2008.09.29 - Panda 9.0.0.4 2008.09.28 - PCTools 4.4.2.0 2008.09.29 - Prevx1 V2 2008.09.29 - Rising 20.63.62.00 2008.09.28 - SecureWeb-Gateway 6.7.6 2008.09.29 - Sophos 4.34.0 2008.09.29 - Sunbelt 3.1.1668.1 2008.09.24 - Symantec 10 2008.09.29 - TheHacker 6.3.0.9.096 2008.09.29 - TrendMicro 8.700.0.1004 2008.09.29 - VBA32 3.12.8.6 2008.09.28 - ViRobot 2008.9.29.1396 2008.09.29 - VirusBuster 4.5.11.0 2008.09.29 - weitere Informationen File size: 13107200 bytes MD5...: a66c4123186dad9ecaa5c51441b61f46 SHA1..: 06515c09d49b49574ea20ddb034299ac5e1544d4 SHA256: eab4600ed6ce9eb05f3aac2c9b741b94759400d7d8063395b6664b17763d589d SHA512: 5e29f51441b6fd63c2f7d700600e4bbb62e2888112905d083d4e947d0f017516 2ac2055f4f749f8fcd592e32fd1990434fec55a016fbcc93710d27c1d384edf7 PEiD..: - TrID..: File type identification Unknown! PEInfo: - das ist bei der oembios.dat... auch erfolglos http://www.virustotal.com/de/analisis/cae1122d2f4ad50c1e678bc3fb039613 hier bei der SIG-Datei: auch nix gefunden http://www.virustotal.com/de/analisis/a88de1fc5600af93d484fa7eb9c8c62d Habe aber windows mal nach einer oembios.exe suchen lassen und da wurde eine komische Datei gefunden im Windows/Prefech-Ordner. die endet aber mit .pf und hat nur mitten im Namen das Kürzel EXE. Dieser Beitrag wurde am 29.09.2008 um 15:45 Uhr von lenina1979 editiert.
|
|
|
||
29.09.2008, 16:32
Ehrenmitglied
Beiträge: 6028 |
#8
Faenge mal damit an dein Rechner im abgesicherten Modus mit SDFix zu scannen und poste nachher das Log und wieder ein log von Hijack This
__________ MfG Argus |
|
|
||
29.09.2008, 19:41
...neu hier
Themenstarter Beiträge: 7 |
#9
Also ich habe alles laut Anleitung gemacht. Antivir läßt sich wieder updaten, Internet geht wieder schneller (Seitenaufbau) und hier das Hijckthis-Log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:32:48, on 29.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe C:\WINDOWS\TBPanel.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\system32\hphmon03.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe C:\Programme\AOL 9.0 VR\waol.exe C:\Programme\AOL 9.0 VR\shellmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Programme\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=100308 serial=WO12WRX-0000035-UZU lang=DE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: StarOpen - Avira GmbH - (no file) O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 6492 bytes Und hier das von SDFix: SDFix: Version 1.230 Run by Petra Schneider on 29.09.2008 at 16:00 Microsoft Windows XP [Version 5.1.2600] Running From: C:\Dokumente und Einstellungen\Petra Schneider\Desktop\SDFix\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File DNSChanger Trojan Found! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="kdjbq.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "C:\\WINDOWS\\system32\\kdjbq.exe" Restoring Default System value Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\system32\kdjbq.exe - Deleted C:\WINDOWS\SYSTEM32\SYSSER~2.EXE - Deleted C:\WINDOWS\system32\1.reg - Deleted C:\WINDOWS\system32\alog.txt - Deleted C:\WINDOWS\system32\bb1.dat - Deleted C:\WINDOWS\system32\cookie1.dat - Deleted C:\WINDOWS\system32\cs.dat - Deleted C:\WINDOWS\system32\ps1.dat - Deleted C:\WINDOWS\system32\rc.dat - Deleted C:\WINDOWS\system32\sfl.txt - Deleted C:\WINDOWS\system32\siemens32.dll - Deleted C:\WINDOWS\system32\skrb32.dll - Deleted C:\WINDOWS\system32\sysservice.dll - Deleted C:\WINDOWS\system32\sysservice.exe - Deleted C:\WINDOWS\system32\tb.dr - Deleted C:\WINDOWS\system32\oembios.exe - Deleted C:\WINDOWS\system32\sysproc64\sysproc32.sys - Deleted C:\WINDOWS\system32\sysproc64\sysproc86.sys - Deleted Folder C:\WINDOWS\system32\sysproc64 - Removed Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-29 16:50:44 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL" "C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Gemeinsame Dateien\\aol\\1215010774\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\1215010774\\ee\\aolsoftware.exe:*:Enabled:AOL Shared Components" "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update" "C:\\Games\\Medal Of Honor Russian Version\\Mohaa.exe"="C:\\Games\\Medal Of Honor Russian Version\\Mohaa.exe:*:Enabled:Medal of Honor Allied Assault" "C:\\Programme\\Buka\\Far Cry\\Bin32\\FarCry.exe"="C:\\Programme\\Buka\\Far Cry\\Bin32\\FarCry.exe:*:Enabled:Far Cry" "C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb" "C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray" "C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client" "C:\\Programme\\AOL 9.0 VR\\waol.exe"="C:\\Programme\\AOL 9.0 VR\\waol.exe:*:Enabled:AOL" "C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe:*:Enabled:AOL TopSpeed" "C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe:*:Enabled:AOL Loader" "C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe:*:Enabled:AOL System Information" "C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"="C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault(tm)" "C:\\WINDOWS\\system32\\sysservice.exe"="C:\\WINDOWS\\system32\\sysservice.exe:*:EnabledNS client" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL" "C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : File Backups: - C:\DOKUME~1\PETRAS~1\Desktop\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes : Wed 4 Aug 2004 94,800 ..SH. --- "C:\WINDOWS\twain.dll" Wed 4 Aug 2004 50,688 ..SH. --- "C:\WINDOWS\twain_32.dll" Mon 10 May 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe" Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe" Mon 10 May 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe" Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe" Thu 21 Jun 2007 46,384 A..H. --- "C:\Programme\AOL 9.0 VR\AOLphx.exe" Thu 24 May 2007 54,832 A..H. --- "C:\Programme\AOL 9.0 VR\AOLphxex.exe" Thu 24 May 2007 33,328 A..H. --- "C:\Programme\AOL 9.0 VR\rbm.exe" Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll" Wed 4 Aug 2004 1,028,096 ..SH. --- "C:\WINDOWS\system32\mfc42.dll" Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll" Wed 4 Aug 2004 54,784 ..SH. --- "C:\WINDOWS\system32\msvcirt.dll" Wed 4 Aug 2004 413,696 ..SH. --- "C:\WINDOWS\system32\msvcp60.dll" Wed 4 Aug 2004 343,040 ..SH. --- "C:\WINDOWS\system32\msvcrt.dll" Sun 16 Mar 2008 216,064 ..SHR --- "C:\WINDOWS\system32\nbDX.dll" Tue 4 Dec 2007 550,912 ..SH. --- "C:\WINDOWS\system32\oleaut32.dll" Wed 4 Aug 2004 83,456 ..SH. --- "C:\WINDOWS\system32\olepro32.dll" Wed 4 Aug 2004 12,288 ..SH. --- "C:\WINDOWS\system32\regsvr32.exe" Sun 26 Jun 2005 616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll" Tue 21 Jun 2005 45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll" Fri 29 Aug 2008 72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe" Tue 2 Oct 2007 16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll" Sat 6 Sep 2008 0 A..H. --- "C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Temp\97bdb7ehpdb7e0.exe" Fri 29 Aug 2008 21,504 ...H. --- "C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Temp\AutoItDLL.dll" Sat 13 Sep 2008 243,712 A..H. --- "C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Temp\~311.tmp" Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll" Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll" Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll" Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll" Sun 9 Jun 2002 36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll" Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll" Tue 10 Dec 2002 102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll" Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll" Tue 10 Dec 2002 208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll" Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll" Sun 9 Jun 2002 40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll" Sun 4 Nov 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll" Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll" Fri 20 Feb 2004 232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll" Sun 9 Jun 2002 525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll" Tue 10 Dec 2002 245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll" Tue 10 Dec 2002 45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll" Tue 10 Dec 2002 98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll" Tue 10 Dec 2002 94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll" Tue 10 Dec 2002 90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll" Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll" Sun 9 Jun 2002 49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll" Thu 20 Mar 2008 5,632 ..SHR --- "C:\Programme\eRightSoft\SUPER\spk\1stRun.exe" Tue 8 Jul 2008 96,072 ...H. --- "C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\WBUnins.exe" Mon 8 Sep 2008 1,013,760 A..H. --- "C:\Dokumente und Einstellungen\Petra Schneider\Lokale Einstellungen\Anwendungsdaten\Google\Update\Download\BIT296.tmp" Finished! Noch eine Frage zum Schluß: wie kann ich mich zukünftig davor schützen? VIELEN DANK AN DICH FÜR DIESE TOLLE HILFE!!!! |
|
|
||
29.09.2008, 19:55
Moderator
Beiträge: 5694 |
#10
lenina1979
>> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Entferne auf C:\SDFix\ backups -->papierkorb leeren >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate: http://www.virus-protect.org/datfindbat.html |
|
|
||
29.09.2008, 20:33
...neu hier
Themenstarter Beiträge: 7 |
#11
Ist der Trojaner nicht weg???
|
|
|
||
29.09.2008, 20:38
Moderator
Beiträge: 5694 |
#12
Das will ich sehen. Zur Sicherheit mach was ich geschrieben habe.
|
|
|
||
29.09.2008, 21:52
...neu hier
Themenstarter Beiträge: 7 |
#13
Hier erstmal das Combofix Log: Jetzt erledige ich den letzten Punkt mit dem datfindbat-Dings.. ;-)
ComboFix 08-09-28.01 - Petra Schneider 2008-09-29 21:44:48.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.515 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Petra Schneider\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64 C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64\sysproc32.sys C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64 C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64\sysproc32.sys C:\Dokumente und Einstellungen\Petra Schneider\Cookies\petra_schneider@asn.advolution[1].txt C:\Dokumente und Einstellungen\Petra Schneider\Cookies\petra_schneider@de.ebayrtm[1].txt C:\Dokumente und Einstellungen\Petra Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML C:\Dokumente und Einstellungen\Sergej Schneider\Cookies\sergej_schneider@de.ebayrtm[1].txt C:\Dokumente und Einstellungen\Sergej Schneider\Cookies\sergej_schneider@indextools[2].txt C:\Dokumente und Einstellungen\Sergej Schneider\Cookies\sergej_schneider@www.ilove[2].txt C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML . ((((((((((((((((((((((( Dateien erstellt von 2008-08-28 bis 2008-09-29 )))))))))))))))))))))))))))))) . 2008-09-29 15:55 . 2008-09-29 15:55 <DIR> d-------- C:\WINDOWS\ERUNT 2008-09-27 22:27 . 2002-07-04 10:41 187,392 --------- C:\WINDOWS\system\rbser32.dll 2008-09-27 22:27 . 2003-05-14 11:17 92,672 --------- C:\WINDOWS\system\rbserial.dll 2008-09-27 22:12 . 2008-09-27 22:28 <DIR> d-------- C:\WINDOWS\_ISTMP1.DIR 2008-09-27 22:02 . 2008-09-27 22:02 <DIR> d-------- C:\BOSCH_PR 2008-09-27 22:02 . 2002-01-05 12:40 487,424 --------- C:\WINDOWS\system32\msvcp70.dll 2008-09-27 22:02 . 2001-11-08 10:58 153,600 --------- C:\WINDOWS\system32\AWN16.DLL 2008-09-27 22:02 . 2008-09-27 22:27 1,656 --a------ C:\WINDOWS\RbSystem.ini 2008-09-27 22:02 . 2002-12-05 12:01 249 --------- C:\WINDOWS\rbsystem.ini_win2000 2008-09-27 21:55 . 2008-09-27 22:25 <DIR> d-------- C:\Programme\Bosch 2008-09-19 19:27 . 2008-09-19 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\Sergej Schneider\Anwendungsdaten\Groove Games 2008-09-19 06:29 . 2008-09-19 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sergej Schneider\AbiSuite 2008-09-18 12:18 . 2008-09-18 12:18 <DIR> d-------- C:\Dokumente und Einstellungen\Petra Schneider\AbiSuite 2008-09-18 12:17 . 2008-09-18 12:17 <DIR> d-------- C:\Programme\AbiSuite2 2008-09-18 09:17 . 2008-09-18 09:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Borland Shared 2008-09-18 09:16 . 2008-09-18 09:16 <DIR> d-------- C:\WINDOWS\ShellNew 2008-09-18 09:16 . 2008-09-18 09:17 <DIR> d-------- C:\Programme\WordPerfect Office 12 2008-09-18 09:16 . 2008-09-18 09:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Corel 2008-09-14 12:41 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2008-09-07 09:44 . 2008-09-07 09:44 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2008-09-06 00:09 . 2008-09-13 07:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-06 00:09 . 2008-09-06 00:09 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-30 11:45 . 2008-08-30 11:45 <DIR> d-------- C:\Programme\Xesc & Technology 2008-08-29 19:09 . 2008-08-29 19:09 <DIR> d-------- C:\Programme\eRightSoft 2008-08-29 19:09 . 2008-08-29 19:09 <DIR> d-------- C:\Programme\AviSynth 2.5 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-19 17:17 --------- d-----w C:\Programme\City Interactive 2008-09-18 07:01 --------- d-----w C:\Dokumente und Einstellungen\Petra Schneider\Anwendungsdaten\Corel 2008-09-14 10:53 --------- d-----w C:\Programme\EA GAMES 2008-09-12 08:25 --------- d-----w C:\Programme\AOL 9.0 2008-09-02 22:01 --------- d-----w C:\Programme\Google 2008-08-26 13:18 --------- d-----w C:\Programme\Winamp Toolbar 2008-08-26 13:18 --------- d-----w C:\Programme\Winamp 2008-08-25 12:27 --------- d-----w C:\Dokumente und Einstellungen\Sergej Schneider\Anwendungsdaten\Corel 2008-08-09 14:19 --------- d-----w C:\Dokumente und Einstellungen\Petra Schneider\Anwendungsdaten\Image Zone Express 2008-07-31 12:57 --------- d-----w C:\Dokumente und Einstellungen\Petra Schneider\Anwendungsdaten\Printer Info Cache 2008-07-31 12:56 --------- d-----w C:\Programme\HP 2008-07-31 12:56 --------- d-----w C:\Programme\Gemeinsame Dateien\HP 2008-07-31 12:48 --------- d-----w C:\Programme\hp photosmart 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-05 22:36 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-07-02 19:38 74,610 ----a-w C:\WINDOWS\Web\Wallpaper\UnRussiaX.exe 2004-08-04 12:00 94,800 --sh--w C:\WINDOWS\twain.dll 2004-08-04 12:00 50,688 --sh--w C:\WINDOWS\twain_32.dll 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2004-08-04 12:00 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll 2004-08-04 12:00 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll 2004-08-04 12:00 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll 2004-08-04 12:00 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll 2008-03-16 12:30 216,064 --sh--r C:\WINDOWS\system32\nbDX.dll 2007-12-04 18:40 550,912 --sh--w C:\WINDOWS\system32\oleaut32.dll 2004-08-04 12:00 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll 2004-08-04 12:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992] [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-07-02 98304] "HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe" [2006-09-26 50736] "Gainward"="C:\WINDOWS\TBPanel.exe" [2004-02-11 2015232] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-18 7606272] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-05-18 86016] "RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2008-07-02 26112] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "WordPerfect Office 1215"="C:\Programme\WordPerfect Office 12\Programs\Registration.exe" [2004-04-20 733184] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2003-01-30 196608] "HPHmon03"="C:\WINDOWS\system32\hphmon03.exe" [2003-01-30 311296] "nwiz"="nwiz.exe" [2006-05-18 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "vidc.yv12"= yv12vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"= "C:\\Programme\\AOL 9.0\\waol.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\1215010774\\ee\\aolsoftware.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\Buka\\Far Cry\\Bin32\\FarCry.exe"= "C:\\Programme\\AOL 9.0 VR\\waol.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"= "C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"= R3 RTLWUSB;802.11g USB 2.0 WLAN Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-04-12 169472] R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 13532] S3 Dot4Usb HPH09;Dot4Usb HPH09;C:\WINDOWS\system32\drivers\hphius09.sys [2003-01-30 18864] *Newly Created Service* - PROCEXP90 *Newly Created Service* - SJYPKT . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-Orb - C:\Programme\Winamp Remote\bin\OrbTray.exe HKCU-Run-swg - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Suchlauf ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.com R0 -: HKLM-Main,Start Page = hxxp://www.google.com . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-29 21:45:55 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-29 21:47:44 ComboFix-quarantined-files.txt 2008-09-29 19:47:03 Vor Suchlauf: 11 Verzeichnis(se), 54.209.298.432 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 57,270,222,848 Bytes frei 167 --- E O F --- 2008-09-10 14:06:17 ---------------------------------------------------------------------- ---------------------------------------------------------------------- Hier jetzt noch ein Datfindbat-Log: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 201A-9C36 Verzeichnis von c:\ 29.09.2008 21:55 0 dirdat.txt 29.09.2008 21:47 11.002 ComboFix.txt 29.09.2008 21:33 804.839.424 hiberfil.sys 29.09.2008 21:33 1.207.959.552 pagefile.sys 29.09.2008 21:28 1.894 avenger.txt 02.07.2008 19:56 434 InstallHelper.log 02.07.2008 16:20 0 MSDOS.SYS 02.07.2008 16:20 0 CONFIG.SYS 02.07.2008 16:20 0 IO.SYS 02.07.2008 16:20 0 AUTOEXEC.BAT 02.07.2008 16:14 211 boot.ini 04.08.2004 14:00 251.184 ntldr 04.08.2004 14:00 4.952 bootfont.bin 04.08.2004 14:00 47.564 NTDETECT.COM 14 Datei(en) 2.013.116.217 Bytes 0 Verzeichnis(se), 57.282.813.952 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 201A-9C36 Verzeichnis von C:\WINDOWS\system32 29.09.2008 21:33 62.201 nvapps.xml 27.09.2008 22:31 180.240 FNTCACHE.DAT 20.09.2008 00:29 0 te.txt 17.09.2008 10:31 2.206 wpa.dbl 26.08.2008 22:28 16.208.504 MRT.exe 14.08.2008 03:02 359.230 TZLog.log 18.07.2008 22:10 94.920 cdm.dll 18.07.2008 22:10 53.448 wuauclt.exe 18.07.2008 22:10 45.768 wups2.dll 18.07.2008 22:10 36.552 wups.dll 18.07.2008 22:10 33.992 wucltui.dll.mui 18.07.2008 22:09 29.896 wuaucpl.cpl.mui 18.07.2008 22:09 29.896 wuapi.dll.mui 18.07.2008 22:09 325.832 wucltui.dll 18.07.2008 22:09 215.752 wuaucpl.cpl 18.07.2008 22:09 205.000 wuweb.dll 18.07.2008 22:09 563.912 wuapi.dll 18.07.2008 22:09 1.811.656 wuaueng.dll 18.07.2008 22:08 21.192 wuaueng.dll.mui 14.07.2008 13:09 62.976 tzchange.exe 10.07.2008 13:12 258 HPunins.txt 07.07.2008 22:30 253.952 es.dll 06.07.2008 00:36 43.520 CmdLineExt03.dll 03.07.2008 07:10 311.604 perfh009.dat 03.07.2008 07:10 39.992 perfc009.dat 03.07.2008 07:10 48.156 perfc007.dat 03.07.2008 07:10 316.594 perfh007.dat 03.07.2008 07:10 723.744 PerfStringBackup.INI 02.07.2008 17:14 0 h323log.txt 02.07.2008 16:34 2.780 qtplugin.log 02.07.2008 16:34 157.696 rmoc3260.dll 02.07.2008 16:34 5.632 pndx5032.dll 02.07.2008 16:34 25.088 prefscpl.cpl 02.07.2008 16:34 6.656 pndx5016.dll 02.07.2008 16:34 278.528 pncrt.dll 02.07.2008 16:22 249 $winnt$.inf 02.07.2008 16:20 2.951 CONFIG.NT 02.07.2008 16:20 16.832 amcompat.tlb 02.07.2008 16:20 23.392 nscompat.tlb 02.07.2008 16:19 488 logonui.exe.manifest 02.07.2008 16:19 488 WindowsLogon.manifest 02.07.2008 16:18 749 ncpa.cpl.manifest 02.07.2008 16:18 749 cdplayer.exe.manifest 02.07.2008 16:18 749 sapi.cpl.manifest 02.07.2008 16:18 749 nwc.cpl.manifest 02.07.2008 16:18 749 wuaucpl.cpl.manifest 02.07.2008 16:17 21.740 emptyregdb.dat 24.06.2008 18:22 74.240 mscms.dll 24.06.2008 12:07 49.152 inetwh32.dll 24.06.2008 12:07 1.044.480 roboex32.dll 24.06.2008 10:14 3.592.192 mshtml.dll 23.06.2008 18:14 826.368 wininet.dll 23.06.2008 18:14 233.472 webcheck.dll 23.06.2008 18:14 671.232 mstime.dll 23.06.2008 18:14 193.024 msrating.dll 23.06.2008 18:14 102.912 occache.dll 23.06.2008 18:14 477.696 mshtmled.dll 23.06.2008 18:14 1.159.680 urlmon.dll 23.06.2008 18:14 44.544 pngfilt.dll 23.06.2008 18:14 105.984 url.dll 23.06.2008 18:14 27.648 jsproxy.dll 23.06.2008 18:14 52.224 msfeedsbs.dll 23.06.2008 18:14 459.264 msfeeds.dll 23.06.2008 18:14 1.831.424 inetcpl.cpl 23.06.2008 18:14 267.776 iertutil.dll 23.06.2008 18:14 44.544 iernonce.dll 23.06.2008 18:14 6.066.176 ieframe.dll 23.06.2008 18:14 153.088 ieakeng.dll 23.06.2008 18:14 347.136 dxtmsft.dll 23.06.2008 18:14 384.512 iedkcs32.dll 23.06.2008 18:14 383.488 ieapfltr.dll 23.06.2008 18:14 214.528 dxtrans.dll 23.06.2008 18:14 230.400 ieaksie.dll 23.06.2008 18:14 133.120 extmgr.dll 23.06.2008 18:14 63.488 icardie.dll 23.06.2008 18:14 124.928 advpack.dll 23.06.2008 11:20 13.824 ieudinit.exe 23.06.2008 11:20 70.656 ie4uinit.exe 21.06.2008 07:23 161.792 ieakui.dll 20.06.2008 19:39 247.296 mswsock.dll 20.06.2008 19:39 148.992 dnsapi.dll Dieser Beitrag wurde am 29.09.2008 um 21:57 Uhr von lenina1979 editiert.
|
|
|
||
29.09.2008, 22:59
Ehrenmitglied
Beiträge: 6028 |
#14
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “ Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" . Auch wenn man die Updates runter geladen hat ,sollte vor den Scan nochmal Aktualisieren ! Und nehme als Aktualisierungsspiegel:SecuriryWorks.net Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen __________ MfG Argus |
|
|
||
ich habe mich jetzt schon durch etliche Beiträge gewühlt, die den TR/Dropper.gen betreffen, aber dieser scheint sich immer an anderen Stellen im Computer festzusetzen, so daß ich nicht weiß, ob ich die anderen Anleitungen nehmen kann, wenn bei mir der Trojaner woanders ist. Habe auch NULL Ahnung. Aber ich habe Hijackthis.. wie ich das Logfile posten kann, weiß ich schon mal.. :-) Ich hoffe, mir kann jemand helfen. Mein Betriebssystem: Windows XP, die gleichen Meldungen durch Antivir, Hijackthis findets nicht, Antivir meldet immer neu, aber löscht nichts und bleibt beim Update hängen. Auch bleibt der Computer des öfteren einfach hängen, da bewegt sich dann gar nichts mehr,da hilft dann nur noch Reset... Bei mir zeigt Antivir die Meldung an in: C:/WINDOWS/system32/oembios.exe.
Und hier das Logfile (oder DIE logfile)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:52, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\sysservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0 VR\waol.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0 VR\shellmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe,
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Programme\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=100308 serial=WO12WRX-0000035-UZU lang=DE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [Microsoft Startup Manager] C:\WINDOWS\system32\sysservice.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
--
End of file - 6512 bytes