Trojaner TR/Dropper.Gen

#0
29.09.2008, 13:24
...neu hier

Beiträge: 7
#1 Hallo,
ich habe mich jetzt schon durch etliche Beiträge gewühlt, die den TR/Dropper.gen betreffen, aber dieser scheint sich immer an anderen Stellen im Computer festzusetzen, so daß ich nicht weiß, ob ich die anderen Anleitungen nehmen kann, wenn bei mir der Trojaner woanders ist. Habe auch NULL Ahnung. Aber ich habe Hijackthis.. wie ich das Logfile posten kann, weiß ich schon mal.. :-) Ich hoffe, mir kann jemand helfen. Mein Betriebssystem: Windows XP, die gleichen Meldungen durch Antivir, Hijackthis findets nicht, Antivir meldet immer neu, aber löscht nichts und bleibt beim Update hängen. Auch bleibt der Computer des öfteren einfach hängen, da bewegt sich dann gar nichts mehr,da hilft dann nur noch Reset... Bei mir zeigt Antivir die Meldung an in: C:/WINDOWS/system32/oembios.exe.

Und hier das Logfile (oder DIE logfile)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:52, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\sysservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0 VR\waol.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0 VR\shellmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe,
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Programme\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=100308 serial=WO12WRX-0000035-UZU lang=DE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [Microsoft Startup Manager] C:\WINDOWS\system32\sysservice.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 6512 bytes
Seitenanfang Seitenende
29.09.2008, 13:37
Moderator

Beiträge: 5694
#2 lenina1979

>>
Lass folgende Datei bei www.virustotal.com/de prüfen und poste das Ergenis:
C:/WINDOWS/system32/oembios.exe

>>
SDFix
Download SDFix zum Desktop
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread

Gruss Swiss
Seitenanfang Seitenende
29.09.2008, 15:26
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo,
danke für die schnelle Antwort, ich habe aber ein Problem, ich finde im system32-Ordner 3 oembio-Dateien. Eine ist eine BIN-Datei (12,5 MB), die andere ist eine DAT-Datei (4,41 KB) und die dritte heißt oembios.sig (SIG-Datei 6,62 KB).

Welche soll ich nehmen für die virustotal-Seite?

Und noch ein dumme Frage: wie startet man im abgesicherten Modus?
Seitenanfang Seitenende
29.09.2008, 15:32
Moderator

Beiträge: 5694
#4 Dann lass doch alle einmal prüfen.

Abgesicherter Modus:
http://board.protecus.de/t13063.htm

Gruss Swiss
Seitenanfang Seitenende
29.09.2008, 15:35
...neu hier

Themenstarter

Beiträge: 7
#5 Ok, nicht, daß ich hier was kaputt mache.. :-) Soll ich das mit dem abgesicherten Modus dann gleich mal machen oder wollt Ihr Euch erst die Ergebnisse von virustotal ansehen?

Petra
Seitenanfang Seitenende
29.09.2008, 15:36
Moderator

Beiträge: 5694
#6 Nee du kannst beides machen und beim Ergebnis genügt es den PERMANENTLINK zu posten ;)

Gruss Swiss
Seitenanfang Seitenende
29.09.2008, 15:39
...neu hier

Themenstarter

Beiträge: 7
#7 Also das ist das Ergebnis von der BIN-Datei.. erfolglos


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.29 -
AntiVir 7.8.1.34 2008.09.29 -
Authentium 5.1.0.4 2008.09.29 -
Avast 4.8.1195.0 2008.09.29 -
AVG 8.0.0.161 2008.09.29 -
BitDefender 7.2 2008.09.29 -
CAT-QuickHeal 9.50 2008.09.29 -
ClamAV 0.93.1 2008.09.29 -
DrWeb 4.44.0.09170 2008.09.29 -
eSafe 7.0.17.0 2008.09.29 -
eTrust-Vet 31.6.6116 2008.09.29 -
Ewido 4.0 2008.09.29 -
F-Prot 4.4.4.56 2008.09.28 -
F-Secure 8.0.14332.0 2008.09.29 -
Fortinet 3.113.0.0 2008.09.29 -
GData 19 2008.09.29 -
Ikarus T3.1.1.34.0 2008.09.29 -
K7AntiVirus 7.10.473 2008.09.25 -
Kaspersky 7.0.0.125 2008.09.29 -
McAfee 5392 2008.09.25 -
Microsoft 1.3903 2008.09.29 -
NOD32 3479 2008.09.29 -
Norman 5.80.02 2008.09.29 -
Panda 9.0.0.4 2008.09.28 -
PCTools 4.4.2.0 2008.09.29 -
Prevx1 V2 2008.09.29 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.09.29 -
Sophos 4.34.0 2008.09.29 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.09.29 -
TheHacker 6.3.0.9.096 2008.09.29 -
TrendMicro 8.700.0.1004 2008.09.29 -
VBA32 3.12.8.6 2008.09.28 -
ViRobot 2008.9.29.1396 2008.09.29 -
VirusBuster 4.5.11.0 2008.09.29 -
weitere Informationen
File size: 13107200 bytes
MD5...: a66c4123186dad9ecaa5c51441b61f46
SHA1..: 06515c09d49b49574ea20ddb034299ac5e1544d4
SHA256: eab4600ed6ce9eb05f3aac2c9b741b94759400d7d8063395b6664b17763d589d
SHA512: 5e29f51441b6fd63c2f7d700600e4bbb62e2888112905d083d4e947d0f017516
2ac2055f4f749f8fcd592e32fd1990434fec55a016fbcc93710d27c1d384edf7
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

das ist bei der oembios.dat... auch erfolglos

http://www.virustotal.com/de/analisis/cae1122d2f4ad50c1e678bc3fb039613

hier bei der SIG-Datei: auch nix gefunden

http://www.virustotal.com/de/analisis/a88de1fc5600af93d484fa7eb9c8c62d

Habe aber windows mal nach einer oembios.exe suchen lassen und da wurde eine komische Datei gefunden im Windows/Prefech-Ordner. die endet aber mit .pf und hat nur mitten im Namen das Kürzel EXE.
Dieser Beitrag wurde am 29.09.2008 um 15:45 Uhr von lenina1979 editiert.
Seitenanfang Seitenende
29.09.2008, 16:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Faenge mal damit an dein Rechner im abgesicherten Modus mit SDFix zu scannen und poste nachher das Log und wieder ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
29.09.2008, 19:41
...neu hier

Themenstarter

Beiträge: 7
#9 Also ich habe alles laut Anleitung gemacht. Antivir läßt sich wieder updaten, Internet geht wieder schneller (Seitenaufbau) und hier das Hijckthis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:48, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe
C:\Programme\AOL 9.0 VR\waol.exe
C:\Programme\AOL 9.0 VR\shellmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Programme\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=100308 serial=WO12WRX-0000035-UZU lang=DE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless USB 2.0 Adapter HW.14 V.1.00\WlanCU.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 6492 bytes

Und hier das von SDFix:


SDFix: Version 1.230
Run by Petra Schneider on 29.09.2008 at 16:00

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Petra Schneider\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

DNSChanger Trojan Found!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdjbq.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\WINDOWS\\system32\\kdjbq.exe"

Restoring Default System value


Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\kdjbq.exe - Deleted
C:\WINDOWS\SYSTEM32\SYSSER~2.EXE - Deleted
C:\WINDOWS\system32\1.reg - Deleted
C:\WINDOWS\system32\alog.txt - Deleted
C:\WINDOWS\system32\bb1.dat - Deleted
C:\WINDOWS\system32\cookie1.dat - Deleted
C:\WINDOWS\system32\cs.dat - Deleted
C:\WINDOWS\system32\ps1.dat - Deleted
C:\WINDOWS\system32\rc.dat - Deleted
C:\WINDOWS\system32\sfl.txt - Deleted
C:\WINDOWS\system32\siemens32.dll - Deleted
C:\WINDOWS\system32\skrb32.dll - Deleted
C:\WINDOWS\system32\sysservice.dll - Deleted
C:\WINDOWS\system32\sysservice.exe - Deleted
C:\WINDOWS\system32\tb.dr - Deleted
C:\WINDOWS\system32\oembios.exe - Deleted
C:\WINDOWS\system32\sysproc64\sysproc32.sys - Deleted
C:\WINDOWS\system32\sysproc64\sysproc86.sys - Deleted



Folder C:\WINDOWS\system32\sysproc64 - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-29 16:50:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Gemeinsame Dateien\\aol\\1215010774\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\1215010774\\ee\\aolsoftware.exe:*:Enabled:AOL Shared Components"
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\\Games\\Medal Of Honor Russian Version\\Mohaa.exe"="C:\\Games\\Medal Of Honor Russian Version\\Mohaa.exe:*:Enabled:Medal of Honor Allied Assault"
"C:\\Programme\\Buka\\Far Cry\\Bin32\\FarCry.exe"="C:\\Programme\\Buka\\Far Cry\\Bin32\\FarCry.exe:*:Enabled:Far Cry"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Programme\\AOL 9.0 VR\\waol.exe"="C:\\Programme\\AOL 9.0 VR\\waol.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe:*:Enabled:AOL TopSpeed"
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe:*:Enabled:AOL System Information"
"C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"="C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault(tm)"
"C:\\WINDOWS\\system32\\sysservice.exe"="C:\\WINDOWS\\system32\\sysservice.exe:*:Enabled;)NS client"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\DOKUME~1\PETRAS~1\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 4 Aug 2004 94,800 ..SH. --- "C:\WINDOWS\twain.dll"
Wed 4 Aug 2004 50,688 ..SH. --- "C:\WINDOWS\twain_32.dll"
Mon 10 May 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Mon 10 May 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Thu 21 Jun 2007 46,384 A..H. --- "C:\Programme\AOL 9.0 VR\AOLphx.exe"
Thu 24 May 2007 54,832 A..H. --- "C:\Programme\AOL 9.0 VR\AOLphxex.exe"
Thu 24 May 2007 33,328 A..H. --- "C:\Programme\AOL 9.0 VR\rbm.exe"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 4 Aug 2004 1,028,096 ..SH. --- "C:\WINDOWS\system32\mfc42.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Wed 4 Aug 2004 54,784 ..SH. --- "C:\WINDOWS\system32\msvcirt.dll"
Wed 4 Aug 2004 413,696 ..SH. --- "C:\WINDOWS\system32\msvcp60.dll"
Wed 4 Aug 2004 343,040 ..SH. --- "C:\WINDOWS\system32\msvcrt.dll"
Sun 16 Mar 2008 216,064 ..SHR --- "C:\WINDOWS\system32\nbDX.dll"
Tue 4 Dec 2007 550,912 ..SH. --- "C:\WINDOWS\system32\oleaut32.dll"
Wed 4 Aug 2004 83,456 ..SH. --- "C:\WINDOWS\system32\olepro32.dll"
Wed 4 Aug 2004 12,288 ..SH. --- "C:\WINDOWS\system32\regsvr32.exe"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll"
Fri 29 Aug 2008 72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe"
Tue 2 Oct 2007 16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll"
Sat 6 Sep 2008 0 A..H. --- "C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Temp\97bdb7ehpdb7e0.exe"
Fri 29 Aug 2008 21,504 ...H. --- "C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Temp\AutoItDLL.dll"
Sat 13 Sep 2008 243,712 A..H. --- "C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Temp\~311.tmp"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sun 4 Nov 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002 245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002 45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002 98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002 94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002 90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll"
Thu 20 Mar 2008 5,632 ..SHR --- "C:\Programme\eRightSoft\SUPER\spk\1stRun.exe"
Tue 8 Jul 2008 96,072 ...H. --- "C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\WBUnins.exe"
Mon 8 Sep 2008 1,013,760 A..H. --- "C:\Dokumente und Einstellungen\Petra Schneider\Lokale Einstellungen\Anwendungsdaten\Google\Update\Download\BIT296.tmp"

Finished!

Noch eine Frage zum Schluß: wie kann ich mich zukünftig davor schützen?

VIELEN DANK AN DICH FÜR DIESE TOLLE HILFE!!!!
Seitenanfang Seitenende
29.09.2008, 19:55
Moderator

Beiträge: 5694
#10 lenina1979


>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|braviax

Files to delete:
C:\WINDOWS\braviax.exe
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen


>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Entferne auf C:\SDFix\ backups -->papierkorb leeren

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html
Seitenanfang Seitenende
29.09.2008, 20:33
...neu hier

Themenstarter

Beiträge: 7
#11 Ist der Trojaner nicht weg???
Seitenanfang Seitenende
29.09.2008, 20:38
Moderator

Beiträge: 5694
#12 Das will ich sehen. Zur Sicherheit mach was ich geschrieben habe.
Seitenanfang Seitenende
29.09.2008, 21:52
...neu hier

Themenstarter

Beiträge: 7
#13 Hier erstmal das Combofix Log: Jetzt erledige ich den letzten Punkt mit dem datfindbat-Dings.. ;-)

ComboFix 08-09-28.01 - Petra Schneider 2008-09-29 21:44:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.515 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Petra Schneider\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64\sysproc32.sys
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64\sysproc32.sys
C:\Dokumente und Einstellungen\Petra Schneider\Cookies\petra_schneider@asn.advolution[1].txt
C:\Dokumente und Einstellungen\Petra Schneider\Cookies\petra_schneider@de.ebayrtm[1].txt
C:\Dokumente und Einstellungen\Petra Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\Sergej Schneider\Cookies\sergej_schneider@de.ebayrtm[1].txt
C:\Dokumente und Einstellungen\Sergej Schneider\Cookies\sergej_schneider@indextools[2].txt
C:\Dokumente und Einstellungen\Sergej Schneider\Cookies\sergej_schneider@www.ilove[2].txt
C:\Dokumente und Einstellungen\Sergej Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-28 bis 2008-09-29 ))))))))))))))))))))))))))))))
.

2008-09-29 15:55 . 2008-09-29 15:55 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-27 22:27 . 2002-07-04 10:41 187,392 --------- C:\WINDOWS\system\rbser32.dll
2008-09-27 22:27 . 2003-05-14 11:17 92,672 --------- C:\WINDOWS\system\rbserial.dll
2008-09-27 22:12 . 2008-09-27 22:28 <DIR> d-------- C:\WINDOWS\_ISTMP1.DIR
2008-09-27 22:02 . 2008-09-27 22:02 <DIR> d-------- C:\BOSCH_PR
2008-09-27 22:02 . 2002-01-05 12:40 487,424 --------- C:\WINDOWS\system32\msvcp70.dll
2008-09-27 22:02 . 2001-11-08 10:58 153,600 --------- C:\WINDOWS\system32\AWN16.DLL
2008-09-27 22:02 . 2008-09-27 22:27 1,656 --a------ C:\WINDOWS\RbSystem.ini
2008-09-27 22:02 . 2002-12-05 12:01 249 --------- C:\WINDOWS\rbsystem.ini_win2000
2008-09-27 21:55 . 2008-09-27 22:25 <DIR> d-------- C:\Programme\Bosch
2008-09-19 19:27 . 2008-09-19 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\Sergej Schneider\Anwendungsdaten\Groove Games
2008-09-19 06:29 . 2008-09-19 06:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sergej Schneider\AbiSuite
2008-09-18 12:18 . 2008-09-18 12:18 <DIR> d-------- C:\Dokumente und Einstellungen\Petra Schneider\AbiSuite
2008-09-18 12:17 . 2008-09-18 12:17 <DIR> d-------- C:\Programme\AbiSuite2
2008-09-18 09:17 . 2008-09-18 09:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2008-09-18 09:16 . 2008-09-18 09:16 <DIR> d-------- C:\WINDOWS\ShellNew
2008-09-18 09:16 . 2008-09-18 09:17 <DIR> d-------- C:\Programme\WordPerfect Office 12
2008-09-18 09:16 . 2008-09-18 09:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Corel
2008-09-14 12:41 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-09-07 09:44 . 2008-09-07 09:44 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-09-06 00:09 . 2008-09-13 07:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-06 00:09 . 2008-09-06 00:09 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-30 11:45 . 2008-08-30 11:45 <DIR> d-------- C:\Programme\Xesc & Technology
2008-08-29 19:09 . 2008-08-29 19:09 <DIR> d-------- C:\Programme\eRightSoft
2008-08-29 19:09 . 2008-08-29 19:09 <DIR> d-------- C:\Programme\AviSynth 2.5

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 17:17 --------- d-----w C:\Programme\City Interactive
2008-09-18 07:01 --------- d-----w C:\Dokumente und Einstellungen\Petra Schneider\Anwendungsdaten\Corel
2008-09-14 10:53 --------- d-----w C:\Programme\EA GAMES
2008-09-12 08:25 --------- d-----w C:\Programme\AOL 9.0
2008-09-02 22:01 --------- d-----w C:\Programme\Google
2008-08-26 13:18 --------- d-----w C:\Programme\Winamp Toolbar
2008-08-26 13:18 --------- d-----w C:\Programme\Winamp
2008-08-25 12:27 --------- d-----w C:\Dokumente und Einstellungen\Sergej Schneider\Anwendungsdaten\Corel
2008-08-09 14:19 --------- d-----w C:\Dokumente und Einstellungen\Petra Schneider\Anwendungsdaten\Image Zone Express
2008-07-31 12:57 --------- d-----w C:\Dokumente und Einstellungen\Petra Schneider\Anwendungsdaten\Printer Info Cache
2008-07-31 12:56 --------- d-----w C:\Programme\HP
2008-07-31 12:56 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-07-31 12:48 --------- d-----w C:\Programme\hp photosmart
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-05 22:36 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-07-02 19:38 74,610 ----a-w C:\WINDOWS\Web\Wallpaper\UnRussiaX.exe
2004-08-04 12:00 94,800 --sh--w C:\WINDOWS\twain.dll
2004-08-04 12:00 50,688 --sh--w C:\WINDOWS\twain_32.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2004-08-04 12:00 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2004-08-04 12:00 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-04 12:00 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll
2004-08-04 12:00 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll
2008-03-16 12:30 216,064 --sh--r C:\WINDOWS\system32\nbDX.dll
2007-12-04 18:40 550,912 --sh--w C:\WINDOWS\system32\oleaut32.dll
2004-08-04 12:00 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll
2004-08-04 12:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-07-02 98304]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1215010774\ee\AOLSoftware.exe" [2006-09-26 50736]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2004-02-11 2015232]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-18 7606272]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-05-18 86016]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2008-07-02 26112]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"WordPerfect Office 1215"="C:\Programme\WordPerfect Office 12\Programs\Registration.exe" [2004-04-20 733184]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2003-01-30 196608]
"HPHmon03"="C:\WINDOWS\system32\hphmon03.exe" [2003-01-30 311296]
"nwiz"="nwiz.exe" [2006-05-18 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1215010774\\ee\\aolsoftware.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\Buka\\Far Cry\\Bin32\\FarCry.exe"=
"C:\\Programme\\AOL 9.0 VR\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"=

R3 RTLWUSB;802.11g USB 2.0 WLAN Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-04-12 169472]
R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 13532]
S3 Dot4Usb HPH09;Dot4Usb HPH09;C:\WINDOWS\system32\drivers\hphius09.sys [2003-01-30 18864]

*Newly Created Service* - PROCEXP90
*Newly Created Service* - SJYPKT
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Orb - C:\Programme\Winamp Remote\bin\OrbTray.exe
HKCU-Run-swg - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-29 21:45:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-29 21:47:44
ComboFix-quarantined-files.txt 2008-09-29 19:47:03

Vor Suchlauf: 11 Verzeichnis(se), 54.209.298.432 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 57,270,222,848 Bytes frei

167 --- E O F --- 2008-09-10 14:06:17

----------------------------------------------------------------------
----------------------------------------------------------------------

Hier jetzt noch ein Datfindbat-Log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 201A-9C36

Verzeichnis von c:\

29.09.2008 21:55 0 dirdat.txt
29.09.2008 21:47 11.002 ComboFix.txt
29.09.2008 21:33 804.839.424 hiberfil.sys
29.09.2008 21:33 1.207.959.552 pagefile.sys
29.09.2008 21:28 1.894 avenger.txt
02.07.2008 19:56 434 InstallHelper.log
02.07.2008 16:20 0 MSDOS.SYS
02.07.2008 16:20 0 CONFIG.SYS
02.07.2008 16:20 0 IO.SYS
02.07.2008 16:20 0 AUTOEXEC.BAT
02.07.2008 16:14 211 boot.ini
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
14 Datei(en) 2.013.116.217 Bytes
0 Verzeichnis(se), 57.282.813.952 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 201A-9C36

Verzeichnis von C:\WINDOWS\system32

29.09.2008 21:33 62.201 nvapps.xml
27.09.2008 22:31 180.240 FNTCACHE.DAT
20.09.2008 00:29 0 te.txt
17.09.2008 10:31 2.206 wpa.dbl
26.08.2008 22:28 16.208.504 MRT.exe
14.08.2008 03:02 359.230 TZLog.log
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui
14.07.2008 13:09 62.976 tzchange.exe
10.07.2008 13:12 258 HPunins.txt
07.07.2008 22:30 253.952 es.dll
06.07.2008 00:36 43.520 CmdLineExt03.dll
03.07.2008 07:10 311.604 perfh009.dat
03.07.2008 07:10 39.992 perfc009.dat
03.07.2008 07:10 48.156 perfc007.dat
03.07.2008 07:10 316.594 perfh007.dat
03.07.2008 07:10 723.744 PerfStringBackup.INI
02.07.2008 17:14 0 h323log.txt
02.07.2008 16:34 2.780 qtplugin.log
02.07.2008 16:34 157.696 rmoc3260.dll
02.07.2008 16:34 5.632 pndx5032.dll
02.07.2008 16:34 25.088 prefscpl.cpl
02.07.2008 16:34 6.656 pndx5016.dll
02.07.2008 16:34 278.528 pncrt.dll
02.07.2008 16:22 249 $winnt$.inf
02.07.2008 16:20 2.951 CONFIG.NT
02.07.2008 16:20 16.832 amcompat.tlb
02.07.2008 16:20 23.392 nscompat.tlb
02.07.2008 16:19 488 logonui.exe.manifest
02.07.2008 16:19 488 WindowsLogon.manifest
02.07.2008 16:18 749 ncpa.cpl.manifest
02.07.2008 16:18 749 cdplayer.exe.manifest
02.07.2008 16:18 749 sapi.cpl.manifest
02.07.2008 16:18 749 nwc.cpl.manifest
02.07.2008 16:18 749 wuaucpl.cpl.manifest
02.07.2008 16:17 21.740 emptyregdb.dat
24.06.2008 18:22 74.240 mscms.dll
24.06.2008 12:07 49.152 inetwh32.dll
24.06.2008 12:07 1.044.480 roboex32.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:39 247.296 mswsock.dll
20.06.2008 19:39 148.992 dnsapi.dll
Dieser Beitrag wurde am 29.09.2008 um 21:57 Uhr von lenina1979 editiert.
Seitenanfang Seitenende
29.09.2008, 22:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .

Auch wenn man die Updates runter geladen hat ,sollte vor den Scan nochmal Aktualisieren !
Und nehme als Aktualisierungsspiegel:SecuriryWorks.net

Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus
Seitenanfang Seitenende