Virtumonde entfernen! |
||
---|---|---|
#0
| ||
01.10.2008, 17:29
...neu hier
Beiträge: 4 |
||
|
||
01.10.2008, 17:39
Moderator
Beiträge: 5694 |
#2
TheNick
>> Lass folgende Datei bei www.virustotal.com/de prüfen: C:\WINDOWS\System32\Drivers\bwcsrv.exe >> cleaner anwenden http://www.virus-protect.org/ccleaner.html >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei Zitat O4 - HKLM\..\Run: [prunnet] "C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe"und wähle fix checked. >> Scanne mit Malwarebytes und lösche was gefunden wird + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html >> wende Combofix an - Warnmeldung wegklicken + poste den report http://virus-protect.org/artikel/tools/combofix.html Gruss Swiss Dieser Beitrag wurde am 01.10.2008 um 17:45 Uhr von Tonstudio editiert.
|
|
|
||
01.10.2008, 18:28
...neu hier
Themenstarter Beiträge: 4 |
#3
bwcsrv.exe is virenfrei! Scheint ne Datei von ner alten W-Lan Karte zu sein!
Cleaner angewendet! Hijackthis Einträge entfernt! (bis auf O4 - Global Startup: MLB.TV NexDef Plug-in.lnk = C:\Programme\Autobahn\mlb-nexdef-autobahn.exe. Das is ne Datei die für MLB.TV benötigt wird) Malwarebytes Log: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1134 Windows 5.1.2600 Service Pack 2 01.10.2008 18:11:42 mbam-log-2008-10-01 (18-11-42).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 48354 Laufzeit: 23 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 10 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\AntiSpywareMaster (Rogue.AntiSpywareMaster) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\BM4f18ff9f.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM4f18ff9f.txt (Trojan.Vundo) -> Quarantined and deleted successfully. ------------------------------------------------------------------------ Combofix Log: ComboFix 08-09-30.03 - Niki 2008-10-01 18:14:50.5 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat C:\Dokumente und Einstellungen\Niki\Lokale Einstellungen\TempNER8D7B4823.exe C:\Dokumente und Einstellungen\Niki\Lokale Einstellungen\TempNERA59718BE.exe C:\Temp\1cb C:\Temp\1cb\syscheck.log C:\WINDOWS\system32\MSINET.oca ----- BITS: Eventuell infizierte Webseiten ----- hxxp://updates.swarmcast.net . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BOONTY_GAMES -------\Legacy_MCHINJDRV -------\Service_Boonty Games -------\Service_WinDriver ((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 )))))))))))))))))))))))))))))) . 2008-09-30 06:28 . 2008-09-30 06:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft 2008-09-30 05:19 . 2008-09-30 05:19 <DIR> d-------- C:\Programme\Trend Micro 2008-09-30 04:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-30 04:40 . 2008-09-30 04:40 <DIR> d-------- C:\VundoFix Backups 2008-09-30 04:25 . 2008-09-30 04:38 <DIR> d-------- C:\Programme\Enigma Software Group 2008-09-30 02:01 . 2008-09-30 02:01 123,904 --a------ C:\WINDOWS\system32\faoamoim.dll 2008-09-30 01:55 . 2008-09-30 02:45 <DIR> d--hs---- C:\WINDOWS\TmlraQ 2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\WINDOWS\system32\wc1 2008-09-30 01:55 . 2008-09-30 02:45 <DIR> d-------- C:\WINDOWS\system32\psc 2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\WINDOWS\system32\ontz 2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\WINDOWS\system32\EV19 2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\Temp\xp34 2008-09-30 01:55 . 2008-09-30 01:55 71,824 --a------ C:\WINDOWS\system32\sjtqdbwszhkb.exe 2008-09-22 12:23 . 2008-09-22 12:23 167,936 --a------ C:\WINDOWS\system32\hferzchgcu.dll 2008-09-09 19:52 . 2008-09-09 19:52 <DIR> d-------- C:\WINDOWS\048298C9A4D3490B9FF9AB023A9238F3.TMP 2008-09-03 05:56 . 2008-09-03 05:56 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Teeworlds . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-30 04:26 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-30 04:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-30 02:48 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware 2008-09-30 01:58 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-09-30 00:29 --------- d-----w C:\Programme\Lavasoft 2008-09-30 00:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-30 00:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-09-28 22:45 --------- d--h--w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Move Networks 2008-09-24 17:12 --------- d-s---w C:\Programme\HLSW 2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-08-27 21:26 --------- d-----w C:\Programme\Gamers.IRC 2008-08-08 17:53 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft Games 2008-08-05 14:31 --------- d-----w C:\Programme\eMule 2008-07-11 16:42 43,520 -c--a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 482760] "DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 541184] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 3144800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 344064] "LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187] "BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 270336] "WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 276480] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 3144800] "avgnt"="I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 282624] "Logitech Utility"="Logi_MwX.Exe" [2003-03-04 C:\WINDOWS\LOGI_MWX.EXE] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] 2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions "NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\FlashGet\\FlashGet.exe"= "C:\\Programme\\PPMate\\ppmate.exe"= "C:\\Programme\\PPMate\\ppamnet.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 156800] R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 5248] R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 9600] R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 4608] R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 120320] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys [ ] S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512] S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys [ ] S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 419584] S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 372480] S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys [ ] S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 13532] S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 9984] S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 9984] S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 16128] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}] \Shell\AutoRun\command - J:\ClickMe.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff6b9f2d-f9c9-11db-8e55-00301bb37705}] \Shell\AutoRun\command - H:\Autorun.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Mozilla\Firefox\Profiles\gaeoitrz.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.verplano.de/ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-01 18:22:31 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\ati2evxx.exe I:\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\drivers\BWCSRV.EXE C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE C:\Programme\Autobahn\mlb-nexdef-autobahn.exe C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-01 18:26:25 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-01 16:26:08 ComboFix2.txt 2008-06-30 19:47:10 Vor Suchlauf: 109.920.256 Bytes frei Nach Suchlauf: 67,747,840 Bytes frei 167 |
|
|
||
01.10.2008, 18:45
Moderator
Beiträge: 5694 |
#4
TheNick
Lass folgende Dateien bei Virustotal prüfen: C:\WINDOWS\system32\faoamoim.dll C:\WINDOWS\system32\sjtqdbwszhkb.exe C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys (evtl Rootkit) C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys >> Hast du hier ein JOKE Programm auf einem USB Stick welches Dir bekannt ist? Zitat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]>> Wende sdfix im abgesicherten Modus an und poste das Log: http://virus-protect.org/artikel/tools/sdfix.html >> Erstelle ein Log mittels DATFINDBAT: http://virus-protect.org/datfindbat.html >> JAVA Update: Download http://java.sun.com/javase/downloads/index.jsp Scrolle runter nach ---->Java Runtime Environment (JRE) 6 Update 7 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6u7-windows-i586-p.exe ” zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu startenInstalliere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe Gruss Swiss Für mich: Zitat Folders to delete: Dieser Beitrag wurde am 01.10.2008 um 22:41 Uhr von Tonstudio editiert.
|
|
|
||
01.10.2008, 19:43
...neu hier
Themenstarter Beiträge: 4 |
#5
C:\WINDOWS\system32\faoamoim.dll -> Virtumonde
C:\WINDOWS\system32\sjtqdbwszhkb.exe -> Cloaked Malware Die anderen 2 Dateien sind nich mehr da! Hab kein Laufwerk J und die Datei is mir auch nich bekannt. Is also unwichtig und kann wohl gelöscht werden. SDFix: SDFix: Version 1.230 Run by Niki on 01.10.2008 at 19:08 Microsoft Windows XP [Version 5.1.2600] Running From: C:\Dokumente und Einstellungen\Niki\Desktop\SDFix\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-01 19:18:05 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:3111cb74 "s2"=dword:6473f0ab "h0"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "h0"=dword:00000001 "ujdew"=hex:da,21,7b,30,6d,b2,4a,4c,56,5c,f8,7b,9d,d5,f9,fd,90,60,ac,88,37,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:ff,95,91,c4,6e,50,ac,42,e6,6d,b5,16,5c,d3,21,d4,a4,0d,7d,6b,3a,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "khjeh"=hex:4d,37,2e,de,0b,82,c6,7c,86,05,d8,6b,6e,f5,b9,f5,f4,69,e3,e3,ec,.. "a0"=hex:20,01,00,00,ae,64,95,fc,47,a9,09,8e,5a,70,83,49,8e,6e,e2,7a,c0,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:f6,59,bb,ed,7d,37,25,e1,d6,72,cd,f4,cc,6c,44,b8,1c,b6,19,97,2c,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "h0"=dword:00000001 "ujdew"=hex:33,01,0e,dd,95,b0,8e,7a,81,df,10,7c,01,07,cf,65,7a,b6,ad,67,d4,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:2b,8b,6f,37,bd,ca,07,05,8a,a1,a1,4f,28,9a,ea,46,f6,b0,58,07,a8,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,cd,e1,18,c3,8a,5c,fb,1e,15,30,71,bb,9b,15,15,dd,33,.. "khjeh"=hex:95,80,17,b7,3e,dc,56,eb,3e,8c,65,65,99,b9,d2,c8,70,2c,93,b3,b9,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:8b,1a,9e,d4,ae,07,45,90,8d,4b,79,53,24,86,c5,27,4c,09,a5,65,60,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "h0"=dword:00000001 "ujdew"=hex:da,21,7b,30,6d,b2,4a,4c,56,5c,f8,7b,9d,d5,f9,fd,90,60,ac,88,37,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:ff,95,91,c4,6e,50,ac,42,e6,6d,b5,16,5c,d3,21,d4,a4,0d,7d,6b,3a,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "khjeh"=hex:4d,37,2e,de,0b,82,c6,7c,86,05,d8,6b,6e,f5,b9,f5,f4,69,e3,e3,ec,.. "a0"=hex:20,01,00,00,ae,64,95,fc,47,a9,09,8e,5a,70,83,49,8e,6e,e2,7a,c0,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:f6,59,bb,ed,7d,37,25,e1,d6,72,cd,f4,cc,6c,44,b8,1c,b6,19,97,2c,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\FlashGet\\FlashGet.exe"="C:\\Programme\\FlashGet\\FlashGet.exe:*:Enabled:Flashget" "C:\\Programme\\PPMate\\ppmate.exe"="C:\\Programme\\PPMate\\ppmate.exe:*:EnabledPMate" "C:\\Programme\\PPMate\\ppamnet.exe"="C:\\Programme\\PPMate\\ppamnet.exe:*:EnabledPMate" "C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Remaining Files : Files with Hidden Attributes : Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\is-GJGAE.tmp" Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Sun 20 Feb 2005 22,528 A..H. --- "C:\WINDOWS\system32\cleaner12.exe" Wed 30 Jun 2004 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Finished! Dafindbot: Datentr„ger in Laufwerk C: ist Festplatte Volumeseriennummer: 4C2B-CCAC Verzeichnis von c:\ 01.10.2008 19:24 0 dirdat.txt 01.10.2008 19:15 1.073.741.824 pagefile.sys 01.10.2008 18:26 10.338 ComboFix.txt 30.09.2008 19:45 7.393 moduleName.txt 30.09.2008 04:40 1.026 VundoFix.txt 30.09.2008 02:48 2.157 aaw7boot.log 28.05.2008 01:32 108.356 test.log 06.10.2007 18:16 2.608 crashAddress.txt 10.09.2007 23:22 19.327 SDSSetup.log 21.08.2007 23:27 211 boot.ini 21.08.2007 23:16 47.564 NTDETECT.COM 21.08.2007 23:16 251.184 ntldr 01.08.2007 13:47 0 out.avi 23.03.2007 17:34 1.470 debugInstaller.txt 25.11.2004 17:20 183 LogiSetup.log 02.10.2004 15:02 0 winspec.dat 02.10.2004 14:52 2 x.cab 23.07.2004 16:10 22 BIOSSTR.INI 10.07.2004 21:42 3 TCPCheckResult.txt 29.06.2004 10:13 0 IO.SYS 29.06.2004 10:13 0 AUTOEXEC.BAT 29.06.2004 10:13 0 CONFIG.SYS 29.06.2004 10:13 0 MSDOS.SYS 18.08.2001 14:00 4.952 bootfont.bin 24 Datei(en) 1.074.198.620 Bytes 0 Verzeichnis(se), 12.566.528 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte Volumeseriennummer: 4C2B-CCAC Verzeichnis von C:\WINDOWS\system32 30.09.2008 02:01 123.904 faoamoim.dll 30.09.2008 02:01 0 4708087d-.txt 30.09.2008 01:55 71.824 sjtqdbwszhkb.exe 27.09.2008 18:11 2.278 wpa.dbl 22.09.2008 12:23 167.936 hferzchgcu.dll 18.07.2008 17:19 9 srss.dat 11.07.2008 18:42 43.520 CmdLineExt03.dll 30.06.2008 20:39 1.426.728 FNTCACHE.DAT 16.05.2008 11:58 12.632 lsdelete.exe 02.04.2008 03:51 408.686 perfh007.dat 02.04.2008 03:51 60.112 perfc009.dat 02.04.2008 03:51 394.778 perfh009.dat 02.04.2008 03:51 72.512 perfc007.dat 02.04.2008 03:51 947.974 PerfStringBackup.INI 02.04.2008 03:51 16.832 amcompat.tlb 02.04.2008 03:51 23.392 nscompat.tlb 02.03.2008 02:43 308 results.txt 21.01.2008 01:35 2.019 sdbackup.reg 17.01.2008 17:22 33.217 LVCOMSX.LOG 13.01.2008 21:29 107.888 CmdLineExt.dll Neue Java-Version installier! |
|
|
||
01.10.2008, 22:56
Moderator
Beiträge: 5694 |
#6
TheNick
>> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Folders to delete:- setze ein Häkchen in: "Automatically disable any rootkits found" - Das Häkchen "Scan for Rootkits" ist schon automatisch angehakt. - schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm Nach dem Scann die Heuristik auf "mittel" zurückdrehen Gruss Swiss Dieser Beitrag wurde am 01.10.2008 um 23:15 Uhr von Tonstudio editiert.
|
|
|
||
02.10.2008, 00:51
...neu hier
Themenstarter Beiträge: 4 |
#7
Ok,alles erledigt.
Antivir hat nichts mehr gefunden! Denke das Problem sollte behoben sein! Vielen Dank für die schnelle und kompetente Hilfe! |
|
|
||
02.10.2008, 01:15
Ehrenmitglied
Beiträge: 6028 |
#8
Mache noch folgendes
Download OTCleanIt. by OldTimer zum Desktop Schliesse alle Fenster Doppelklick: OTCleanIt. Klicke: CleanUp Wenn gefragt wird “Do you want to reboot now?”klicke “Yes” Dein Rechner wird neu gestartet Jetzt werden Reste von Tools die früher mal benutzt wurden,entfernt __________ MfG Argus |
|
|
||
hab mir gestern den Virtumonde Virus eingefangen. Bekanntlich helfen da normale Antivirus Programme nichts und es wäre nett wenn mir da jemand spezifisch helfen könnte!
Es öffnen sich störende IE Popups, teilweise auch bei Firefox und der PC is ziemlich langsam!
System: Windows XP!
Hier das HijackThis Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:23, on 01.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WZShutdown\P_zero.exe
C:\Programme\ICQLite\ICQLite.exe
I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe
C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Autobahn\mlb-nexdef-autobahn.exe
I:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\Drivers\bwcsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [prunnet] "C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe"
O4 - HKLM\..\Run: [hwodncvtlh] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\hferzchgcu.dll" EntryPoint
O4 - HKLM\..\Run: [avgnt] "I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM4f18ff9f] Rundll32.exe "C:\WINDOWS\system32\evmftiht.dll",s
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools\daemon.exe"
O4 - HKCU\..\Run: [Eaob] "C:\PROGRA~1\FNTS~1\rundll.exe" -vt ndrv
O4 - HKCU\..\Run: [Qlay] C:\Programme\?icrosoft.NET\w?auboot.exe
O4 - HKCU\..\Run: [DesktopX] "C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe"
O4 - HKCU\..\Run: [prunnet] "C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MLB.TV NexDef Plug-in.lnk = C:\Programme\Autobahn\mlb-nexdef-autobahn.exe
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programme\Poker.com\poker.exe (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.2.76.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4F18FFF5-85B9-4378-A1B4-06743830EC70} (WAPUploaderAX Class) - http://www.web-a-photo.com/WebaphotoUploaderXP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2876dbca90b864336a18/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153258065248
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153258056108
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - I:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\System32\Drivers\bwcsrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
--
End of file - 9467 bytes