Warnung von kaspersky:trojaner |
||
---|---|---|
#0
| ||
29.11.2008, 15:49
Member
Beiträge: 25 |
||
|
||
29.11.2008, 16:54
Moderator
Beiträge: 7805 |
#2
Hallo dksb,
reiche bitte die Punkte 2-4 aus http://board.protecus.de/t23188.htm nach. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.11.2008, 16:17
Member
Themenstarter Beiträge: 25 |
#3
danke für die schnelle antwort...hier die schritte 2-4
ComboFix 08-11-29.03 - familie 2008-11-30 16:06:23.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1581 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\familie\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\windows\system32\ijdija.dll c:\windows\system32\juujfivf.dll c:\windows\system32\jykyru.dll c:\windows\system32\tqooshwe.ini c:\windows\system32\tuvTnLdd.dll c:\windows\system32\vebovcmq.dll c:\windows\Tasks\nghgwrrq.job c:\windows\Temp\tmp3.tmp ----- BITS: Eventuell infizierte Webseiten ----- hxxp://childhe.com . ((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 )))))))))))))))))))))))))))))) . 2008-11-30 15:48 . 2008-11-30 15:48 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-11-30 15:48 . 2008-11-30 15:48 <DIR> d-------- c:\dokumente und einstellungen\familie\Anwendungsdaten\Malwarebytes 2008-11-30 15:48 . 2008-11-30 15:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-11-30 15:48 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-30 15:48 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-28 21:30 . 2008-11-28 21:30 <DIR> d-------- c:\programme\EA Games 2008-11-26 14:42 . 2008-11-26 14:44 <DIR> d-------- c:\programme\Security Task Manager 2008-11-26 14:42 . 2008-11-27 16:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-11-26 14:29 . 2008-11-26 14:29 <DIR> d-------- c:\programme\Uniblue 2008-11-26 14:29 . 2008-11-26 14:29 <DIR> d-------- c:\dokumente und einstellungen\familie\Anwendungsdaten\Uniblue 2008-11-26 14:29 . 2008-11-26 14:29 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185} 2008-11-25 13:20 . 2008-11-25 13:20 <DIR> d-------- c:\programme\Lavasoft 2008-11-25 13:20 . 2008-11-25 13:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-11-19 10:46 . 2008-11-19 10:46 <DIR> d-------- c:\programme\gs 2008-11-19 10:46 . 2008-11-19 10:46 <DIR> d-------- c:\programme\FreePDF_XP 2008-11-19 10:46 . 2008-11-26 16:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\FreePDF 2008-11-19 10:46 . 2008-02-25 22:23 119,152 --a------ c:\windows\system32\redmon.hlp 2008-11-19 10:46 . 2008-02-25 22:23 116,224 --a------ c:\windows\system32\redmonnt.dll 2008-11-19 10:46 . 2008-02-25 22:23 45,056 --a------ c:\windows\system32\unredmon.exe 2008-11-19 10:46 . 2008-11-19 10:46 43 --a------ c:\windows\gswin32.ini 2008-11-18 14:14 . 2008-11-18 14:17 <DIR> d--h----- c:\programme\Zero G Registry 2008-11-18 14:14 . 2008-11-18 14:14 <DIR> d--h----- c:\dokumente und einstellungen\familie\InstallAnywhere 2008-11-12 17:30 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-12 17:29 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-11 13:42 . 2008-11-11 13:42 <DIR> d-------- c:\programme\MoRUN.net 2008-11-11 13:18 . 2008-11-11 13:18 0 --a------ c:\windows\ynh.dx 2008-11-02 16:22 . 2008-11-02 16:22 <DIR> d-------- c:\programme\R 2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- c:\windows\uninstall\Patiencen 2.0 2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- c:\windows\uninstall 2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- c:\programme\Spiele 2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- C:\Patiencen Suite 2008 2008-10-24 14:47 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll 2008-10-21 14:20 . 2008-10-21 14:20 <DIR> d-------- c:\windows\system32\de-de 2008-10-21 14:20 . 2008-10-21 14:20 <DIR> d-------- c:\windows\system32\de 2008-10-21 14:20 . 2008-10-21 14:20 <DIR> d-------- c:\windows\system32\bits 2008-10-21 14:17 . 2008-10-21 14:17 <DIR> d-------- c:\windows\ServicePackFiles 2008-10-21 14:05 . 2008-10-21 14:05 <DIR> d-------- c:\windows\EHome 2008-10-21 08:52 . 2004-08-03 23:38 701,952 --------- c:\windows\system32\drivers\ati2mtag.sys 2008-10-16 09:08 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe 2008-10-16 09:08 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe 2008-10-16 09:08 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe 2008-10-16 09:08 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe 2008-10-16 09:08 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2008-10-16 09:08 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys 2008-10-08 10:56 . 2008-10-08 10:56 <DIR> d-------- C:\Logs 2008-10-07 19:04 . 2008-10-17 19:56 <DIR> d-------- c:\programme\World of Warcraft . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-30 15:10 1,306,144 --sha-w c:\windows\system32\drivers\fidbox2.dat 2008-11-30 15:09 123,452 --sha-w c:\windows\system32\drivers\fidbox2.idx 2008-11-30 15:09 108,887,328 --sha-w c:\windows\system32\drivers\fidbox.dat 2008-11-30 15:09 1,456,652 --sha-w c:\windows\system32\drivers\fidbox.idx 2008-11-30 15:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-11-28 20:38 --------- d-----w c:\dokumente und einstellungen\familie\Anwendungsdaten\Azureus 2008-11-28 18:07 --------- d-----w c:\programme\eMule 2008-11-28 14:54 --------- d-----w c:\dokumente und einstellungen\familie\Anwendungsdaten\Skype 2008-11-26 13:54 --------- d-----w c:\dokumente und einstellungen\familie\Anwendungsdaten\OpenOffice.org2 2008-11-25 12:20 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-11-24 13:08 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft 2008-11-24 10:07 --------- d-----w c:\programme\ICQ6 2008-11-23 19:17 --------- d-----w c:\programme\Azureus 2008-11-16 17:59 --------- d-----w c:\programme\PokerStars 2008-10-24 13:27 --------- d-----w c:\programme\HP 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-08 09:38 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2008-03-07 16:56 1,440 ----a-w c:\dokumente und einstellungen\familie\Anwendungsdaten\filterclsid.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "HerculesCamService"="c:\programme\Hercules\Hercules Blog Webcam\CamService.exe" [2006-10-04 106496] "HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-26 218376] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 c:\windows\system32\HdAShCut.exe] "nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\familie\Startmen\Programme\Autostart\ Need for SpeedT Undercover Registration.lnk - c:\programme\EA Games\Need for Speed Undercover\Support\EAregister.exe [2008-10-22 4369408] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^familie^Startmenü^Programme^Autostart^Need for Speed™ Undercover Registration.lnk] path=c:\dokumente und einstellungen\familie\Startmenü\Programme\Autostart\Need for Speed™ Undercover Registration.lnk backup=c:\windows\pss\Need for Speed™ Undercover Registration.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-07-17 13:20 490952 c:\programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] --a------ 2008-09-01 16:08 173304 c:\programme\ICQ6\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 11:34 5724184 c:\programme\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2009] --a------ 2008-08-26 17:48 2019624 c:\programme\Uniblue\RegistryBooster\RegistryBooster.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" "TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" "HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe "HerculesCamService"=c:\programme\Hercules\Hercules Blog Webcam\CamService.exe "ooccctrl.exe"=c:\programme\OO Software\CleverCache\ooccctrl.exe /tasktray [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\eMule\\emule.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2008-11-28 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\familie\Anwendungsdaten\Mozilla\Firefox\Profiles\4zv68zyx.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-30 16:10:32 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** "ServiceDll"="c:\windows\system32\es.dll" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FAH@C:+Dokumente und Einstellungen+familie+Eigene Dateien+Azureus Downloads+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+FAH.exe] . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(900) c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll c:\windows\system32\klogon.dll - - - - - - - > 'lsass.exe'(960) c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\dnsq.dll c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Lavasoft\Ad-Aware\aawservice.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\oodag.exe c:\programme\OO Software\CleverCache\ooccag.exe c:\windows\system32\HPZipm12.exe c:\windows\system32\rundll32.exe c:\windows\system32\wscntfy.exe c:\progra~1\MICROS~3\rapimgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-30 16:14:02 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-30 15:12:45 Vor Suchlauf: 22 Verzeichnis(se), 18.641.444.864 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 18,575,917,056 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 231 --- E O F --- 2008-10-24 14:06:24 und nochmal das log von malwarebytes: Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1437 Windows 5.1.2600 Service Pack 3 30.11.2008 16:00:13 mbam-log-2008-11-30 (16-00-13).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 49206 Laufzeit: 1 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 4 Infizierte Registrierungsschlüssel: 24 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\fccdaxwx.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\ijppjpuq.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\tuvwUMDV.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\ttjvkxcm.dll (Trojan.Vundo.H) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvwumdv (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{df81e70f-1547-4568-8389-aa83334abac7} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{df81e70f-1547-4568-8389-aa83334abac7} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffc2c35c-591b-4757-9130-924869a96572} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{ffc2c35c-591b-4757-9130-924869a96572} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ffc2c35c-591b-4757-9130-924869a96572} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9422627b (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fccdaxwx -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fccdaxwx -> Delete on reboot. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\tuvwUMDV.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\qlojww.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\fccdaxwx.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\xwxadccf.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xwxadccf.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ijppjpuq.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\qupjppji.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mebiqbyv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vybqibem.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ttjvkxcm.dll (Trojan.Vundo.H) -> Delete on reboot. |
|
|
||
30.11.2008, 17:53
Moderator
Beiträge: 7805 |
#4
Das sieht doch "rund" aus.
Hake in Hijackthis den O23 - Service: FAH@ Eintrag an und druecke fix checked... Ist sonst noch irgendwas, was dir auffaellt? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.11.2008, 18:34
Member
Themenstarter Beiträge: 25 |
#5
also soweit scheint alles in ordnung...ich danke dir vielmals!!!
Lg[/img] |
|
|
||
30.11.2008, 18:38
Moderator
Beiträge: 7805 |
#6
Nutze bitte nocheinmal www.windowsupdate.com und installiere dir dort alle wichtigen Updates, die dir dort angeboten werden.
Achso, ein update auf KAV 2009 waere auch ratsam, sofern du KAV als kaufversion und nicht als trial einsetzt. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.12.2008, 14:11
Member
Themenstarter Beiträge: 25 |
#7
hmmm...hatte gestern schon wieder eine warnung von kaspersky wegen adaware und trojanem programm Trojan.Win32.Pakes.jzu obwohl ich nichts neues runtergeladen oder instaliert habe....hast du eine idee was ich noch machen könnte, oder woher das kommt?!
Lg |
|
|
||
01.12.2008, 15:27
Moderator
Beiträge: 7805 |
||
|
||
01.12.2008, 17:24
Member
Themenstarter Beiträge: 25 |
#9
langsam bin ich am verzweifeln kaspersly gibt einmal stündlich ne warnung...habe rootkit suche mit kaspersky laufen lassen und er hat prompt 5 verschiedene trojaner oder was auch immer gefunden hat diese auch desinfiziert aber die meldungen kommen immer wieder
Infiziert: trojanisches Programm Trojan.Win32.Monder.aane c:\qoobox\quarantine\c\windows\system32\tuvtnldd.dll.vir 64 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.aamx C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP542\A0058358.dll 69,5 KB Infiziert: trojanisches Programm Trojan.Win32.Monderb.xfk C:\WINDOWS\system32\awtuspmm.dll 37,5 KB Infiziert: trojanisches Programm Trojan-Downloader.Win32.Small.aggp c:\windows\system32\paso.el 17,6 KB Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP543\A0058388.dll 104 KB Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP543\A0058389.dll 104 KB Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\ijdija.dll.vir 104 KB Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\vebovcmq.dll.vir 104 KB Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\jykyru.dll.vir 104 KB Infiziert: trojanisches Programm Trojan-Downloader.Win32.Small.aggp C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP542\A0057391.el 17,6 KB Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\juujfivf.dll.vir 104 KB Infiziert: trojanisches Programm Trojan.JS.Agent.dx C:\PROGRA~1\MOZILL~1\chrome\chrome\content\browser.js 3,6 KB kannst du mir da weiter helfen?! LG |
|
|
||
02.12.2008, 02:28
Moderator
Beiträge: 5694 |
#10
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Stelle Antivir so ein wie hier beschrieben und scanne und poste das Log: http://board.protecus.de/t23979.htm (Dannach die Heuristik wieder auf mittel stellen) Gruss Swiss |
|
|
||
ich bräuchte mal eure hilfe, habe mir gestern glaube ich einen trojaner eingefangen...
im internet werden ständig werbefenster aufgemacht und ich kann automatische updates nicht aktivieren.
gestern baned kam die meldung vom kaspersky, das ein trojaner entdeckt wurde...ich habe löschen angeklickt und heute sowas....
habe hijackthis drüber laufen lassen hier das logfile:
Logfile of HijackThis v1.99.1
Scan saved at 15:45:54, on 29.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hercules\Hercules Blog Webcam\CamService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\familie\Desktop\system programme\hijackthis_199\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HerculesCamService] C:\Programme\Hercules\Hercules Blog Webcam\CamService.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Need for Speed™ Undercover Registration.lnk = C:\Programme\EA Games\Need for Speed Undercover\Support\EAregister.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik fur Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C5A6C50-903F-4B20-B49A-CD1C800C9C92}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll ijdija.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: FAH@C:+Dokumente und Einstellungen+familie+Eigene Dateien+Azureus Downloads+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+FAH.exe - Unknown owner - C:\Dokumente und Einstellungen\familie\Eigene Dateien\Azureus Downloads\DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING\DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING\FAH.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
hoffe mir kann geholfen werden
Lg