Trojaner Vundo- Popups / Edit: keine Internetverbindung möglich |
||
---|---|---|
#0
| ||
10.01.2009, 16:32
Member
Beiträge: 13 |
||
|
||
11.01.2009, 01:54
Ehrenmitglied
Beiträge: 6028 |
#2
Hast du schon selber sachen in HJ gefixt?
Und warum wird kein Antiviren scanner benutzt? __________ MfG Argus |
|
|
||
11.01.2009, 12:44
Member
Themenstarter Beiträge: 13 |
#3
Guten Morgen!
Bin wieder zu Hause und zu meiner Überraschung, an meinem eigenen Pc, d.h. Internet funktioniert wieder. Zu deinen Fragen: Ja, ich glaube ich habe gestern selbst was in HJT gefixt. Kein Antivirenscanner wird benutzt, weil ich gestern kein Inet hatte um mir nen vernünftigen zu besorgen, und abends nicht zuhause war. Allerdings meint mein Bruder grade, er hätte gestern abend noch CureIt von Dr.Web laufen lassen, und nochmal Malwarebytes, und beides mal noch Trojaner gefunden bzw. gelöscht. Vielleicht geht Internet deswegen wieder. Werde mal neue LogDateien erstellen. Bin grade im Icq von 2 verdächtigen Nummern geaddet worden, daher ist glaube ich noch nicht alles weg. |
|
|
||
11.01.2009, 13:28
Ehrenmitglied
Beiträge: 6028 |
#4
Start > Ausführen> Kopiere rein ComboFix /U OK
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als del.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden Zitat @ECHO OFFDoppelklick del.bat und poste den inhalt vom Logfile AntiVirenscanner (kostenlos) Antivir AVG8 Bitdefender 10 Avast Comodo __________ MfG Argus |
|
|
||
11.01.2009, 13:57
Member
Themenstarter Beiträge: 13 |
#5
Deleting files
c:\windows\system32\ylpvr deleted successfully c:\windows\Tasks\nujkgwmv.job deleted successfully Antivir habe ich mir schon runtergeladen und laufen lassen. Hier der Antivir-Log: Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'osd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Traymon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MMKeybd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nhksrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '34' Prozesse mit '34' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '45' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\ff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B1C2DB0J\cd[1].htm [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Dokumente und Einstellungen\ff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B1C2DB0J\cd[1].htm [FUND] Ist das Trojanische Pferd TR/Dldr.Suurch.HS [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c4dfe3.qua' verschoben! C:\Dokumente und Einstellungen\ff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P8LN3J3I\index[1] [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cddff4.qua' verschoben! C:\Dokumente und Einstellungen\hey\Anwendungsdaten\ICQLite\diviant.exe [FUND] Ist das Trojanische Pferd TR/FakeAntiSpyw.AKM [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49dfdffa.qua' verschoben! C:\Dokumente und Einstellungen\hey\Anwendungsdaten\Identities\moggi.exe [FUND] Ist das Trojanische Pferd TR/FakeAntiSpyw.AKM [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d0e034.qua' verschoben! C:\Dokumente und Einstellungen\hey\Desktop\Downloads\personaldefender2009.exe [FUND] Ist das Trojanische Pferd TR/FraudPack.gsg.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49dbe071.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\3439102182.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Suurch.HS [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499ce08a.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\4134353414.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Suurch.HS [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499ce090.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\A0056348.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e0a7.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\backup-20090109-005610-212.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cce0de.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\backup-20090109-011141-809.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cce0e2.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\backup-20090109-011338-337.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cce0e4.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\backup-20090109-011345-298.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cce0e6.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\backup-20090109-011349-395.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cce0e8.qua' verschoben! C:\Dokumente und Einstellungen\hey\DoctorWeb\Quarantine\upd105320[1] [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cde0fc.qua' verschoben! C:\HijackThis\backups\backup-20090109-005610-816.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cce1f3.qua' verschoben! C:\HijackThis\backups\backup-20090109-011141-513.dll [FUND] Ist das Trojanische Pferd TR/PSW.LdPinch.BO.5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cce1f6.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\ztoxit.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d8e583.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP275\A0056350.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e55c.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP275\A0056351.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e55f.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP275\A0056352.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e561.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP275\A0056353.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e563.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP275\A0056354.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e564.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP275\A0056355.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e565.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP275\A0056356.dll [FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e567.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056403.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e56a.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056519.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e56d.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056520.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e56f.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056521.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e570.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056522.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e572.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056554.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e574.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056555.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e575.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056556.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e577.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056557.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e578.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP276\A0056558.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e579.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056569.exe [FUND] Ist das Trojanische Pferd TR/FakeAntiSpyw.AKM [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e591.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056570.exe [FUND] Ist das Trojanische Pferd TR/FakeAntiSpyw.AKM [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e593.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056571.exe [FUND] Ist das Trojanische Pferd TR/FraudPack.gsg.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e595.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056572.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Suurch.HS [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e59a.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056573.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Suurch.HS [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e59c.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056574.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e59e.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056575.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e5a1.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056576.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e5a5.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056577.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e5a6.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056578.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e5a8.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056579.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e5a9.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056580.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e5ab.qua' verschoben! C:\System Volume Information\_restore{1DE4CAFE-2958-40D2-B525-6C433FE0AC8A}\RP277\A0056581.dll [FUND] Ist das Trojanische Pferd TR/PSW.LdPinch.BO.5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999e5ac.qua' verschoben! C:\WINDOWS\system32\lgckmxtn.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ccea9e.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Sonntag, 11. Januar 2009 13:47 Benötigte Zeit: 47:59 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 8314 Verzeichnisse wurden überprüft 213380 Dateien wurden geprüft 48 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 48 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 213330 Dateien ohne Befall 1213 Archive wurden durchsucht 2 Warnungen 48 Hinweise |
|
|
||
11.01.2009, 14:07
Ehrenmitglied
Beiträge: 6028 |
#6
DrWeb Kannst wieder entfernen
CleanUP (by stevengould.org) Anleitung: http://www.virus-protect.org/cleanup.html Wenn man CleanUp weiter benutzen will das haeckchen bei Delete Prefetch files entfernen! Starte dein Rechner neu Systemwiederherstellung (de)aktivieren Happy Surfing __________ MfG Argus |
|
|
||
11.01.2009, 14:23
Member
Themenstarter Beiträge: 13 |
#7
Werde nachher nochmal Antivir laufen lassen, aber soweit scheint alles wieder in Ordnung zu sein.
Dankeschön, ihr seid echt die besten hier! |
|
|
||
11.01.2009, 14:28
Ehrenmitglied
Beiträge: 6028 |
||
|
||
vor 2 Tagen öffneten sich auf einmal mehrere Iexplorer-Fenster mit Werbeinhalten. Firefox stürzte nach 10 Min ab. Am nächsten Tag kam ich beim Hochfahren nicht weiter als zum Desktop. Im abgesicherten Modus konnte ich dann Hijackthis starten und direkt mehrere verdächtige Dateien ausmachen. Da sie auf herkömmliche Weise nicht gelöscht werden konnten, habe ich mir Avenger, das ich noch von früher kenne, besorgt, und die entsprechenden Dateien entfernt. Bis heute war alles, gut, mittlerweile sind die Werbefenster wieder da, ich habe einen hohen Ping, der Rest funktioniert aber noch. Daher mein Verdacht auf Trojaner. Soweit so gut.
Bin nach den hier im Thread " NEUE BEITRÄGE ERSTELLEN: Mit folgenden Infos Thread im Forum erstellen" gegebenen Anweisungen vorgegangen. Malwarebytes hat ganz schön was gefunden. Nach dem Löschen und Neustart des Pcs die Überraschung: Ich komme nicht mehr ins Internet. Es wird eine existierende verbindung angzeigt, allerdings kommen weder Firefox noch Iexplorer auf Internetseiten, Icq funktioniert auch nicht. Ich selbst kann nciht beurteilen ob Mwb vielleicht eine dafür zuständige Datei gelöscht hat, oder ob das Virus dafür verantwortlich ist. Bitte vor allem in dieser Hinsicht um Hilfe!
Edit:
So habe mal ein bisschen selbst gestöbert und bin darauf gestoßen, dass es anscheinend der Trojaner Vundo ist, der mir das Leben schwer macht (zumindest unter anderem). Habe mal zusäztlich noch SDFix und Datfind laufen lassen.
Tja soweit bin ich selbst bekommen. Beim Entfernen brauche ich schon Hilfe.
Edit 2: Versuche es weiter alleine. Habe Malwarebytes nochmal im Quickscan und einmal im kompletten laufen lassen. Wurden beides mal noch Einträge gefunden, die ich entfernt habe. Nach dem kompletten Scan ging kurzzeitig (30sek ca.) das Internet und ICQ wieder, mittlerweile nicht mehr. Es wurde auch ein "TrojanDownloader" gefunden. Logs kann ich grade nicht posten, da ich an einem Pc ohne Usb Anschluss bin.
Hier also die Logs:
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1638
Windows 5.1.2600 Service Pack 3
10.01.2009 15:54:19
mbam-log-2009-01-10 (15-54-15).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49548
Laufzeit: 3 minute(s), 7 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\WINDOWS\system32\siriluje.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\subalavi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vunakifa.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tugufapi.dll (Trojan.Vundo.H) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5e64c3c0-c978-481a-8bea-d0038b06e2aa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5e64c3c0-c978-481a-8bea-d0038b06e2aa} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5e64c3c0-c978-481a-8bea-d0038b06e2aa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5011acf0 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tevoyusena (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm53229f6c (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\subalavi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\subalavi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\subalavi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\tugufapi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\tugufapi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\aqiisfxt.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\txfsiiqa.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\siriluje.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ejuliris.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mirajehi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tugufapi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vunakifa.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\subalavi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\byXNfCVo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hgGyyyaY.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\Temp\tmp3A.exe (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\kernel32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekaftoqoorr.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekaswwblvyx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekadf.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\seneka.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekalog.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\cbXRJYSm.dll (Trojan.Vundo) -> No action taken.
ComboFix 09-01-09.03 - hey 2009-01-10 16:07:56.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.3327.2840 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\hey\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\GghNnnmp.ini
c:\windows\system32\GghNnnmp.ini2
c:\windows\system32\ztoxit.dll
----- BITS: Eventuell infizierte Webseiten -----
hxxp://msxb-d1.vo.llnw.net:3074
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_seneka
((((((((((((((((((((((( Dateien erstellt von 2008-12-10 bis 2009-01-10 ))))))))))))))))))))))))))))))
.
2009-01-10 15:34 . 2009-01-10 15:34 74,582 --a------ c:\windows\system32\ylpvr
2009-01-10 15:33 . 2008-04-14 07:53 26,624 --a------ c:\windows\system32\stu2.exe
2009-01-09 12:51 . 2009-01-09 12:51 <DIR> d-------- c:\dokumente und einstellungen\hey\DoctorWeb
2009-01-09 00:50 . 2009-01-09 00:50 139,264 --a------ c:\windows\system32\lgckmxtn.dll
2009-01-05 18:39 . 2009-01-05 18:39 <DIR> d-------- c:\programme\PearlMountain Soft
2009-01-05 18:39 . 2009-01-05 18:39 <DIR> d-------- c:\programme\Gemeinsame Dateien\Bcgsoft
2008-12-26 14:33 . 2008-12-28 14:47 4,096 --a------ c:\windows\system32\crash
2008-12-21 22:59 . 2008-12-21 22:59 <DIR> d-------- c:\dokumente und einstellungen\hey\Anwendungsdaten\InstallShield Installation Information
2008-12-21 22:49 . 2008-12-21 22:49 <DIR> d-------- c:\programme\Unreal Tournament 3 (LG)
2008-12-21 20:53 . 2008-12-21 20:53 <DIR> d-------- c:\windows\system32\AGEIA
2008-12-21 20:53 . 2008-12-21 20:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-21 20:53 . 2008-12-21 20:54 <DIR> d-------- c:\programme\AGEIA Technologies
2008-12-21 20:50 . 2008-12-21 20:50 <DIR> d-------- c:\programme\DAEMON Tools Lite
2008-12-21 20:47 . 2008-12-21 20:47 <DIR> d-------- c:\dokumente und einstellungen\hey\Anwendungsdaten\DAEMON Tools
2008-12-21 20:47 . 2008-12-21 20:47 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-21 17:28 . 2008-12-21 17:28 <DIR> d-------- c:\programme\EA GAMES
2008-12-21 17:22 . 2008-12-21 17:22 632 --a------ c:\windows\CoD.INI
2008-12-16 18:05 . 2008-12-16 18:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2008-12-13 18:47 . 2008-12-13 18:47 1,700,352 --a------ c:\windows\system32\gdiplus.dll
2008-12-12 16:26 . 2008-12-12 16:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-12-12 16:13 . 2008-12-12 16:13 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-10 14:54 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-01-04 19:08 --------- d-----w c:\dokumente und einstellungen\hey\Anwendungsdaten\teamspeak2
2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-21 16:28 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-16 17:10 --------- d-----w c:\programme\World of Warcraft
2008-12-16 17:02 --------- d-----w c:\programme\ATI Technologies
2008-12-16 16:32 --------- d-----w c:\programme\Ubi Soft
2008-12-16 16:30 --------- d-----w c:\dokumente und einstellungen\hey\Anwendungsdaten\InstallShield
2008-12-12 15:19 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-12-07 11:43 --------- d-----w c:\programme\Microsoft Games for Windows - LIVE
2008-12-06 17:57 --------- d-----w c:\programme\Rockstar Games
2008-12-06 17:53 --------- d-----w c:\programme\MSBuild
2008-12-06 17:51 --------- d-----w c:\programme\Reference Assemblies
2008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-11-30 13:52 --------- d-----w c:\programme\Philatelie CD Band 1
2008-11-24 20:45 --------- d-----w c:\dokumente und einstellungen\hey\Anwendungsdaten\vlc
2008-11-24 20:44 --------- d-----w c:\programme\VideoLAN
2008-11-10 18:47 --------- d-----w c:\dokumente und einstellungen\hey\Anwendungsdaten\Malwarebytes
2008-11-10 18:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-10 18:16 --------- d-----w c:\programme\PokerStars.NET
2007-02-12 17:10 2,682,880 ------w c:\dokumente und einstellungen\All Users\VCREDI~3.EXE
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"RGSC"="c:\programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe" [2008-12-13 306088]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-03-21 486856]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-12-30 2356088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MULTIMEDIA KEYBOARD"="c:\programme\Keymaestro\Multimedia Keyboard\MMKeybd.exe" [2002-07-30 176128]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\World of Warcraft\\Wow.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Unreal Tournament 3 (LG)\\Binaries\\UT3.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader 2
"6112:TCP"= 6112:TCP:Blizzard Downloader
"6881:TCP"= 6881:TCP:Blizzard Downloader: 6881
R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [2008-04-02 6656]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-04-02 38656]
R4 nhksrv;Netropa NHK Server;c:\programme\Keymaestro\Multimedia Keyboard\nhksrv.exe [2008-04-02 28672]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-04-22 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-04-22 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-04-22 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-04-22 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-04-22 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-04-22 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-04-22 97704]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
2009-01-10 c:\windows\Tasks\nujkgwmv.job
- c:\windows\system32\rundll32.exe [2008-04-14 07:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
TCP: {92069780-31A1-44FA-A876-3C136409E70D} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\hey\Anwendungsdaten\Mozilla\Firefox\Profiles\fmwskpod.default\
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-10 16:11:29
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-1409082233-57989841-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:da,b9,f3,cb,13,ae,25,40,bb,3b,e1,3d,42,85,37,ec,a5,21,cd,5e,ee,71,0f,
2d,37,a5,87,5c,a2,25,f8,2c,c3,be,50,3f,bf,61,36,50,f0,59,cf,24,e5,07,4a,27,\
"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b
[HKEY_USERS\S-1-5-21-1409082233-57989841-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:e0,41,a0,8a,90,28,6e,66,6f,55,54,fa,e7,bb,8c,e1,5f,c4,c9,a3,45,
97,1c,df,89,03,e8,0d,b5,c4,d0,49,96,9a,67,24,c5,3a,e9,1b,14,45,58,be,87,99,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\system32\wscntfy.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\Keymaestro\Multimedia Keyboard\Traymon.exe
c:\programme\Keymaestro\Onscreen Display\osd.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-10 16:13:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-10 15:13:57
Vor Suchlauf: 16 Verzeichnis(se), 11.899.088.896 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 12,504,522,752 Bytes frei
173 --- E O F --- 2008-04-13 10:26:59
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:36, on 10.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Keymaestro\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Keymaestro\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Keymaestro\Multimedia Keyboard\TrayMon.exe
C:\Programme\Keymaestro\Onscreen Display\OSD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HJT.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Keymaestro\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [RGSC] C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{92069780-31A1-44FA-A876-3C136409E70D}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Keymaestro\Multimedia Keyboard\nhksrv.exe
--
End of file - 2915 bytes
HJT Uninstall Liste
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color - Photoshop Specific
Adobe Color Common Settings
Adobe Color EU Extra Settings
Adobe Color JA Extra Settings
Adobe Color NA Recommended Settings
Adobe Default Language CS3
Adobe Device Central CS3
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Fonts All
Adobe Help Viewer CS3
Adobe Linguistics CS3
Adobe PDF Library Files
Adobe Photoshop CS3
Adobe Photoshop CS3
Adobe Reader 8.1.2 - Deutsch
Adobe Setup
Adobe Stock Photos CS3
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
AGEIA PhysX v7.09.13
ASUSDVD XP
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Attansic Ethernet Utility
Attansic L1 Gigabit Ethernet Driver
Battlefield 2(TM)
Catalyst Control Center - Branding
Counter-Strike
Die Philatelie-CD 2003/2004, Band 1
DivX Web Player
Grand Theft Auto IV
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
ICQ6
Keymaestro Office Keyboard
Logitech MouseWare 9.80
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.5)
MSXML 6.0 Parser (KB925673)
PDF Settings
PixiePack Codec Pack
PokerStars.net
Radiotracker
Realtek High Definition Audio Driver
Rockstar Games Social Club
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB941569)
Sony Ericsson Device Data
Sony Ericsson Drivers
Sony Ericsson PC Suite
Sony Ericsson PC Suite
Steam(TM)
TeamSpeak 2 RC2
Unreal Tournament 3 (LG)
VeohTV BETA
VLC media player 0.9.6
Winamp
Windows Communication Foundation
Windows Imaging Component
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
WinRAR
World of Warcraft
XML Paper Specification Shared Components Language Pack 1.0
SDFix: Version 1.240
Run by hey on 10.01.2009 at 17:08
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix\SDFix
Checking Services :
Infected userinit.exe Found!
userinit.exe File Locations:
"C:\WINDOWS\$NtServicePackUninstall$\userinit.exe" 25088 03.08.2004 23:58
"C:\WINDOWS\ServicePackFiles\i386\userinit.exe" 26624 14.04.2008 07:53
"C:\WINDOWS\system32\userinit.exe" 8704 10.01.2009 15:33
LDPinch Infected File Listed Below:
C:\WINDOWS\SYSTEM32\USERINIT.EXE
File copied to Backups Folder
Attempting to replace userinit.exe with original version
Original userinit.exe Restored
"C:\WINDOWS\$NtServicePackUninstall$\userinit.exe" 25088 03.08.2004 23:58
"C:\WINDOWS\ServicePackFiles\i386\userinit.exe" 26624 14.04.2008 07:53
"C:\WINDOWS\system32\userinit.exe" 26624 14.04.2008 07:53
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-10 17:15:14
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:f4,a2,bf,17,ba,c0,12,f3,b6,af,71,7c,5b,aa,6e,b9,59,26,db,ca,e0,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,a9,35,cc,62,42,30,fd,06,aa,20,55,0a,38,53,cb,fc,..
"khjeh"=hex:23,66,2b,cf,20,e2,5c,d5,12,35,e6,05,81,5e,34,fa,b3,9c,5d,98,d0,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:32,f9,1a,1b,aa,fe,a5,7b,25,e5,ed,78,3c,6e,9f,73,69,a7,36,23,7a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:f4,a2,bf,17,ba,c0,12,f3,b6,af,71,7c,5b,aa,6e,b9,59,26,db,ca,e0,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,a9,35,cc,62,42,30,fd,06,aa,20,55,0a,38,53,cb,fc,..
"khjeh"=hex:23,66,2b,cf,20,e2,5c,d5,12,35,e6,05,81,5e,34,fa,b3,9c,5d,98,d0,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:32,f9,1a,1b,aa,fe,a5,7b,25,e5,ed,78,3c,6e,9f,73,69,a7,36,23,7a,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\World of Warcraft\\Launcher.exe"="C:\\Programme\\World of Warcraft\\Launcher.exe:*:Enabled:Launcher"
"C:\\Programme\\World of Warcraft\\Wow.exe"="C:\\Programme\\World of Warcraft\\Wow.exe:*:Enabled:Wow"
"C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"="C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"="C:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"C:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"="C:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"="C:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\Unreal Tournament 3 (LG)\\Binaries\\UT3.exe"="C:\\Programme\\Unreal Tournament 3 (LG)\\Binaries\\UT3.exe:*:Enabled:Unreal Tournament 3"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
File Backups: - C:\SDFix\SDFix\backups\backups.zip
Files with Hidden Attributes :
Sat 26 Jul 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Mon 5 Jan 2009 3,954 ...HR --- "C:\Dokumente und Einstellungen\hey\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Finished!
DATFIND.bat
Verzeichnis von c:\
10.01.2009 17:18 0 dirdat.txt
10.01.2009 17:12 2.145.386.496 pagefile.sys
10.01.2009 16:14 11.405 ComboFix.txt
06.12.2008 20:50 251.712 ntldr
10.01.2009 15:54 6.456 depapebo
10.01.2009 15:34 74.582 ylpvr
09.01.2009 00:50 139.264 lgckmxtn.dll
09.01.2009 00:47 0 5b32688e-.txt
07.01.2009 12:52 2.422 wpa.dbl
06.01.2009 12:20 1.394.752 FNTCACHE.DAT
05.01.2009 17:56 664 d3d9caps.dat
28.12.2008 14:47 4.096 crash
13.12.2008 18:47 1.700.352 gdiplus.dll
06.12.2008 20:59 432.992 perfh009.dat
06.12.2008 20:59 449.248 perfh007.dat
06.12.2008 20:59 67.696 perfc009.dat
06.12.2008 20:59 80.468 perfc007.dat
06.12.2008 20:59 1.043.642 PerfStringBackup.INI
06.12.2008 20:57 251 spupdwxp.log
06.12.2008 19:43 107.888 CmdLineExt.dll
01.12.2008 21:52 425.984 ATIDEMGX.dll
01.12.2008 21:51 318.464 ati2dvag.dll
01.12.2008 21:46 11.304.960 atioglxx.dll
01.12.2008 21:41 188.416 atipdlxx.dll
01.12.2008 21:40 147.456 Oemdspif.dll
01.12.2008 21:40 26.112 Ati2mdxx.exe
01.12.2008 21:40 43.520 ati2edxx.dll
01.12.2008 21:40 143.360 ati2evxx.dll
01.12.2008 21:38 598.016 ati2evxx.exe
01.12.2008 21:37 53.248 ATIDDC.DLL
01.12.2008 21:27 4.120.384 ati3duag.dll
01.12.2008 21:19 307.200 atiiiexx.dll
01.12.2008 21:11 2.495.360 ativvaxx.dll
01.12.2008 21:11 69.112 ativvaxx.cap
01.12.2008 20:57 48.640 amdpcom32.dll
01.12.2008 20:53 401.408 atikvmag.dll
01.12.2008 20:53 45.056 amdcalrt.dll
01.12.2008 20:53 45.056 amdcalcl.dll
01.12.2008 20:52 86.016 atiadlxx.dll
01.12.2008 20:52 17.408 atitvo32.dll
01.12.2008 20:50 286.720 atiok3x2.dll
01.12.2008 20:50 3.252.224 Amdcaldd.dll
01.12.2008 20:45 577.536 ati2cqag.dll
01.12.2008 14:35 593.920 ati2sgag.exe
Verzeichnis von C:\WINDOWS
10.01.2009 17:16 245 Msiosd.ini
10.01.2009 17:13 696.674 setupapi.log
10.01.2009 17:13 0 0.log
10.01.2009 17:12 1.312.585 WindowsUpdate.log
10.01.2009 17:12 2.048 bootstat.dat
10.01.2009 17:07 377.412 ntbtlog.txt
10.01.2009 17:03 32.708 SchedLgU.Txt
10.01.2009 16:11 227 system.ini
10.01.2009 15:48 178.233 setupact.log
08.01.2009 01:27 50 wiaservc.log
08.01.2009 01:27 216 wiadebug.log
21.12.2008 22:49 321.592 DirectX.log
21.12.2008 22:49 2.800 DIFx.log
21.12.2008 19:59 356 nsw.log
21.12.2008 17:22 632 CoD.INI
13.12.2008 00:53 2.200 OEWABLog.txt
06.12.2008 20:58 96.000 spupdsvc.log
06.12.2008 20:58 586 DtcInstall.log
06.12.2008 20:58 34.723 wmsetup.log
06.12.2008 20:58 812.037 setuplog.txt
06.12.2008 20:57 187 spupdsvc.log.1.log
06.12.2008 20:55 2.675 imsins.log
06.12.2008 20:55 235.752 comsetup.log
06.12.2008 20:55 104.755 iis6.log
06.12.2008 20:55 142.028 ntdtcsetup.log
06.12.2008 20:55 266.072 tsoc.log
06.12.2008 20:55 38.363 ocmsn.log
06.12.2008 20:55 849.102 svcpack.log
06.12.2008 20:54 34.605 msgsocm.log
06.12.2008 20:54 339.201 ocgen.log
06.12.2008 20:54 684.127 FaxSetup.log
06.12.2008 20:53 373 cmsetacl.log
06.12.2008 20:53 1.641 sessmgr.setup.log
06.12.2008 20:53 119.990 updspapi.log
06.12.2008 20:48 1.186 medctroc.Log
06.12.2008 19:41 17.239 KB926239.log
06.12.2008 19:41 13.339 Wudf01000Inst.log
06.12.2008 19:41 55.124 WMFDist11.log
06.12.2008 18:55 1.374 imsins.BAK
Verzeichnis von C:\DOKUME~1\hey\LOKALE~1\Temp
10.01.2009 17:16 20.972 Arabic.bin
10.01.2009 17:16 24.312 Czech.bin
10.01.2009 17:16 21.976 Thai.bin
10.01.2009 17:16 24.082 SWEDISH.bin
10.01.2009 17:16 21.914 English.bin
10.01.2009 17:16 22.857 Finnish.bin
10.01.2009 17:16 27.753 Spanish.bin
10.01.2009 17:16 25.753 German.bin
10.01.2009 17:16 25.082 Greek.bin
10.01.2009 17:16 19.553 Hebrew.bin
10.01.2009 17:16 26.080 Hungarian.bin
10.01.2009 17:16 16.408 SimChin.bin
10.01.2009 17:16 27.410 Italian.bin
10.01.2009 17:16 22.253 Turkish.bin
10.01.2009 17:16 26.126 Russian.bin
10.01.2009 17:16 26.260 Portuguese.bin
10.01.2009 17:16 21.964 Norwegian.bin
10.01.2009 17:16 24.221 Polish.bin
10.01.2009 17:16 25.071 Portuguese(Brazil).bin
10.01.2009 17:16 16.949 TradChin.bin
10.01.2009 17:16 24.297 Japanese.bin
10.01.2009 17:16 27.235 French.bin
10.01.2009 17:16 25.747 Dutch.bin
10.01.2009 17:16 22.783 Danish.bin
10.01.2009 17:16 20.135 Korean.bin
10.01.2009 17:16 0 JETA6CB.tmp
10.01.2009 17:04 2.799 in4.tmp