Hallo Trojaner-Board,

ist mein erstes Mal hier und ich hoffe natürlich, dass man mir hier helfen können wird.

Gestern bekam ich zum ersten mal die Meldung von Vista (64bit), dass wohl ein Trojaner gefunden wurde und ich mir PC Antispy runterladen sollte. (was ich bisher noch nicht gemacht hab.)

Unter diesen Trojanern ist der im Titel genannte, aber auch noch zwei andere: "Trojan-Spy.HTML.Bankfraud.dq" und "Trojan-Spy.Win32.KeyLogger.aa"

Da ich wirklich null erfahrung habe mit Trojanern, möchte ich möglichst von Anfang an auf professionelle Hilfe zurückgreifen. Ich habe vorher schonmal ein wenig gegooglet, wollte aber nichts überstürtzen. Man stößt ja bei der Suche nach Hilfe gegen Trojanern auch auf viel Mist im Netz.

Habe wie oben schon erwähnt Windows Vista 64 SP1, habe lediglich Antivir und die WIndowseigene Firewall. An Programmen lasse ich zur Zeit den Trojan Remover durchlaufen (der läuft schon seit gestern Abend - normal?).
Ad-Aware habe ich gestern auch schon durchlaufen lassen und natürlich Antivir, beide Programme haben was gefunden, der Security Alert kommt aber immernoch.

Bevor ich jetzt noch mehr verschlimmbessere, dachte ich mir, frage ich gleich lieber bei Profis nach, damit ich Schritt für Schritt an die Sache rangehen und nichts falsch machen kann, ich hoffe auf Verständniss.

LG

Sven

Hallo

Nach meinen bisherigen Erfahrungen laufen rel. wenige Bereinigungstools auf Vista 64. Aber acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Ok, ich fang dann mal von oben an, poste alles nach und nach.

Bei HJT gabs Probleme. Das Prog hat mir gesagt, ich solle es nochmal als Administrator ausführen, komischerweise kann ich es nach rechtsklick nicht auswählen, scheinbar nur bei dieser Datei.

Hier der HJT Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:39, on 28.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Strangled\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] "C:\Program Files (x86)\avmwlanstick\wlangui.exe"
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\NVIDIA\nTune\nTuneCmd.exe" resetprofile
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Users\Strangled\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Users\Strangled\Programme\ICQ6\ICQ.exe
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Users\Strangled\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files (x86)\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Users\Strangled\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\NVIDIA\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: O&O Defrag - Unknown owner - C:\Windows\system32\oodag.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\SysWOW64\IoctlSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\NVIDIA\UpdateCenterService.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6982 bytes
         

Da ich den Volumenschattendienst deaktiviert habe, läuft die Systemwiederherstellung wohl sowieso nicht. Falls ich da was ändern soll, bitte mitteilen.


MBR Ausgabe:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
         

Blacklight:

Code: Alles auswählenAufklappen

ATTFilter

08/28/08 21:11:07 [Info]: BlackLight Engine 1.0.70 initialized
08/28/08 21:11:07 [Info]: OS: 6.0 build 6001 (Service Pack 1)
08/28/08 21:11:07 [Note]: 7019 4
08/28/08 21:11:07 [Note]: 7005 0
08/28/08 21:11:16 [Note]: 7006 0
08/28/08 21:11:16 [Note]: 7027 0
08/28/08 21:11:16 [Note]: 7035 0
08/28/08 21:11:16 [Note]: 7026 0
08/28/08 21:11:16 [Note]: 7026 0
08/28/08 21:11:17 [Note]: FSRAW library version 1.7.1024
08/28/08 21:11:39 [Note]: 4015 11424
08/28/08 21:11:39 [Note]: 4027 11424 131072
08/28/08 21:11:39 [Note]: 4020 11421 131072
08/28/08 21:11:39 [Note]: 4018 11421 131072
08/28/08 21:12:19 [Note]: 4015 2866
08/28/08 21:12:19 [Note]: 4027 2866 65536
08/28/08 21:12:19 [Note]: 4020 719 65536
08/28/08 21:12:19 [Note]: 4018 719 65536
08/28/08 21:14:02 [Note]: 2000 1012
08/28/08 21:15:05 [Note]: 7007 0
         

Malwarebytes Antimalware:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1092
Windows 6.0.6001 Service Pack 1

21:49:37 28.08.2008
mbam-log-08-28-2008 (21-49-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139451
Laufzeit: 26 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

So, Combofix mach ich jetzt, poste ich dann später.

Habe Combofix ausprobiert, es startet aber unter Vista nicht, gibt wohl Kompatibilitätsprobleme. Bekomme auch angezeigt, dass es nur unter Win 2000 und XP läuft.

Mit Vista ist das so ne Sache und erst recht mit dem Vista64. Benenn mal die hijackthis.exe in pruef.exe um und führt es als Admin über nem Rechtsklick aus. Das funktioniert nach meinen Erfahrungen bisher nur mit exe-Files aber nicht wenn die Datei die Endung *.com hat.

Für 64 Bit-OS gibt es ein extra Filelistingtool führ das mal aus und poste die Ausgabe. Lad die Datei vom listing notfalls gezippt bei file-upload.net hoch und verlink es hier, da manche Dateien zu groß für dieses Board sein können.

Code: Alles auswählenAufklappen

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CA63-C069

 Verzeichnis von C:\

29.08.2008  13:31     6.437.208.064 pagefile.sys
28.08.2008  22:06             1.133 Bug.txt
25.02.2008  13:21             8.192 BOOTSECT.BAK
19.01.2008  09:45           333.203 bootmgr
23.09.2005  01:39           894.976 msdia80.dll
               5 Datei(en),  6.438.445.568 Bytes
               0 Verzeichnis(se), 221.268.865.024 Bytes frei
         

Code: Alles auswählenAufklappen

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CA63-C069

 Verzeichnis von C:\Windows

29.08.2008  13:36         1.531.294 WindowsUpdate.log
29.08.2008  13:32            67.584 bootstat.dat
29.08.2008  13:31               422 PFRO.log
18.06.2008  21:32                 0 oodcnt.INI
15.05.2008  01:29             1.721 cdplayer.ini
19.03.2008  16:35               749 WindowsShell.Manifest
28.02.2008  17:38           972.072 UNNeroMediaHome.exe
26.02.2008  22:10           127.034 bwUnin-8.1.1.50-8876480SL.exe
26.02.2008  16:14           972.072 UNRecode.exe
26.02.2008  02:16                26 Irremote.ini
26.02.2008  01:15           525.792 DIFxAPI.dll
26.02.2008  00:51           315.392 HideWin.exe
25.02.2008  13:32               219 win.ini
13.02.2008  15:59           128.512 RTKAUDIOSERVICE.EXE
13.02.2008  14:51         5.684.736 RAVCpl64.exe
19.01.2008  10:00            39.936 splwow64.exe
19.01.2008  10:00           161.792 regedit.exe
19.01.2008  10:00           169.472 notepad.exe
19.01.2008  10:00           734.720 HelpPane.exe
19.01.2008  10:00            14.848 fveupdate.exe
19.01.2008  10:00         3.080.704 explorer.exe
19.01.2008  10:00            65.536 bfsvc.exe
12.12.2007  21:04            39.968 nvoclk64.sys
12.12.2007  21:04           576.000 ntuneoem.dll
12.12.2007  20:58            39.968 nvflsh64.sys
20.11.2007  19:15         1.826.816 SkyTel.exe
14.11.2007  16:18               553 USetup.iss
07.11.2007  18:31         1.363.968 RtlUpd64.exe
26.07.2007  18:09           520.192 RtlExUpd.dll
11.04.2007  16:34           134.416 KHALMNPR.Exe
21.03.2007  20:02           972.336 UNNeroVision.exe
20.03.2007  20:22           972.336 UNNeroBackItUp.exe
28.02.2007  15:41           972.336 UNNeroShowTime.exe
28.12.2006  02:00             7.045 instwcli.inf
28.12.2006  02:00            68.096 avmadd32.dll
28.12.2006  01:00           147.456 instwcli.dex
02.11.2006  17:02           316.640 WMSysPr9.prx
02.11.2006  17:00            49.680 twunk_16.exe
02.11.2006  17:00            50.688 twain_32.dll
02.11.2006  17:00            31.232 twunk_32.exe
02.11.2006  17:00            94.784 twain.dll
02.11.2006  13:15            15.872 hh.exe
02.11.2006  11:45             9.216 winhlp32.exe
02.11.2006  10:26            43.131 mib.bin
19.09.2006  13:41             4.261 Ultimate.xml
18.09.2006  23:44               219 system.ini
18.09.2006  23:30             1.405 msdfmap.ini
15.09.2005  13:35                50 UNNeroMediaHome.cfg
30.08.2005  20:37                50 UNNeroVision.cfg
30.08.2005  20:37                50 UNNeroShowTime.cfg
30.08.2005  20:36                50 UNRecode.cfg
30.08.2005  20:33                50 UNNeroBackItUp.cfg
              52 Datei(en),     22.853.497 Bytes
               0 Verzeichnis(se), 221.268.852.736 Bytes frei
         

system32 + SysWOW64 Ausgabe zum download, da zu groß:

h**p://www.file-upload.net/download-1076177/system32.txt.html

h**p://www.file-upload.net/download-1076181/SysWOW64.txt.html

Code: Alles auswählenAufklappen

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CA63-C069

 Verzeichnis von C:\Users\STRANG~1\AppData\Local\Temp

29.08.2008  13:36             4.770 MpSigStub.log
29.08.2008  13:32            31.832 Strangled.bmp
29.08.2008  00:24            13.592 temp.ani
29.08.2008  00:24           204.800 drm_dyndata_7370014.dll
25.02.2008  13:35                 0 FXSAPIDebugLogFile.txt
               5 Datei(en),        254.994 Bytes
               0 Verzeichnis(se), 221.268.635.648 Bytes frei
         

Code: Alles auswählenAufklappen

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CA63-C069

 Verzeichnis von C:\Windows\Temp

29.08.2008  01:51             2.472 MpCmdRun.log
               1 Datei(en),          2.472 Bytes
               0 Verzeichnis(se), 221.268.635.648 Bytes frei
         

Code: Alles auswählenAufklappen

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CA63-C069

 Verzeichnis von C:\Windows\Downloaded Program Files

20.11.2007  16:50               247 swflash.inf
08.10.2007  21:21               367 LegitCheckControl.inf
18.09.2006  23:24                65 desktop.ini
               3 Datei(en),            679 Bytes
               0 Verzeichnis(se), 221.268.635.648 Bytes frei
         

Code: Alles auswählenAufklappen

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CA63-C069

 Verzeichnis von C:\Users\Strangled

29.08.2008  15:38         2.883.584 NTUSER.DAT
29.08.2008  15:38           262.144 ntuser.dat.LOG1
29.08.2008  04:11            65.536 NTUSER.DAT{a7bdf3ed-6a85-11db-b5ae-f1534be43d84}.TM.blf
29.08.2008  04:11           524.288 NTUSER.DAT{a7bdf3ed-6a85-11db-b5ae-f1534be43d84}.TMContainer00000000000000000001.regtrans-ms
18.06.2008  21:00             1.024 .rnd
25.02.2008  13:44           524.288 NTUSER.DAT{a7bdf3ed-6a85-11db-b5ae-f1534be43d84}.TMContainer00000000000000000002.regtrans-ms
25.02.2008  13:31                20 ntuser.ini
25.02.2008  13:31                 0 ntuser.dat.LOG2
               8 Datei(en),      4.260.884 Bytes
               0 Verzeichnis(se), 221.268.631.552 Bytes frei
         

Hoffe, das ist alles richtig so.
Was ist mit dem Combofix Problem? Gibts da ne 64bit Version?

LG

Ich vermute da gibs (noch) kein Combofix64.
Wie ist denn momentan der Zwischenstand? Ist das

Zitat:

Windows Security Alert / Mehrere Trojaner gefunden u.a. Trojan-Spy.Win32.GreenScr

noch vorhanden?

Also das Warnfenster ist nicht mehr aufgetaucht.
Es gab da noch unter den Autostartprogrammen so 2-3, die sehr seltsame Namen hatten und mir nicht bekannt waren. Als ich die deaktiviert hatte, kam die Warnmeldung auch schon nicht mehr.

Sorry für Doppelpost.

Wie soll ich nun weiter vorgehen?

Oder kann ich davon ausgehen, dass es so ne Art Fake Warnmeldung war um Werbung für Antiviren bzw. Antimalware Programme zu machen?

Zitat:

Zitat von Bloodfield

Oder kann ich davon ausgehen, dass es so ne Art Fake Warnmeldung war um Werbung für Antiviren bzw. Antimalware Programme zu machen?

Genau das wars wohl. Die hinterlassen normalerweise rel. viel, aber in Deinen Logfiles lässt sich davon nicht viel sehen.

Mag wohl daran liegen, dass es ein Vista64 ist, so vemute ich mal. Das tickt ein wenig anders als ein 32-Bit-Windows, daher hat man da auch (leider) rel. wenig Möglichkeiten mit den Bereinungstools, die scheinen alle inkompatibel mit Vista64 zu sein...werd das vllt mal zur Diskussion stellen.

Ja, das gute 64bit. Mittlerweile bereuhe ich es auch, mich damals nicht anders entschieden zu haben.
Aber was solls, vielen Dank für die Hilfe jedenfalls! Das Warnfenster war schon nervig und wenns nur ein Fake war, umso besser. Danke!

Achso, hab den Strang für die Diskussion erstellt, falls es Dich interessiert: http://www.trojaner-board.de/58947-a...t-windows.html