MSN Trojaner? Wurm? HILFE...

Endorfienche · 19.12.2008, 22:51

Hallo

,
ich brauche bitte Hilfe. Hab mir über msn

anscheinend einen Trojaner oder/und einen Wurm eingefangen. Mein Antivir hat zwar geschimpft, löscht aber nichts und meckert munter weiter. Hab da leider auch nicht soooo viel Ahnung von...

Hier ist das Logfile von HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:49, on 19.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\AOL\1218638734\ee\AOLSoftware.exe
C:\WINDOWS\system32\wauclt.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1218638734\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "D:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {477E2667-7E7A-4737-BFF5-121D68EF7816} (AOL Download Assistent) - h**p://musikdownloads.aol.de/imcdms-static/code/AOL%20Download%20Assistent.ocx
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.thomasgodoj.de/include/ImageUploader4.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - h**p://endorfienchen.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**p://gamenextus.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35F34036-51C3-40CA-B73E-998AA2F6BA62}: NameServer = 90.0.30.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A88EFD3-4DA6-4C61-B4AB-44DDC6A25949}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE4252E9-C786-4D3F-90ED-26FCA803A626}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 6468 bytes

Bin über jede Hilfe froh!

LG Fienchen

john.doe · 19.12.2008, 23:14

Hallo Fienchen und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\wauclt.exe

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Generic Host

Files to delete:
C:\WINDOWS\system32\wauclt.exe

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Endorfienche · 19.12.2008, 23:40

Hallo Andreas, vielen Dank für die schnelle Antwort

.
Bei Virustotal bekomme ich folgendes Ergebnis:

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

Was auch immer das heissen mag?

LG Fienchen

john.doe · 19.12.2008, 23:44

Wie hast du sie hochgeladen? Hast du nach ihr gesucht oder hast du den Text kopiert?

http://www.people.freenet.de/rene-gad/invisible.html

Versuche die Datei zu finden. Von ihr hängt ab, wie es weitergeht.

ciao, andreas

Endorfienche · 19.12.2008, 23:53

Gesucht und gefunden, nicht kopiert. Hab das extra wiederholt, kam aber beide Male die gleiche Antwort.

Hier ist das Logfile von Avenger

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\wauclt.exe" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Generic Host" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

LG Fienchen

john.doe · 20.12.2008, 00:06

Das war vermutlich ein bot und das hätte automatisch Neuaufsetzen bedeutet.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

5.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

p.s.: Hast du den Link noch? Falls ja, schick ihn mir als PN zu.

Endorfienche · 20.12.2008, 01:23

Ok, Systemwiederherstellung ist deaktiviert.
Blacklight erzählt mir nur, dass er nichts findet...

Logfile von Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1523
Windows 5.1.2600 Service Pack 2

20.12.2008 01:08:16
mbam-log-2008-12-20 (01-08-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 83793
Laufzeit: 32 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile von Silent Runners:

Zitat:

"Silent Runners.vbs", revision 59, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"ccleaner" = ""D:\Programme\CCleaner\ccleaner.exe" /AUTO" ["Piriform Ltd"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE" ["Dritek System Inc."]
"avgnt" = ""D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["AOL LLC"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"PCSuiteTrayApplication" = "C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup" ["Nokia"]
"RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1218638734\ee\AOLSoftware.exe" ["America Online, Inc."]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Malwarebytes' Anti-Malware" = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "d:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "d:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "d:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

NMMPlayCDAudioOnArrival\
"Provider" = "Nokia Music Manager"
"InvokeProgID" = "NokiaMusicManager"
"InvokeVerb" = "NMMPlayCD"
HKLM\SOFTWARE\Classes\NokiaMusicManager\shell\NMMPlayCD\command\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MusicManager.exe /playCD "%L"" ["Nokia"]

NMMRipCDAudioOnArrival\
"Provider" = "Nokia Music Manager"
"InvokeProgID" = "NokiaMusicManager"
"InvokeVerb" = "NMMRipCD"
HKLM\SOFTWARE\Classes\NokiaMusicManager\shell\NMMRipCD\command\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MusicManager.exe /ripCD "%L"" ["Nokia"]

PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = "C:\AcerPrograms\CyberLink\PowerDVD\PowerDVD.exe %1" ["CyberLink Corp."]

Startup items in "***" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"AOL 9.0 Tray-Symbol" -> shortcut to: "C:\Programme\AOL 9.0a\aoltray.exe -check" ["America Online, Inc."]
"BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation"]

Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""D:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""D:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
BlueSoleil Hid Service, BlueSoleil Hid Service, "C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe" [null data]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
ServiceLayer, ServiceLayer, ""C:\Programme\PC Connectivity Solution\ServiceLayer.exe"" ["Nokia."]
WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

---------- (launch time: 2008-12-20 01:10:00)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 155 seconds, including 14 seconds for message boxes)

Ich würde dann mit dem Combofix weitermachen?

Fienchen

Endorfienche · 20.12.2008, 02:37

So, CCLeaner ist abgeschlossen,

Combofix ebenfalls:

Code:

ATTFilter

ComboFix 08-12-18.03 - *** 2008-12-20  2:02:26.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.239.104 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2008-11-20 bis 2008-12-20  ))))))))))))))))))))))))))))))
.

2008-12-20 00:21 . 2008-12-20 00:21	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-20 00:21 . 2008-12-20 00:21	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-20 00:21 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-20 00:21 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-19 22:08 . 2008-12-19 22:08	<DIR>	d--------	c:\programme\Trend Micro
2008-12-19 14:36 . 2008-10-16 14:06	268,648	--a------	c:\windows\system32\mucltui.dll
2008-12-19 14:36 . 2008-10-16 14:06	208,744	--a------	c:\windows\system32\muweb.dll
2008-12-19 14:36 . 2008-10-16 14:06	27,496	--a------	c:\windows\system32\mucltui.dll.mui
2008-12-18 23:19 . 2008-12-18 23:19	<DIR>	d--------	c:\programme\Windows Live
2008-12-18 23:19 . 2008-12-18 23:19	<DIR>	d--hs----	c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-12-18 23:18 . 2008-12-18 23:18	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-12-17 15:50 . 2008-12-17 15:50	292	--ah-----	C:\sqmdata04.sqm
2008-12-17 15:50 . 2008-12-17 15:50	244	--ah-----	C:\sqmnoopt04.sqm

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 10:35	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps
2008-10-29 10:11	---------	d-----w	c:\programme\Pixum
2008-10-24 11:10	453,632	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 11:10	453,632	------w	c:\windows\system32\dllcache\mrxsmb.sys
2008-10-23 12:59	283,648	----a-w	c:\windows\system32\gdi32.dll
2008-10-23 12:59	283,648	------w	c:\windows\system32\dllcache\gdi32.dll
2008-10-17 00:34	3,593,216	------w	c:\windows\system32\dllcache\mshtml.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:11	13,824	------w	c:\windows\system32\dllcache\ieudinit.exe
2008-10-16 13:10	70,656	------w	c:\windows\system32\dllcache\ie4uinit.exe
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\dllcache\wups.dll
2008-10-15 16:54	339,456	------w	c:\windows\system32\dllcache\netapi32.dll
2008-10-15 07:06	633,632	------w	c:\windows\system32\dllcache\iexplore.exe
2008-10-15 07:04	161,792	----a-w	c:\windows\system32\dllcache\ieakui.dll
2008-10-03 10:15	247,326	----a-w	c:\windows\system32\strmdll.dll
2008-10-03 10:15	247,326	------w	c:\windows\system32\dllcache\strmdll.dll
2008-09-30 18:21	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-03-15 15:06	0	----a-w	c:\programme\temp01
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ccleaner"="d:\programme\CCleaner\ccleaner.exe" [2007-07-13 598656]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2001-10-19 118784]
"LManager"="c:\progra~1\LAUNCH~1\QtaET2S.EXE" [2002-05-29 139264]
"avgnt"="d:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-23 266497]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2007-09-24 26112]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1218638734\ee\AOLSoftware.exe" [2006-09-26 50736]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0a\aoltray.exe [2007-09-24 156784]
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2007-11-23 1183744]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0a\\waol.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLacsd.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\1218638734\\ee\\aolsoftware.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 CVIAAUD;Cnxt VIA 3D Environmental Audio;c:\windows\system32\drivers\cviaaud.sys [1980-01-01 321472]
R3 CVIAHALA;CVIAHALA;c:\windows\system32\drivers\cviahal.sys [1980-01-01 216608]
R3 HSFHWVIA;HSFHWVIA;c:\windows\system32\DRIVERS\HSFHWVIA.sys [1980-01-01 157652]

*Newly Created Service* - ATWPKT2
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
TCP: {35F34036-51C3-40CA-B73E-998AA2F6BA62} = 90.0.30.100
TCP: {6A88EFD3-4DA6-4C61-B4AB-44DDC6A25949} = 205.188.146.145
TCP: {CE4252E9-C786-4D3F-90ED-26FCA803A626} = 213.191.92.86 62.109.123.7

c:\windows\Downloaded Program Files\AOL Download Assistent.ocx - O16 -: {477E2667-7E7A-4737-BFF5-121D68EF7816}
hxxp://musikdownloads.aol.de/imcdms-static/code/AOL%20Download%20Assistent.ocx

c:\windows\Downloaded Program Files\OberonGameHost.dll - O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8}
hxxp://gamenextus.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
c:\windows\Downloaded Program Files\OberonGameHost_dbg.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-20 02:03:54
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-20  2:05:07
ComboFix-quarantined-files.txt  2008-12-20 01:05:06

Vor Suchlauf: 2.212.503.552 Bytes frei
Nach Suchlauf: 2,202,648,576 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

139	--- E O F ---	2008-12-18 01:20:18

Und hier ist noch das Filelisting
File-Upload.net - listing.txt

und das neue HJT-Logfile
File-Upload.net - hijackthis.log

Welchen Link meinst du? Den, wo ich mir diesen Parasiten eingefangen hab?

LG Fienchen

john.doe · 20.12.2008, 13:12

Zitat:

Welchen Link meinst du? Den, wo ich mir diesen Parasiten eingefangen hab?

Ja.

Ehrlich gesagt, bei dir bin ich mir unsicher, ob wir alles erwischt haben. Wenn du sicher sein möchtest, dann folge dieser Anleitung: http://www.trojaner-board.de/51262-a...sicherung.html

Etwas verwirrend sind die DNS-Einträge: Zwei zeigen als Provider Hansenet, Hamburg, einer FRANCE TELECOM/SCR, Issy und der nächste AOL, Sterling. Gibt es dafür eine logische Erklärung?

Zeigt der Rechner noch Auffälligkeiten?

Installiere SP3: Downloaddetails: Windows XP Service Pack 3

Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: BlueSoleil.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextus.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

=> Fix checked

Frohe Weihnachten,
andreas

Endorfienche · 20.12.2008, 16:44

Hallo

Rechner läuft wieder einwandfrei und auch Antivir findet nichts zum meckern. System trotzdem neu aufsetzen?

Provider sollte nur AOL sein, wo die anderen herkommen, weiß ich nicht.

Vielen Dank für deine schnelle Hilfe! Ich wünsche dir schöne Weihnachtsfeiertage.

LG Fienchen

john.doe · 20.12.2008, 16:54

Habe zwei Links per PN bekommen, einer war tot und der andere

Code:

ATTFilter

Datei CIMG_000283.scr empfangen 2008.12.20 16:34:45 (CET)
Status:    Beendet 
Ergebnis: 16/37 (43.25%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.12.19.3	2008.12.20	Win-Trojan/Inject.626688.B
AntiVir	7.9.0.45	2008.12.19	PCK/Armadillo
Authentium	5.1.0.4	2008.12.20	W32/Trojan3.IA
Avast	4.8.1281.0	2008.12.19	Win32:IRCBot-BSX
AVG	8.0.0.199	2008.12.19	-
BitDefender	7.2	2008.12.20	MemScan:Backdoor.IRCBot.ACNF
CAT-QuickHeal	10.00	2008.12.20	Backdoor.SdBot.iwa
ClamAV	0.94.1	2008.12.20	-
Comodo	783	2008.12.20	Backdoor.Win32.SdBot.~FV
DrWeb	4.44.0.09170	2008.12.20	-
eSafe	7.0.17.0	2008.12.18	-
eTrust-Vet	31.6.6269	2008.12.19	-
Ewido	4.0	2008.12.20	-
F-Prot	4.4.4.56	2008.12.19	W32/Trojan3.IA
F-Secure	8.0.14332.0	2008.12.20	Backdoor.Win32.SdBot.iyz
Fortinet	3.117.0.0	2008.12.20	-
GData	19	2008.12.20	MemScan:Backdoor.IRCBot.ACNF
Ikarus	T3.1.1.45.0	2008.12.20	-
K7AntiVirus	7.10.560	2008.12.20	Backdoor.Win32.SdBot.iyz
Kaspersky	7.0.0.125	2008.12.20	Backdoor.Win32.SdBot.iyz
McAfee	5469	2008.12.19	-
McAfee+Artemis	5469	2008.12.19	-
Microsoft	1.4205	2008.12.20	Worm:Win32/Pushbot.gen
NOD32	3708	2008.12.20	-
Panda	9.0.0.4	2008.12.20	Suspicious file
PCTools	4.4.2.0	2008.12.20	-
Prevx1	V2	2008.12.20	-
Rising	21.08.52.00	2008.12.20	-
SecureWeb-Gateway	6.7.6	2008.12.19	Packer.Armadillo
Sophos	4.37.0	2008.12.20	-
Sunbelt	3.2.1801.2	2008.12.11	-
Symantec	10	2008.12.20	-
TheHacker	6.3.1.4.193	2008.12.19	-
TrendMicro	8.700.0.1004	2008.12.19	-
VBA32	3.12.8.10	2008.12.20	Trojan.Win32.Inject.jux
ViRobot	2008.12.20.1528	2008.12.20	-
VirusBuster	4.5.11.0	2008.12.19	-

Der bot lief, Avira hat ihn nicht gelöscht.

Schau dir mal das hier an: http://www.bsi-fuer-buerger.de/down/...de_768x576.mpg

Lies das hier aufmerksam: http://www.trojaner-board.de/65029-t...tml#post394394

Und anschliessend: http://www.trojaner-board.de/51262-a...sicherung.html

sorry,
andreas

MSN Trojaner? Wurm? HILFE...

Plagegeister aller Art und deren Bekämpfung: MSN Trojaner? Wurm? HILFE...