mwavlog gibt nach escan folgende

File C:\WINDOWS\ieze.dll infected by "Trojan-Downloader.Win32.Agent.jb"

File C:\WINDOWS\windx.exe infected by "Backdoor.Win32.Small.dc" Virus.

File C:\WINDOWS\ieze.dll infected by "Trojan-Downloader.Win32.Agent.jb"

C:\WINDOWS\atldo.exe infected by "Backdoor.Win32.Small.dc" Virus. Action

C:\WINDOWS\windx.exe infected by "Backdoor.Win32.Small.dc" Virus. Action

C:\WINDOWS\aooth.dll infected

C:\WINDOWS\bkwfj.dll infected

C:\WINDOWS\bxssx.dll infected by "not-a-

C:\WINDOWS\d330.exe infected by "Trojan-Downloader.Win32.Small.aci"

C:\WINDOWS\dkvoy.dll infected by "not-a-

File C:\WINDOWS\EDow_AS2.exe infected by "Trojan-

File C:\WINDOWS\IEMenuExtension.exe

C:\WINDOWS\igmql.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a"

C:\WINDOWS\kohiq.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a"

C:\WINDOWS\mfccr.exe infected by "Backdoor.Win32.Small.dc

C:\WINDOWS\msip.exe

C:\WINDOWS\msip.exe

C:\WINDOWS\msip.exe

C:\WINDOWS\msip.exe

C:\WINDOWS\oddxm.dll

C:\WINDOWS\oddxm.dll

C:\WINDOWS\oddxm.dll

C:\WINDOWS\otdlv.dll

C:\WINDOWS\pjopn.dll

C:\WINDOWS\rmsgq.dll

C:\WINDOWS\rundll32.exe infected

File C:\WINDOWS\sdkci.exe

C:\WINDOWS\searchfast.exe

C:\WINDOWS\stddbg32.exe

C:\WINDOWS\stejo.dll

C:\WINDOWS\systmpn.exe.bak infected

C:\WINDOWS\vfcly.dll infected

C:\WINDOWS\winda.exe infected

C:\WINDOWS\windo.exe infected

C:\WINDOWS\yracf.dll infected

C:\WINDOWS\yzfbv.dll infected

C:\WINDOWS\System32\2m99vgpbmhbx8n.dll infected

C:\WINDOWS\System32\bnvow.dll infected

C:\WINDOWS\System32\bvrwk.dll infected

File C:\WINDOWS\System32\chiiu.dll infected

C:\WINDOWS\System32\ddilx.dll infected

C:\WINDOWS\System32\eauom.dll infected

C:\WINDOWS\System32\enqja.dll infected


C:\WINDOWS\System32\gduty.dll infected

C:\WINDOWS\System32\hjbre.dll infected

C:\WINDOWS\System32\javagv32.exe infected

C:\WINDOWS\System32\jbhb.dll infected

und gleich mein hijack log.

und hijack this log

C:\Programme\Messenger\msmsgs.exe
C:\SICHERHEIT\HijackThis.exe
C:\SICHERHEIT\HijackThis.exe
---------------------------------------------------------------------
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gswpk.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gswpk.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gswpk.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gswpk.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gswpk.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gswpk.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gswpk.dll/sp.html#44768
-----------------------------------------------------------------------
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7C16C7E5-9CFA-188C-1391-6B30852F9DA6} - C:\WINDOWS\ntey.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TrojanScanner] C:\SICHERHEIT\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [mfcch32.exe] C:\WINDOWS\mfcch32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C320379-0999-4CBD-A996-93ED0FE1D310}: NameServer = 195.50.140.250 145.253.2.174
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\windx.exe

was tun. und sorry das ich das ursprüngliche thread nicht weiterverfolgt habe.

Hallo,

Format c: nach dieser Anleitung http://www.trojaner-board.de/showthread.php?t=12154

Grund:Aktiver Backdoor


Gruss

C:\WINDOWS\d330.exe infected by "Trojan-Downloader.Win32.Small.aci"

schick mir die Datei bitte mal sammy98 _at_ unimx.de

edit: ---

Zitat:

Zitat von sammy98

C:\WINDOWS\d330.exe infected by "Trojan-Downloader.Win32.Small.aci"

schick mir die Datei bitte mal sammy98 _at_ unimx.de

mit HijackThis

O4 - HKLM\..\Run: [mfcch32.exe] C:\WINDOWS\mfcch32.exe

löschen

Mit Virenscanner alle infizierten Dateien löschen.
Ist schonmal ein Anfang

Also langsam brech ich hier echt zusammen!

Wieso soll er/sie die Datei senden?

Das System ist kompromittiert,und fertig,Backdoor aktiv,da gibts weder was zu fixen noch zu retten!

Wwarum ich die Datei haben will? Zum Analysieren, also brauchst du net abzubrechen...

Zitat:

Zitat von sammy98

Wwarum ich die Datei haben will? Zum Analysieren, also brauchst du net abzubrechen...

Bewegst dich auf dünnem Eis hier!

Wieso rätst du dann bei Backdoor zum Fixen?

Vorsicht Vorsicht!!

mich interessiert nicht ob und was eine Datei macht, sondern wie die verschiedenen Komponenten der "Schädlinge" zusammenarbeiten und wie man die wieder fixen kann, wenn verschiedene Parts aufeinander "aufpassen".

Falls dir TS-Cash noch was sagt ... diese Richtung meine ich

@ sammy98
Also, entweder kennst Du Dich gar nicht aus; dann ist eine Analyse sowieso sinnlos, oder Du kennst Dich aus, dann frage ich mich, wieso Du den Leuten Anweisungen gibst, die schädlich sind?
Das glaube ich, solltest Du erklären.
cacatoa

Zitat:

Zitat von sammy98

mich interessiert nicht ob und was eine Datei macht, sondern wie die verschiedenen Komponenten der "Schädlinge" zusammenarbeiten und wie man die wieder fixen kann, wenn verschiedene Parts aufeinander "aufpassen".

Falls dir TS-Cash noch was sagt ... diese Richtung meine ich

Es gibt bei Backdoor rein gar nix zu "Fixen",das System stellt Gefahr für den User ansich und auch das Internet dar!

Das System ist sofort neu aufzusetzen,sogar MS rät dazu!

Du arbeitest dann also in einem Netzwerk wo du genau die Prüfsummen untersuchen kannst?Machst das privat?Dann Herzlichen Glückwunsch!

Dann teste aber auch nur,wenn du Ahnung hast,was ein Backdoor so alles anstellen kann!

Die Anweisung ist wegeditiert und was daran war schädlich?

Dass das Teil nicht nochmal geladen wird und das die infizierten Dateien weg sind?

Und in dem an sich geschlossenen Mini-Netzwerk ohne Verbindung zum Internet, an dem ich das Test hab ich alles im Griff.

habe versucht dir die datei zu senden sammy, allerdings gabs zwei probleme. deine adresse konnte nicht eingegeben werden, syntaxfehler, und die datei ist nicht mehr auf meinen rechner.