| |
| |||||||
Log-Analyse und Auswertung: Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
12.07.2006, 15:57
| #1 |
| Gesperrt |  Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden Hallo Leute, Hier erstmal mein Logfile von Hijackthis: Hier der Hijackthis-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:55:27, on 12.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ircomm2k.exe C:\WINDOWS\system32\RemoteControlService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\ATK0100\HControl.exe C:\Programme\ASUS\Wireless Console\wcourier.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Ulead Systems\Ulead InstaMedia 2.2\Monitor.exe C:\Programme\Ulead Systems\Ulead InstaMedia 2.2\RMC.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Razer\Copperhead\razerhid.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe c:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\PBraun\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://theprogamer1337.th.funpic.de/include.php?path=start.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Matchlock Scheduling] C:\Programme\Ulead Systems\Ulead InstaMedia 2.2\Monitor.exe O4 - HKLM\..\Run: [Ulead Remote Control Center] C:\Programme\Ulead Systems\Ulead InstaMedia 2.2\RMC.exe O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windowupdate] C:\WINDOWS\system32\Windowupdate.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Bluetooth Manager.lnk = ? O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZH O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134631561796 O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{574D2C26-BFF9-408B-9F07-FD254BF3F9A9}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AC36D629-BD56-42C3-B4E3-D648320CB475}: NameServer = 192.168.2.6 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe Ich wäre euch sehr Dankbar für Hilfe  |
|
12.07.2006, 16:02
| #2 | |
| Administrator > Competence Manager  |  Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden Hallo,
__________________lass als erstes mal folgende Datei bei Virustotal auswerten: Zitat:
Gruß Daniel
__________________ |
|
11.08.2006, 14:05
| #3 | |
| Administrator > Competence Manager | Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefundenZitat:
 Hole dies bitte nach und dann sehen wir weiter.. 
__________________ |
|
12.07.2006, 16:03
| #4 |
| Gesperrt | Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden Mein Ad-Aware SE Personal Log: Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinAntiSpyware Object Recognized! Type : Regkey Data : TAC Rating : 4 Category : Misc Comment : Rootkey : HKEY_CLASSES_ROOT Object : clsid\{c427b3e3-28dc-4001-9590-d99b6776119b} WinAntiSpyware Object Recognized! Type : RegValue Data : TAC Rating : 4 Category : Misc Comment : Rootkey : HKEY_CLASSES_ROOT Object : clsid\{c427b3e3-28dc-4001-9590-d99b6776119b} Value : AppID WinAntiSpyware Object Recognized! Type : Regkey Data : TAC Rating : 4 Category : Misc Comment : Rootkey : HKEY_CLASSES_ROOT Object : typelib\{30ed49a5-ca6c-4918-b5f3-5e6818c91d8b} WinFixer Object Recognized! Type : Regkey Data : TAC Rating : 10 Category : Misc Comment : Rootkey : HKEY_CLASSES_ROOT Object : interface\{4f79d1c5-24f9-4e59-8022-604d4b41d5ca} WinFixer Object Recognized! Type : Regkey Data : TAC Rating : 10 Category : Misc Comment : Rootkey : HKEY_CLASSES_ROOT Object : appid\{8c65aef6-e413-4314-815b-82717a3f1603} DyFuCA Object Recognized! Type : Regkey Data : TAC Rating : 3 Category : Malware Comment : Rootkey : HKEY_USERS Object : S-1-5-21-2828352795-763354827-2119308098-1005\software\ist Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 6 Objects found so far: 37 Vor kurzem habe ich auch noch ne DLL Datei entfernt, die mir als Trojaner angezeigt wurde und diese befand sich in C:/System Volume Information/ und dann sowas wie: {2312321BA231 oder so ähnlich hilft euch das weiter ? |
|
12.07.2006, 16:06
| #5 |
| Gesperrt | Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden Hab die Datei ausgewertet: Your file "Windowupdate.exe" is queued in position: 29. Estimated start time is between 165 and 248 seconds. Antivirus Version Update Result Aditional Information VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. |
|
12.07.2006, 16:20
| #6 |
| Gesperrt | Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden achja ich denke das windowsupdate.exe ist KEINE vire, da mein windowsupdate immer angezeigt wird, sprich es wird geupdatet |
|
12.07.2006, 17:27
| #7 | ||
 | Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefundenZitat:
Du bist in der Warteschleife.....also etwas Geduld. Zitat:
Schnmal dran Gedacht, das die schlauen Leute, die solche Viren schreiben, genau auf solche Leute wie Dich zielen? [Gc]Sunny weiß schon, was er tut und sagt. Also mache das bitte auch! Gruß Mellosun |
|
14.07.2006, 23:33
| #8 |
| Gesperrt | Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden jo okay kein problem ich mach den scan nochmal achja ich stehe 1 in english  also nicht meinen ich wüsste nicht, was da steht.mittlerweile hab ich auch schon verstanden, dass der scan in 200 sekunden BEGINNT :aplaus: thx toddertrojaner |
|
14.07.2006, 23:35
| #9 |
| Gesperrt | Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden so, hab die datei gescannt, wurde aber nichts gefunden Complete scanning result of "Windowupdate.exe", received in VirusTotal at 07.15.2006, 00:34:36 (CET). Antivirus Version Update Result AntiVir n - no virus found Authentium n - no virus found Avast n - no virus found AVG n - no virus found BitDefender n - no virus found CAT-QuickHeal n - no virus found ClamAV n - no virus found DrWeb n - no virus found eTrust-InoculateIT n - no virus found eTrust-Vet n - no virus found Ewido n - no virus found Fortinet n - no virus found F-Prot n - no virus found F-Prot4 n - no virus found Ikarus n - no virus found Kaspersky n - no virus found McAfee n - no virus found Microsoft n - no virus found NOD32v2 n - no virus found Norman n - no virus found Panda n - no virus found Sophos n - no virus found Symantec n - no virus found TheHacker n - no virus found UNA n - no virus found VBA32 n - no virus found VirusBuster n - no virus found |
|
| Themen zu Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden |
| ad-aware, adobe, antivir, asus, avira, bho, control center, desktop, einstellungen, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, logfile, malware, microsoft, mozilla, mozilla firefox, programme, remote control, software, system, windows, windows xp |
Hybrid-Darstellung
