|
Log-Analyse und Auswertung: w32.Myzor.FK@yf und/oder w32/Trojan.IID?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.07.2006, 19:14 | #1 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Frohen Freitag zusammen Mein Toshiba-Laptop hat wohl Viren-Fieber, und das bei diesem Wetter! Folgende Erscheinungen zeigen sich: - Rechner ist sehr langsam - Hintergrundfarbe des Desktops ändert sich von ganz allein - Toshiba-Funktionsbelegungstasten inaktiv Habe schon Versuche gestartet, anhand Beschreibungen diverser threads, meine Schädlinge selbst los zu werden, seit 3 Tagen ohne Erfolg. Ich hoffe, es geht nicht nach der alten Grippe-Formel: 3 Tage kommen, 3 Tage bleiben, 3 Tage gehen Folgende Hürde lässt mich insbesondere verzweifeln: SmitFraudFix findet wohl Daten, die zu löschen sind, aber das Programm kann dann in Schritt 2 die Daten nicht finden! Der Pfad sei falsch ... Mein Virenscanner F-Prot Antivirus präsentierte mir eine winprb32.dll als verseucht, habe sie mit Killbox gelöscht, was zur Folge hat, dass der IE nicht mehr auf eine Werbeseite umgeleitet wird, sondern auf die msn-Startseite. Auch komisch, da ich about:blank in der Voreinstellung habe. Aber das System ist immer noch ultralangsam ... Ich würde mich sehr freuen, wenn mir jemand bei meinen weiteren Versuchen Hilfe leistet. Vielen Dank im voraus Hier das hijackThis-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:57:26, on 28.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Toshiba\Desktop\HijackThis.exe R3 - URLSearchHook: (no name) - {7C7A966D-52A0-762D-F4ED-04D5FE71B8EC} - C:\WINDOWS\System32\jvttiqo.dll (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Acrobat Assistant.lnk = ? O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\server\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update*microsoft*com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148889307825 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update*microsoft*com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154032518653 O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF0D8EF-0944-4F2D-9CEA-8DE6C549F100}: NameServer = 62.72.64.237,62.72.64.241 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Unknown owner - C:\server\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySQL - Unknown owner - C:\server\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Und hier das logfile von Smitfraudfix: qSmitFraudFix v2.76 Scan done at 19:56:21,78, 28.07.2006 Run from C:\Dokumente und Einstellungen\Toshiba\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End NOCHMALS VIELEN DANK FÜR SCHNELLE HILFE, eikito |
28.07.2006, 19:48 | #2 |
/// Helfer-Team | w32.Myzor.FK@yf und/oder w32/Trojan.IID? Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.
__________________Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es.
__________________ |
28.07.2006, 20:45 | #3 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Hallo felix1!
__________________Vielen Dank für Deine Tipps, ich habe F-Secure Blacklight und EWIDO drüberlaufen lassen ... allerdings nicht im abgesicherten Modus, fällt mir gerade auf, muss ich dann noch mal? Hier der Bericht von F-Secure Blacklight: 07/28/06 20:59:51 [Info]: BlackLight Engine 1.0.42 initialized 07/28/06 20:59:51 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/28/06 20:59:51 [Note]: 7019 4 07/28/06 20:59:51 [Note]: 7005 0 07/28/06 20:59:56 [Note]: 7006 0 07/28/06 20:59:56 [Note]: 7011 1904 07/28/06 20:59:56 [Note]: 7026 0 07/28/06 20:59:56 [Note]: 7026 0 07/28/06 21:00:05 [Note]: FSRAW library version 1.7.1019 07/28/06 21:03:23 [Note]: 4013 7036 07/28/06 21:03:23 [Note]: 4020 12531 65536 07/28/06 21:03:23 [Note]: 4018 12531 65536 07/28/06 21:05:07 [Note]: 2000 1006 07/28/06 21:07:51 [Note]: 7007 0 Und hier der Bericht von EWIDO (Schnelldurchlauf der wichtigsten Daten, hat EWIDO so angeboten ...): --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 21:31:24 28.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Classes\Interface\{06CA2DA3-3A44-4FC7-8FD9-246C0F53407C} -> Adware.CoolWebSearch : Keine Aktion durchgeführt. C:\WINDOWS\YAXUninst.exe -> Adware.MediaTickets : Keine Aktion durchgeführt. C:\WINDOWS\system32\YAXUninst.exe -> Adware.MediaTickets : Keine Aktion durchgeführt. C:\WINDOWS\system32\ddaba.dll -> Adware.Virtumonde : Keine Aktion durchgeführt. C:\WINDOWS\system32\gebcyvt.dll -> Adware.Virtumonde : Keine Aktion durchgeführt. C:\WINDOWS\system32\oins.exe -> Dropper.Small : Keine Aktion durchgeführt. C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N73M1804NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f : Keine Aktion durchgeführt. :mozilla.12:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.13:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.55:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.6:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.8:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.10:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt. :mozilla.11:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt. :mozilla.40:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt. :mozilla.9:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt. :mozilla.14:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt. :mozilla.15:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. :mozilla.16:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. :mozilla.17:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. :mozilla.18:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. :mozilla.19:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. :mozilla.44:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt. :mozilla.45:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt. :mozilla.46:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt. :mozilla.20:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. :mozilla.14:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt. :mozilla.37:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt. :mozilla.15:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Specificclick : Keine Aktion durchgeführt. :mozilla.38:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt. :mozilla.39:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt. :mozilla.41:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt. ::Berichtende EWIDO hat ca. 30 infizierte Dateien gelöscht/in Quarantäne versetzt. Jetzt mache ich HJT im abgesicherten Modus und poste das Ergebnis gleich nach. Besten Dank so zwischendurch und bis später ... eikito |
28.07.2006, 20:58 | #4 |
/// Helfer-Team | w32.Myzor.FK@yf und/oder w32/Trojan.IID? F-Secure ist schon richtig. Du hast alles löschen lassen, was ewido vorgeschlagen hat?
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
28.07.2006, 21:29 | #5 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Hallo felix1, ich habe alles ratzeputz löschen lassen ... by the way: schon 2-3 mal meldete sich F-Secure zwischendurch mit der Virenmeldungungen -> ddaba.dll, oins.exe ... alle in system32 Der Rechner reagiert nach wie vor zeitversetzt auf meine Befehle. Dafür wechselt die Hintergrundfarbe nicht mehr. Freu! Und hier kommt der Bericht von HJT: Logfile of HijackThis v1.99.1 Scan saved at 21:57:40, on 28.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Toshiba\Desktop\HijackThis.exe R3 - URLSearchHook: (no name) - {7C7A966D-52A0-762D-F4ED-04D5FE71B8EC} - C:\WINDOWS\System32\jvttiqo.dll (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Acrobat Assistant.lnk = ? O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\server\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - *****update*microsoft*com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148889307825[/url] O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - *****update*microsoft*com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154032518653[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF0D8EF-0944-4F2D-9CEA-8DE6C549F100}: NameServer = 62.72.64.237,62.72.64.241 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Unknown owner - C:\server\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySQL - Unknown owner - C:\server\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Soll ich nun einen Komplettscan mit F-Secure im abgesicherten Modus machen? Nach wie vor herzlichen Dank :aplaus: und Gruß! eikito Geändert von eikito (28.07.2006 um 21:38 Uhr) |
28.07.2006, 21:36 | #6 |
/// Helfer-Team | w32.Myzor.FK@yf und/oder w32/Trojan.IID? Lasse nochmals ewido laufen. Ich will sehen was noch übrig ist. Vermute mal: C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N73M1804NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f : Keine Aktion durchgeführt C:\WINDOWS\system32\ddaba.dll -> Adware.Virtumonde : Keine Aktion durchgeführt. C:\WINDOWS\system32\gebcyvt.dll -> Adware.Virtumonde : Keine Aktion durchgeführt. C:\WINDOWS\system32\oins.exe -> Dropper.Small : Keine Aktion durchgeführt.
__________________ --> w32.Myzor.FK@yf und/oder w32/Trojan.IID? |
28.07.2006, 21:44 | #7 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Im abgesicherten Modus? Kpl-Scan oder Schnellscan? Lieb Dank für Antwort! eikito |
28.07.2006, 21:49 | #8 | |
/// Helfer-Team | w32.Myzor.FK@yf und/oder w32/Trojan.IID?Zitat:
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
28.07.2006, 23:25 | #9 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Guten Morgen Felix1! Hier ist der Bericht von EWEDO. Das der so kurz ausfällt, hätte ich nu nicht erwartet ... --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 00:17:10 29.07.2006 + Scan-Ergebnis: C:\Programme\Common Files\Μicrosoft.NET\uѕerinit.exe -> Adware.PurityScan : Gesäubert. C:\WINDOWS\system32\ddaba.dll -> Adware.Virtumonde : Gesäubert. C:\Dokumente und Einstellungen\All Users\Dokumente\webctrl.exe -> Heuristic.Win32.Morphine-Crypted : Gesäubert. C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N73M1804NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f : Mit Backup gesäubert (unter Quarantäne gestellt). ::Berichtende Vielen Dank für weitere Antwort, eikito |
28.07.2006, 23:31 | #10 |
/// Helfer-Team | w32.Myzor.FK@yf und/oder w32/Trojan.IID? Gefällt mir eigentlich schon. Zur Vorsicht führe aus: http://www.trojaner-board.de/showthread.php?t=24192 Das kann dauern. Je nach Grösse der Platten. Lasse den Scan laufen. Das Ergebnis schaue ich mir morgen an. Edit by Felix Heute natürlich, irgendwie die Zeit verpasst
__________________ LG Der Felix Keine Hilfe per PN und E-Mail Geändert von felix1 (29.07.2006 um 00:06 Uhr) |
28.07.2006, 23:32 | #11 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Mach ich ... |
29.07.2006, 04:22 | #12 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Hallo Felix, es wird gerade hell draussen und ich knirsch mit den Zähnen: eScan hat mir ein Bericht geschrieben, der 18 MB groß ist Das kann ich beileibe nicht posten, noch nicht mal öffnen. Meine nächtlichen Beobachtungen ergaben aber, dass eScan keine Viren etc. gefunden hat. EWIDO meldet aber nach wie vor ständig eine ddaba.dll mit Adware.Virtumonde. Bin ... ich lass morgen nochmal die Maschine drübermähen. Frohes Frühstück! eikito |
29.07.2006, 09:34 | #13 |
/// Helfer-Team | w32.Myzor.FK@yf und/oder w32/Trojan.IID? Moin, moin Zum escan: Ich benötige nicht alle Dateien. Lese mal bei [5] der Anleitung nach. Lade Dir herunter Vundofix, und führe es aus, poste danach den Report.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
29.07.2006, 17:15 | #14 |
| w32.Myzor.FK@yf und/oder w32/Trojan.IID? Tag Felix, nicht wirklich ausgeschlafen, aber totzdem gut gelaunt ob Deiner "Patenschaft" habe ich hoffentlich die richtigen Schritte mit VundoFix unternommen. Hier erst einmal die meines Erachtens nach wichtigen Zeilen von des eScan-Berichts (alles, was mit virus betitelt war): File C:\WINDOWS\System32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken. File C:\WINDOWS\System32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken. File C:\WINDOWS\System32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken. File C:\!KillBox\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken. File C:\!KillBox\ddaba.dll( 1) tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken. File C:\WINDOWS\system32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken. Dem habe ich entnommen ,das der Plagegeist ddaba.dll heißt. So habe ich dann, wie einigen posts zu entnehmen war, folgendes mit Vundofix angestellt: VundoFix V2.15 by Atri -------------------------------------------------------------------------------------- Listing files contained in the vundofix folder. -------------------------------------------------------------------------------------- killvundo.bat process.exe ReadMe.txt vundo.reg vundofix.txt -------------------------------------------------------------------------------------- Filepaths entered -------------------------------------------------------------------------------------- The filepath entered was C:\WINDOWS\SYSTEM32\ddaba.dll The second filepath entered was abadd.* -------------------------------------------------------------------------------------- Log from Process -------------------------------------------------------------------------------------- Killing PID 124 'smss.exe' Killing PID 740 'explorer.exe' Killing PID 740 'explorer.exe' Killing PID 740 'explorer.exe' Killing PID 740 'explorer.exe' Killing PID 192 'winlogon.exe' Killing PID 192 'winlogon.exe' -------------------------------------------------------------------------------------- C:\WINDOWS\SYSTEM32\ddaba.dll Deleted sucessfully. abadd.* Deleted sucessfully. Fixing Registry -------------------------------------------------------------------------------------- Hoffe, dass das nicht falsch war. Jefdenfalls ist die ddaba.dll nu weg. Leider lahmt mein PC nach wie vor ... Hoffentlich hast Du noch eine Ahnung. Ich geh erstmal 2-3 Stunden an die frische Luft So long, frohen Samstag, eikito |
29.07.2006, 19:07 | #15 |
/// Helfer-Team | w32.Myzor.FK@yf und/oder w32/Trojan.IID? War schon o.K. Poste ein neues Log von HJT. Mitlerweile ist so viel verändert, dass das alte wohl nicht mehr gültig sein wird.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
Themen zu w32.Myzor.FK@yf und/oder w32/Trojan.IID? |
.dll, adobe, adobe reader, antivirus, attention, canon, computer, defender, einstellungen, ellung, explorer, geht nicht, generic, hijack, internet, internet explorer, monitor, nvidia, pdf, programm, programme, registry, rundll, scan, schnelle hilfe, software, system, temp, urlsearchhook, windows, windows xp |