| |
| |||||||
Log-Analyse und Auswertung: Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
06.10.2007, 19:42
| #1 |
| |  Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) Hallo, habe zunehmend Fehler- bzw. Fundmeldungen mit Trojaner Vundo.Gen und ConHook.Gen von Antivir bekommen. Quarantäne oder Löschen geht nicht, Dateien sind geschützt, auch im abgesicherten Modús. Habe dann mit Hijack den Logfile erzeugt. Bitte einmal checken, was zu tun ist. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:00:22, on 06.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe C:\Programme\Logitech\QuickCam10\QuickCam10.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\Logitech\QuickCam10\COCIManager.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Dokumente und Einstellungen\User\Eigene Dateien\HiJackthis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcDsnJKz/X5XzqmqioGYWFphvJaeqciojIKXyqkpwmLwecmOrN4qx7QjnQdhOR0nIXHRmuzBFZfR33aXjsm6aMlWDnCznJl2VhY5vSJiFHQWi85DELOuCfJk4EIwzgB5FGbd/d+0duiVoyeCRSxCu8iBThdgSYtFtfY O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {23A9FBB4-8240-48CB-B196-5813155BF8FE} - C:\WINDOWS\system32\awvvt.dll (file missing) O2 - BHO: (no name) - {6012F3FD-62BE-4E13-AD9A-7D8C8F9E2B8C} - C:\WINDOWS\system32\ssqrr.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: {df446208-1a14-3bfa-0534-083437bb36c7} - {7c63bb73-4380-4350-afb3-41a1802644fd} - C:\WINDOWS\system32\qwctsnhx.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Programme\Starware369\bin\Starware369.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Starware Musik-Toolbar - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Programme\Starware369\bin\Starware369.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: awtttur - C:\WINDOWS\SYSTEM32\awtttur.dll O20 - Winlogon Notify: awvvt - C:\WINDOWS\system32\awvvt.dll (file missing) O20 - Winlogon Notify: geeba - C:\WINDOWS\ O20 - Winlogon Notify: jkklj - C:\WINDOWS\ O20 - Winlogon Notify: ssqpo - C:\WINDOWS\ O20 - Winlogon Notify: ssttq - C:\WINDOWS\system32\ssttq.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 7068 bytes |
|
07.10.2007, 06:09
| #2 |
  |  Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) Hallo
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Dann bitte diese Anleitungen der Reihe nach abarbeiten Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Die Logs kannst du als Codetags posten das ist in der Antwortbox dieses Zeichen #. Das sieht dann so aus auch in der Vorschau  Code:
ATTFilter Vorschau
|
|
07.10.2007, 09:43
| #3 |
| |  Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) Hallo nochdigger,
__________________danke erstmal für die Anleitung. Habe versucht, vundofix.exe zu starten, bekomme aber einen Laufzeitfehler gemeldet wegen fehlendem RPC-Server. Den Rest der Anleitung konnte ich umsetzen, unten sind alle Ergebnisse dargestellt. Hoffe, du kannst mir da weiterhelfen... Combofix habe ich gestartet mit folgendem Ergebnis: Code:
ATTFilter ComboFix 07-10-07.1 - Chipsy 2007-10-07 10:00:08.1 - NTFSx86
ausgeführt von:: E:\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\sys.txt
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\abeeg.tmp
C:\WINDOWS\system32\awtst.dll
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\jlkkj.ini
C:\WINDOWS\system32\jlkkj.ini
C:\WINDOWS\system32\jlkkj.ini2
C:\WINDOWS\system32\jlkkj.ini2
C:\WINDOWS\system32\jlkkj.tmp
C:\WINDOWS\system32\jlkkj.tmp
C:\WINDOWS\system32\opqss.bak1
C:\WINDOWS\system32\opqss.bak1
C:\WINDOWS\system32\opqss.bak2
C:\WINDOWS\system32\opqss.bak2
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\opqss.tmp
C:\WINDOWS\system32\opqss.tmp
C:\WINDOWS\system32\qttss.bak1
C:\WINDOWS\system32\qttss.ini
C:\WINDOWS\system32\rrqss.bak1
C:\WINDOWS\system32\rrqss.bak1
C:\WINDOWS\system32\rrqss.ini
C:\WINDOWS\system32\rrqss.ini
C:\WINDOWS\system32\ssqrr.dll
C:\WINDOWS\system32\tstwa.bak1
C:\WINDOWS\system32\tstwa.bak1
C:\WINDOWS\system32\tstwa.ini
C:\WINDOWS\system32\tstwa.ini
C:\WINDOWS\system32\tvvwa.bak1
C:\WINDOWS\system32\tvvwa.bak1
C:\WINDOWS\system32\tvvwa.bak2
C:\WINDOWS\system32\tvvwa.bak2
C:\WINDOWS\system32\tvvwa.ini
C:\WINDOWS\system32\tvvwa.ini
C:\WINDOWS\system32\tvvwa.ini2
C:\WINDOWS\system32\tvvwa.ini2
C:\WINDOWS\system32\tvvwa.tmp
C:\WINDOWS\system32\tvvwa.tmp
.
((((((((((((((((((((((( Dateien erstellt von 2007-09-07 bis 2007-10-07 ))))))))))))))))))))))))))))))
.
2007-10-07 09:59 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-06 19:54 <DIR> d-------- C:\Programme\Trojancheck 6
2007-10-06 18:40 <DIR> d-------- C:\Programme\Trend Micro
2007-10-06 16:49 <DIR> d-------- C:\WINDOWS\pss
2007-10-06 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2007-10-06 16:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-06 16:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-06 16:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-06 16:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-06 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-06 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-06 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-06 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-06 16:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Roxio
2007-10-06 14:36 <DIR> d-------- C:\Dokumente und Einstellungen\Chipsy\Anwendungsdaten\Logitech
2007-10-06 14:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2007-10-06 14:34 69,632 --a------ C:\WINDOWS\system32\KemXML.dll
2007-10-06 14:34 163,840 --a------ C:\WINDOWS\system32\kemutb.dll
2007-10-06 14:34 135,168 --a------ C:\WINDOWS\system32\KemUtil.dll
2007-10-06 14:34 110,592 --a------ C:\WINDOWS\system32\KemWnd.dll
2007-10-06 14:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chipsy\Anwendungsdaten\InstallShield
2007-09-24 19:24 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-09-24 19:24 <DIR> d-------- C:\Programme\soft Xpansion
2007-09-16 12:44 23,552 --a------ C:\WINDOWS\system32\awtttur.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-07 10:04 0 --a------ C:\WINDOWS\system32\drivers\lvuvc.hs
2007-10-06 16:42 --------- d-------- C:\Programme\Roxio
2007-10-06 16:42 --------- d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-10-06 16:42 --------- d-------- C:\Programme\Gemeinsame Dateien\Roxio Shared
2007-10-06 16:42 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio
2007-10-06 14:34 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-10-06 14:34 --------- d-------- C:\Programme\Logitech
2007-10-06 14:34 --------- d-------- C:\Programme\Gemeinsame Dateien\Logitech
2007-10-06 14:34 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-10-03 18:36 --------- d-------- C:\Programme\ICQToolbar
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23A9FBB4-8240-48CB-B196-5813155BF8FE}]
C:\WINDOWS\system32\awvvt.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7c63bb73-4380-4350-afb3-41a1802644fd}]
C:\WINDOWS\system32\qwctsnhx.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" [2006-06-26 11:33]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-06 15:09]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2005-09-28 20:11]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-05 11:31]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2005-08-31 20:27]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtttur]
awtttur.dll 2007-09-16 12:44 23552 C:\WINDOWS\system32\awtttur.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvvt]
C:\WINDOWS\system32\awvvt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeba]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkklj]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpo]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssttq]
C:\WINDOWS\system32\ssttq.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\6803b7ad]
rundll32.exe "C:\WINDOWS\system32\alumjual.dll",sitypnow
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
"C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
c:\Musicbrigade\Musicbrigade.exe check
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
"C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
RTHDCPL.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite]
HDAShCut.exe
.
**************************************************************************
catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-07 10:08:13
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-07 10:08:57 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-07 10:08
.
--- E O F ---
Code:
ATTFilter ----- Root -----------------------------
Datentrger in Laufwerk C: ist Big C
Volumeseriennummer: 6803-B702
Verzeichnis von C:\
07.10.2007 10:08 9.597 ComboFix.txt
07.10.2007 10:08 3.700 ComboFix-quarantined-files.txt
07.10.2007 10:04 535.416.832 hiberfil.sys
07.10.2007 10:04 805.306.368 pagefile.sys
06.10.2007 20:59 211 boot.ini
06.10.2007 18:32 559 down.txt
06.10.2007 18:32 13.232 tmp.txt
06.10.2007 18:31 10.100 system.txt
06.10.2007 18:30 4.603 systemtemp.txt
06.10.2007 18:28 100.309 system32.txt
29.09.2007 15:06 268 sqmdata02.sqm
29.09.2007 15:06 244 sqmnoopt02.sqm
28.09.2007 19:07 268 sqmdata01.sqm
28.09.2007 19:07 244 sqmnoopt01.sqm
----- System32 -------------------------
Datentrger in Laufwerk C: ist Big C
Volumeseriennummer: 6803-B702
Verzeichnis von C:\WINDOWS\system32
07.10.2007 10:08 39.472 nvapps.xml
06.10.2007 19:32 1.158 wpa.dbl
06.10.2007 16:55 665.800 FNTCACHE.DAT
06.10.2007 16:39 184 ROXECDC6Inst.log
06.10.2007 14:58 693.832 laujmula.ini
06.10.2007 14:57 402.406 perfh009.dat
06.10.2007 14:57 416.982 perfh007.dat
06.10.2007 14:57 63.016 perfc009.dat
06.10.2007 14:57 75.868 perfc007.dat
06.10.2007 14:57 970.772 PerfStringBackup.INI
06.10.2007 14:56 693.781 wetdtjgb.ini
06.10.2007 14:39 693.652 urfcxvxk.ini
06.10.2007 14:28 693.532 cufrfonf.ini
05.10.2007 10:07 279.552 swreg.exe
01.10.2007 18:58 693.550 vrrpnlvh.ini
01.10.2007 16:40 693.481 mnootavu.ini
29.09.2007 19:51 693.412 reghacgm.ini
16.09.2007 12:44 23.552 awtttur.dll
----- Prefetch -------------------------
Datentrger in Laufwerk C: ist Big C
Volumeseriennummer: 6803-B702
Verzeichnis von C:\WINDOWS\Prefetch
06.10.2007 21:08 36.546 LOGONUI.EXE-0AF22957.pf
06.10.2007 21:08 117.462 GUARDGUI.EXE-1BD45C30.pf
06.10.2007 21:07 108.296 RUNDLL32.EXE-1198D8AF.pf
06.10.2007 21:06 6.994 CNMSE85.EXE-0C030348.pf
06.10.2007 20:48 32.230 VERCLSID.EXE-3667BD89.pf
06.10.2007 20:38 40.350 ACRORD32INFO.EXE-30CEC19C.pf
06.10.2007 20:32 191.968 IEXPLORE.EXE-2CA9778D.pf
06.10.2007 20:26 86.362 WMIPRVSE.EXE-28F301A9.pf
06.10.2007 20:14 19.434 RUNDLL32.EXE-268BFF96.pf
06.10.2007 20:12 259.530 HELPSVC.EXE-2878DDA2.pf
06.10.2007 20:02 37.278 WUAUCLT.EXE-399A8E72.pf
06.10.2007 20:02 86.262 RUNDLL32.EXE-13404D23.pf
06.10.2007 19:47 133.558 ACRORD32.EXE-0EC716D9.pf
06.10.2007 19:36 61.668 WLLOGINPROXY.EXE-33926225.pf
06.10.2007 19:34 22.328 RUNDLL32.EXE-451FC2C0.pf
06.10.2007 19:33 67.350 WINWORD.EXE-259486DA.pf
06.10.2007 19:33 29.026 COCIMANAGER.EXE-313FBACD.pf
06.10.2007 19:33 46.886 WGATRAY.EXE-0ED38BED.pf
06.10.2007 19:33 17.888 REGSVR32.EXE-25EEFE2F.pf
06.10.2007 19:33 109.564 ALG.EXE-0F138680.pf
06.10.2007 19:33 1.453.616 NTOSBOOT-B00DFAAD.pf
06.10.2007 16:56 50.582 SERVER4PC.EXE-052DE72B.pf
06.10.2007 16:56 70.202 ICQLITE.EXE-2AEFACA7.pf
06.10.2007 16:56 29.370 OSA.EXE-0082CBE3.pf
06.10.2007 16:54 21.350 DRWTSN32.EXE-2B4B52AC.pf
06.10.2007 16:54 55.302 DWWIN.EXE-30875ADC.pf
06.10.2007 16:40 28.686 ROXWATCHTRAY.EXE-28A63364.pf
06.10.2007 16:33 16.038 CPSHELPRUNNER.EXE-370067AB.pf
06.10.2007 16:01 96.854 ROXMEDIADB.EXE-38A88C3C.pf
06.10.2007 16:01 22.988 RUNDLL32.EXE-35A483DA.pf
06.10.2007 16:01 39.488 READER_SL.EXE-36135169.pf
06.10.2007 15:58 34.378 RUNDLL32.EXE-30CFBD82.pf
06.10.2007 15:53 50.998 DUMPREP.EXE-1B46F901.pf
06.10.2007 15:10 59.320 AVGNT.EXE-36CA4640.pf
06.10.2007 15:02 28.244 RTHDCPL.EXE-06918CFA.pf
06.10.2007 14:57 33.922 WMIADAP.EXE-2DF425B2.pf
06.10.2007 14:55 19.228 MSMSGS.EXE-32066BA5.pf
06.10.2007 14:54 43.440 WMPLAYER.EXE-09969332.pf
06.10.2007 14:49 14.890 CTFMON.EXE-0E17969B.pf
06.10.2007 14:41 16.880 QUICKCAM10.EXE-353074FB.pf
06.10.2007 14:30 17.866 LOGITECHUPDATE.EXE-3B93BDCC.pf
03.10.2007 18:40 12.074 UNINS000.EXE-11B87541.pf
03.10.2007 18:40 22.266 UNINSTALL.EXE-22BE9351.pf
03.10.2007 18:39 25.094 SERVER2GO.EXE-01399635.pf
03.10.2007 18:39 37.568 PHP-CLI.EXE-2D416439.pf
03.10.2007 18:39 61.222 MEINEHOMEPAGE5.EXE-374E8FD6.pf
03.10.2007 18:38 16.298 SEEKMOSADF.EXE-19E359A0.pf
03.10.2007 18:38 25.088 ZAN4D.EXE-0297E011.pf
03.10.2007 18:38 29.754 SEEKMOUNINSTALLER.EXE-12F390BF.pf
03.10.2007 18:37 24.738 ZAN46.EXE-3295E9EC.pf
03.10.2007 18:37 30.136 RUNDLL32.EXE-2E70BAC7.pf
03.10.2007 18:36 56.804 SRV.EXE-188B7EC9.pf
03.10.2007 18:36 22.884 CMD.EXE-087B4001.pf
03.10.2007 18:30 28.902 LVCOMSX.EXE-31391BCB.pf
03.10.2007 18:04 19.954 RUNDLL32.EXE-21F1DAF7.pf
01.10.2007 19:51 61.576 WMPLAYER.EXE-09969338.pf
01.10.2007 18:57 82.650 EXCEL.EXE-3281D776.pf
01.10.2007 18:48 10.524 RSVP.EXE-04E70CF3.pf
01.10.2007 17:52 29.590 RUNDLL32.EXE-3823DD55.pf
01.10.2007 17:51 32.574 RUNDLL32.EXE-2FD2C5FA.pf
01.10.2007 17:47 29.432 RUNDLL32.EXE-16EAAE2D.pf
01.10.2007 17:46 29.506 RUNDLL32.EXE-22D38BE3.pf
01.10.2007 17:45 29.420 RUNDLL32.EXE-35704AAF.pf
01.10.2007 17:44 29.408 RUNDLL32.EXE-35163813.pf
01.10.2007 17:44 29.506 RUNDLL32.EXE-40FF15C9.pf
01.10.2007 17:44 29.646 RUNDLL32.EXE-41592865.pf
01.10.2007 17:30 63.770 LFS.EXE-0977C2AD.pf
01.10.2007 16:55 32.442 USNSVC.EXE-1D8C2356.pf
01.10.2007 16:44 20.546 RUNDLL32.EXE-2E0B6E5D.pf
29.09.2007 19:51 48.026 IMAPI.EXE-0BF740A4.pf
29.09.2007 19:51 79.082 EXPLORER.EXE-082F38A9.pf
29.09.2007 19:51 23.868 TASKMGR.EXE-20256C55.pf
29.09.2007 19:49 25.048 RUNDLL32.EXE-43E12E6E.pf
29.09.2007 19:44 40.470 IEDW.EXE-2D047874.pf
29.09.2007 19:34 20.424 RUNDLL32.EXE-293751C7.pf
29.09.2007 15:06 17.424 RUNDLL32.EXE-1354DCCD.pf
29.09.2007 13:24 17.136 RUNDLL32.EXE-2E5AF1D7.pf
29.09.2007 13:03 361.666 Layout.ini
29.09.2007 12:58 12.070 SSPIPES.SCR-151C97BA.pf
29.09.2007 12:27 97.414 SKYPEPM.EXE-03F1BFBD.pf
28.09.2007 17:55 74.142 DFRGNTFS.EXE-269967DF.pf
28.09.2007 17:55 17.552 DEFRAG.EXE-273F131E.pf
28.09.2007 16:43 19.516 RUNDLL32.EXE-2DC135B5.pf
25.09.2007 16:19 28.668 VIDEOEFFECTSPERFMON.EXE-1C8E6908.pf
25.09.2007 16:16 57.694 WMPLAYER.EXE-09969333.pf
25.09.2007 15:46 30.074 RUNDLL32.EXE-26F78D86.pf
25.09.2007 15:43 20.702 RUNDLL32.EXE-4A528855.pf
25.09.2007 15:43 77.362 STYLE ADVISOR.EXE-1F6E034F.pf
24.09.2007 20:23 17.076 RUNDLL32.EXE-4B532FFE.pf
24.09.2007 20:21 29.652 RUNDLL32.EXE-32E06B3C.pf
24.09.2007 20:07 28.924 RUNDLL32.EXE-1FC5E6A1.pf
24.09.2007 20:03 30.360 RUNDLL32.EXE-13DD08EB.pf
24.09.2007 19:24 26.074 SETUP.EXE-393E66AE.pf
23.09.2007 13:52 39.268 SETUP_WM.EXE-19AC5A9B.pf
23.09.2007 12:01 28.648 AGENTSVR.EXE-002E45AB.pf
23.09.2007 11:56 48.124 MSTORDB.EXE-31FDF221.pf
23.09.2007 11:54 20.678 RUNDLL32.EXE-35D70D60.pf
16.09.2007 12:44 29.288 OPT1.EXE-0495FDD8.pf
07.09.2007 20:22 14.342 CALC.EXE-02CD573A.pf
07.09.2007 20:15 52.702 WMPLAYER.EXE-09969339.pf
07.09.2007 20:08 41.340 WIAACMGR.EXE-212ED878.pf
07.09.2007 19:26 28.790 RUNDLL32.EXE-38B88895.pf
07.09.2007 19:25 30.392 RUNDLL32.EXE-2729919C.pf
05.09.2007 19:17 21.830 MSPAINT.EXE-11CBB631.pf
----- Windows --------------------------
Datentrger in Laufwerk C: ist Big C
Volumeseriennummer: 6803-B702
Verzeichnis von C:\WINDOWS
07.10.2007 10:06 425.403 WindowsUpdate.log
07.10.2007 10:04 2.048 bootstat.dat
06.10.2007 21:08 405 wiadebug.log
06.10.2007 21:08 32.622 SchedLgU.Txt
06.10.2007 20:59 573 win.ini
06.10.2007 20:59 227 system.ini
06.10.2007 19:32 0 0.log
06.10.2007 19:31 50 wiaservc.log
06.10.2007 18:21 1.818 EventSystem.log
06.10.2007 18:10 116 NeroDigital.ini
06.10.2007 16:47 478 setuplog.txt
06.10.2007 16:26 219.644 ntbtlog.txt
06.10.2007 14:58 687.197 setupapi.log
06.10.2007 14:48 232.988 setupact.log
06.10.2007 14:35 86 KE.log
06.10.2007 14:35 29.716 DPINST.LOG
28.09.2007 09:06 135.168 catchme.exe
23.09.2007 13:53 54.014 wmsetup.log
----- Tasks ----------------------------
Datentrger in Laufwerk C: ist Big C
Volumeseriennummer: 6803-B702
Verzeichnis von C:\WINDOWS\tasks
06.10.2007 21:08 6 SA.DAT
----- Wintemp --------------------------
Datentrger in Laufwerk C: ist Big C
Volumeseriennummer: 6803-B702
Verzeichnis von C:\WINDOWS\temp
----- Temp -----------------------------
Datentrger in Laufwerk C: ist Big C
Volumeseriennummer: 6803-B702
Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp
07.10.2007 10:22 119.839 filelist.txt
1 Datei(en) 119.839 Bytes
0 Verzeichnis(se), 136.106.455.040 Bytes frei
|
|
07.10.2007, 10:37
| #4 |
| | Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) Hallo zeige uns bitte aus der Filelist den System32 Ordner komplett an (könnte sehr lang sein). MFG |
|
07.10.2007, 13:19
| #5 |
| |  Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) Hallo, hier die gesamte Filelist für system32. File war zu groß für einen direkten Post hier, habe es als Anlage in 6 Textfiles dazugepackt. Sch.. ich kann aber nur 4 Anhänge machen. Die restlichen zwei schiebe ich gleich hinterher. Hoffe, das hilft weiter.... |
|
07.10.2007, 13:21
| #6 |
| | Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) Hallo, hier noch die zwei fehlenden Textfiles für den Ordner Windows\System32. Good luck und hoffentlich bis bald.. alterschwede |
|
| Themen zu Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) |
| adobe, antivir, avira, bho, canon, einstellungen, excel, explorer, geht nicht, google, hijack, hijackthis, hkus\s-1-5-18, hook, internet, internet explorer, logfile, monitor, prüfen, quara, rundll, s-1-5-18, server, software, system, trend micro, trojaner, vundo, vundo.gen, windows, windows xp |
Hybrid-Darstellung
