Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TrojanSPM/LX

TrojanSPM/LX


Log-Analyse und Auswertung: TrojanSPM/LX

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 13.11.2007, 22:26   #1
-=ChRoNo=-
 
TrojanSPM/LX - Unglücklich

TrojanSPM/LX


Hallo zusammen,
ich habe seit heute mittag das problem, das ich immer wieder solche windows pop-up fenster bekomme, welche mich immer aus meinen games werfen...
war schon auf einigen anderen foren aber dort fand ich leider keine lösung für mein problem.



Logfile of HijackThis v1.99.1
Scan saved at 21:45:30, on 13.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
E:\steam\steam.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\HJT.exe

O2 - BHO: System-A - {563D9576-840E-13DC-8324-0900201C9A61} - C:\Programme\System-A\ie-improver.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {82E28414-5E90-4484-A5A9-F73514862E3C} - C:\WINDOWS\system32\sstqr.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\qdjcnefg.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\sfybybhu.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\sfybybhu.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [40fe41c8] rundll32.exe "C:\WINDOWS\system32\clgktshu.dll",b
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0095E10.dat
O20 - Winlogon Notify: sfybybhu - C:\WINDOWS\SYSTEM32\sfybybhu.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\sykcpfuw.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

für hilfe wäre ich sehr dankbar!! (wenn möglich ohne rechner platt zu machen... is sehr viel arbeit alles wieder einzustellen...)
vielen dank schon mal im vorraus

Grüßle ChRoNo

Alt 14.11.2007, 07:57   #2
undoreal
/// AVZ-Toolkit Guru
 
TrojanSPM/LX - Standard

TrojanSPM/LX


Hallö ChRoNo.

Beachte bitte meine Signatur zum Suchen und Finden von Dateien und suche nach einer " uninstall.exe ".

Wahrscheinlich wirst du mehrere finden..

Die die sich in Ordner vertrauenswürdiger/dir bekannter Programme befinden kannst du ignorieren. Alle Anderen bei denen du dir unsicher bist lade bitte auf virustotal.com hoch und poste das Ergebnis.
__________________

__________________
Alt 14.11.2007, 15:25   #3
-=ChRoNo=-
 
TrojanSPM/LX - Standard

TrojanSPM/LX


danke für die schnelle antwort erstmal ^^
hab hier die logfile von der virusseite

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.14.1 2007.11.14 -
AntiVir 7.6.0.34 2007.11.14 -
Authentium 4.93.8 2007.11.14 -
Avast 4.7.1074.0 2007.11.13 -
AVG 7.5.0.503 2007.11.14 -
BitDefender 7.2 2007.11.14 -
CAT-QuickHeal 9.00 2007.11.14 -
ClamAV 0.91.2 2007.11.14 -
DrWeb 4.44.0.09170 2007.11.14 -
eSafe 7.0.15.0 2007.11.13 suspicious Trojan/Worm
eTrust-Vet 31.2.5294 2007.11.14 -
Ewido 4.0 2007.11.14 -
FileAdvisor 1 2007.11.14 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.14 -
F-Secure 6.70.13030.0 2007.11.14 -
Ikarus T3.1.1.12 2007.11.14 -
Kaspersky 7.0.0.125 2007.11.14 -
McAfee 5162 2007.11.13 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2658 2007.11.14 -
Norman 5.80.02 2007.11.14 -
Panda 9.0.0.4 2007.11.14 -
Prevx1 V2 2007.11.14 Heuristic: Suspicious Browser Help Object
Rising 20.18.20.00 2007.11.14 -
Sophos 4.23.0 2007.11.14 -
Sunbelt 2.2.907.0 2007.11.14 -
Symantec 10 2007.11.14 -
TheHacker 6.2.9.127 2007.11.14 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.13 -
Webwasher-Gateway 6.0.1 2007.11.14 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
weitere Informationen
File size: 24064 bytes
MD5: 4430e84fdcccb8f3a7502e5e0f0bfbff
SHA1: 8149481f5a0d16e3157397e98617e16206b13c4e
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=ECB7DCBC00B561BE5EA7008C1AAFC5008BA94C4D

mfg Chrono
__________________
Alt 14.11.2007, 15:31   #4
BataAlexander
> MalwareDB
 
TrojanSPM/LX - Standard

TrojanSPM/LX


Diese Dateien auch noch bei VT prüfen lassen

C:\WINDOWS\system32\sstqr.dll
C:\WINDOWS\system32\qdjcnefg.dll
C:\WINDOWS\system32\sfybybhu.dll
"C:\WINDOWS\system32\clgktshu.dll"
C:\WINDOWS\system32\__c0095E10.dat
C:\WINDOWS\system32\sykcpfuw.exe

Alt 14.11.2007, 16:38   #5
-=ChRoNo=-
 
TrojanSPM/LX - Standard

TrojanSPM/LX


C:\WINDOWS\system32\sstqr.dll:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.14.1 2007.11.14 -
AntiVir 7.6.0.34 2007.11.14 TR/Vundo.Gen
Authentium 4.93.8 2007.11.14 -
Avast 4.7.1074.0 2007.11.13 -
AVG 7.5.0.503 2007.11.14 Lop
BitDefender 7.2 2007.11.14 Adware.Virtumonde.GHB
CAT-QuickHeal 9.00 2007.11.14 -
ClamAV 0.91.2 2007.11.14 -
DrWeb 4.44.0.09170 2007.11.14 Trojan.Virtumod.228
eSafe 7.0.15.0 2007.11.13 -
eTrust-Vet 31.2.5294 2007.11.14 Win32/Vundo.GN
Ewido 4.0 2007.11.14 -
FileAdvisor 1 2007.11.14 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.14 -
F-Secure 6.70.13030.0 2007.11.14 Vundo.gen49
Ikarus T3.1.1.12 2007.11.14 AdWare.Virtumonde.GGZ
Kaspersky 7.0.0.125 2007.11.14 -
McAfee 5162 2007.11.13 -
Microsoft 1.3007 2007.11.12 Trojan:Win32/Vundo.K
NOD32v2 2658 2007.11.14 Win32/Adware.Virtumonde
Norman 5.80.02 2007.11.14 W32/Virtumonde.IFO
Panda 9.0.0.4 2007.11.14 Spyware/Virtumonde
Prevx1 V2 2007.11.14 Trojan.Vundo
Rising 20.18.20.00 2007.11.14 AdWare.Win32.Virtumonde.geo
Sophos 4.23.0 2007.11.14 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2007.11.14 -
Symantec 10 2007.11.14 -
TheHacker 6.2.9.127 2007.11.14 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.13 -
Webwasher-Gateway 6.0.1 2007.11.14 Trojan.Vundo.Gen
weitere Informationen
File size: 316000 bytes
MD5: 0d48e207f7da2fa91d55472e3823661e
SHA1: 6d592f035050fb03dc32da8ad1cbe8511cfcfa15
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=07D6802F60873947D21D047E99067200E4303A2E

C:\WINDOWS\system32\qdjcnefg.dll:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.14.1 2007.11.14 -
AntiVir 7.6.0.34 2007.11.14 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.11.14 -
Avast 4.7.1074.0 2007.11.13 -
AVG 7.5.0.503 2007.11.14 Lop
BitDefender 7.2 2007.11.14 -
CAT-QuickHeal 9.00 2007.11.14 -
ClamAV 0.91.2 2007.11.14 -
DrWeb 4.44.0.09170 2007.11.14 -
eSafe 7.0.15.0 2007.11.13 -
eTrust-Vet 31.2.5294 2007.11.14 -
Ewido 4.0 2007.11.14 -
FileAdvisor 1 2007.11.14 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.14 -
F-Secure 6.70.13030.0 2007.11.14 Vundo.gen44
Ikarus T3.1.1.12 2007.11.14 -
Kaspersky 7.0.0.125 2007.11.14 -
McAfee 5162 2007.11.13 -
Microsoft 1.3007 2007.11.12 Trojan:Win32/Vundo.K
NOD32v2 2658 2007.11.14 -
Norman 5.80.02 2007.11.14 Vundo.gen44
Panda 9.0.0.4 2007.11.14 Suspicious file
Prevx1 V2 2007.11.14 Trojan.Vundo
Rising 20.18.20.00 2007.11.14 -
Sophos 4.23.0 2007.11.14 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2007.11.14 -
Symantec 10 2007.11.14 -
TheHacker 6.2.9.127 2007.11.14 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.14 -
Webwasher-Gateway 6.0.1 2007.11.14 Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 75840 bytes
MD5: 8834772a9ba12cb4f51e7c7cd37c197f
SHA1: e316be53a857b76c1c576e293fe13f66cfa050a5
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=4CB3E2B040FC15E62807013E5E1E60007AF39A2F

die anderen files werde ich später überprüfen lassen, da ich gerade dringend weg muss


Alt 14.11.2007, 17:40   #6
undoreal
/// AVZ-Toolkit Guru
 
TrojanSPM/LX - Standard

TrojanSPM/LX


Gab es nur eine uninstall.exe auf deinem Rechner? In welchem Ordner befand die sich? (Der Kopf der Auswertung fehlt.. )

Wechsel in den abgesicherten Modus und lösche die Datei von dort aus.

Folge bitte dieser Anleitung. Lasse danach CCleaner laufen.

Wiederhole diesen Vorgang so oft, bis vundofix nichts mehr findet.

Melde dich danach mit frischem HJT log.
__________________
--> TrojanSPM/LX

Alt 14.11.2007, 20:17   #7
-=ChRoNo=-
 
TrojanSPM/LX - Standard

TrojanSPM/LX


die exe befand sich unter "C:\Programme\System-A"

Alt 14.11.2007, 20:33   #8
-=ChRoNo=-
 
TrojanSPM/LX - Standard

TrojanSPM/LX


Logfile of HijackThis v1.99.1
Scan saved at 20:32:24, on 14.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
E:\steam\steam.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\HJT.exe

O2 - BHO: System-A - {563D9576-840E-13DC-8324-0900201C9A61} - C:\Programme\System-A\ie-improver.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {FF73CBD0-6B25-4889-B179-B7693C9380AB} - C:\WINDOWS\system32\sstqr.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [40fe41c8] rundll32.exe "C:\WINDOWS\system32\uvsommal.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0089AFC.dat
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\sykcpfuw.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Alt 14.11.2007, 22:36   #9
undoreal
/// AVZ-Toolkit Guru
 
TrojanSPM/LX - Standard

TrojanSPM/LX


Zitat:
die exe befand sich unter "C:\Programme\System-A"
jo, dann war das ein Volltreffer.

Das könnte etwas schwierig werden den runter zu bekommen.

Es liegt bei dir: Neuaufsetzten oder Bereinigen?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 14.11.2007, 23:45   #10
-=ChRoNo=-
 
TrojanSPM/LX - Standard

TrojanSPM/LX


naja bereinigen wäre mir persönlich lieber, da ich sehr viele wichtige daten auf meinem rechner habe die ich nich alle sichern kann... platzmangel
könntest du mir dazu vielleicht ein paar tipps geben ??

Alt 15.11.2007, 06:14   #11
undoreal
/// AVZ-Toolkit Guru
 
TrojanSPM/LX - Standard

TrojanSPM/LX


Zitat:
könntest du mir dazu vielleicht ein paar tipps geben ??
^^ natürlich..

Poste bitte die vundoFix logs..

Danach geht es weiter:


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Lasse Silentrunners laufen und poste die logFiles..

4) Fixe mit HJT folgende Einträge:

* O2 - BHO: System-A - {563D9576-840E-13DC-8324-0900201C9A61} - C:\Programme\System-A\ie-improver.dll *

* O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll *

* O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file) *

* O4 - HKLM\..\Run: [40fe41c8] rundll32.exe "C:\WINDOWS\system32\uvsommal.dll",b *

* O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0089AFC.dat *

* O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\sykcpfuw.exe (file missing) *

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

8) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

9) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

10) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 15.11.2007, 14:37   #12
-=ChRoNo=-
 
TrojanSPM/LX - Standard

TrojanSPM/LX


silentrunners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"Steam" = ""e:\steam\steam.exe" -silent" ["Valve Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."]
"40fe41c8" = "rundll32.exe "C:\WINDOWS\system32\uvsommal.dll",b" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{40e2ad4a-2a63-401c-8dc5-807123fd59cc}\(Default) = "{cc95df32-1708-5cd8-c104-36a2a4da2e04}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\fisbnrhn.dll" [null data]
{563D9576-840E-13DC-8324-0900201C9A61}\(Default) = (no title provided)
-> {HKLM...CLSID} = "System-A"
\InProcServer32\(Default) = "C:\Programme\System-A\ie-improver.dll" [empty string]
{A95B2816-1D7E-4561-A202-68C0DE02353A}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\bmyoanqr.dll" [null data]
{D2A7AEA0-BEDC-4103-AB0F-AA2A094C6704}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\sstqr.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "C:\WINDOWS\system32\__c0089AFC.dat" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> bmyoanqr\DLLName = "bmyoanqr.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\SuCkA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"
-> {HKLM...CLSID} = "Security Toolbar"
\InProcServer32\(Default) = "C:\WINDOWS\system32\bmyoanqr.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{11A69AE4-FBED-4832-A2BF-45AF82825583}" = (no title provided)
-> {HKLM...CLSID} = "Security Toolbar"
\InProcServer32\(Default) = "C:\WINDOWS\system32\bmyoanqr.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


---------- (launch time: 2007-11-15 14:36:19)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 43 seconds, including 18 seconds for message boxes)

Alt 15.11.2007, 14:40   #13
-=ChRoNo=-
 
TrojanSPM/LX - Standard

TrojanSPM/LX


könntest du mir noch eine anleitung geben, wie ich mit HJT die einträge fixen soll? danke

Alt 15.11.2007, 14:54   #14
Cleriker
 
TrojanSPM/LX - Standard

TrojanSPM/LX


Undo macht Mittagspause:
* HijackThis - Fix Cecked
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
Zitat:
* O2 - BHO: System-A - {563D9576-840E-13DC-8324-0900201C9A61} - C:\Programme\System-A\ie-improver.dll *
* O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll *
* O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file) *
* O4 - HKLM\..\Run: [40fe41c8] rundll32.exe "C:\WINDOWS\system32\uvsommal.dll",b *
* O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0089AFC.dat *
* O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\sykcpfuw.exe (file missing) *
- Scrolle nach unten und klicke auf "Fix checked"

mfg Cleriker

Alt 15.11.2007, 14:56   #15
undoreal
/// AVZ-Toolkit Guru
 
TrojanSPM/LX - Standard

TrojanSPM/LX


na klaro

Du einen Systemscan. Dann siehst du die ganzen Einträge. Suche dir die entsprechenden raus, setzte an ihren Anfang ein Häckchen und drücke danach den Butoon "Fix checked"

Das wars. :daumenho

PS: HUHU Cleriker danke so soll das sein hier..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Antwort
Seite 1 von 2 1 2

Themen zu TrojanSPM/LX
appinit_dlls, avg, bho, dateien, desktop, dll, einstellungen, explorer, foren, hijack, hijackthis, icq, immer wieder, internet, internet explorer, messenger, nvidia, pop-up, pop-up fenster, problem, programme, rundll, security, system, system32, trojanspm/lx, update, windows, windows xp


« Hijack log file | Bitte um Auswertung meines HiJacks + Problemlösung »


Ähnliche Themen: TrojanSPM/LX


  1. Worm.Win32.NetSky / TrojanSPM/LX kann mich nicht mehr einloggen (XPPro)
    Log-Analyse und Auswertung - 03.02.2010 (6)
  2. trojanspm/lx und keine passende Lösung im Netz gefunden
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (3)
  3. Security Alert Worm.WIn32.NetSky Panda sagt TrojanSPM/LX
    Log-Analyse und Auswertung - 08.01.2010 (1)
  4. trojanSPM/LX Fake Alert, versch. Progs gesperrt, u.a. windowsrecovery
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (2)
  5. TrojanSPM/LX und weitere infizierungen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2009 (4)
  6. TrojanSPM/LX und WinAntiVirus Pop Ups
    Log-Analyse und Auswertung - 26.07.2006 (7)
  7. TrojanSPM/LX und WinAntiVirus Pop-Ups
    Log-Analyse und Auswertung - 10.07.2006 (5)
  8. TrojanSPM u.a.
    Mülltonne - 01.06.2006 (1)
  9. TrojanSPM/LX
    Plagegeister aller Art und deren Bekämpfung - 29.05.2006 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TrojanSPM/LX - Hallo zusammen, ich habe seit heute mittag das problem, das ich immer wieder solche windows pop-up fenster bekomme, welche mich immer aus meinen games werfen... war schon auf einigen anderen - TrojanSPM/LX...
Archiv
Du betrachtest: TrojanSPM/LX auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131