Problem mit TR/Vundo.Gen und TR/Agent323168

nochdigger · 12.12.2007, 06:07

Hallo

Sehr gut das ist ne Aussage.
Lass bitte Combofix erneut laufen und poste das Log, ebenso erstelle ein Log mit der Filelist.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

FrAsE · 12.12.2007, 17:15

Zitat:

Zitat von nochdigger

Hallo

Die genauen Meldungen brauchen wir Pfad/Dateiname.

Ok wenn die Datei gelöscht werden konnte liegt sie jetzt im Ordner...? äh du hast HijackThis aus dem Entpackprogramm heraus laufen lassen und nun ist eine Auswertung der Datei eigentlich unmöglich.
Lege bitte einen Ordner an C:\Hijackthis und entpacke das Programm dort hinein, anschließend benenne die Hijackthis.exe um in z.B. ABC.exe und erstelle ein neues HijackThis Log.

Lass eScan dein System überprüfen und poste das Ergebnis mittels der Find.bat (rechtsklick -> ziel speichern unter).

MFG

ALso ersteinmal, hijackthis hatte ich aus der zip datei immer gestartet und noch nciht entpackt

,
2. escan weiß ich nicht wie ich das genau machen muss und habe es deshalt noch nicht gemacht
3. die datei scheint noch da zu sein
4. Nun die filelist

Verzeichnis von C:\

12.12.2007 17:02 2.145.386.496 pagefile.sys
11.12.2007 13:56 1.437 VundoFix.txt
09.12.2007 22:59 8.217 ComboFix.txt
09.12.2007 22:46 8.178 ComboFix2.txt
30.11.2007 16:47 6.628 ComboFix3.txt
13.11.2007 16:13 211 boot.ini
07.11.2007 18:22 54.178 test.log

Verzeichnis von C:\WINDOWS\system32

12.12.2007 17:04 2.206 wpa.dbl
23.11.2007 15:22 37.376 nnnolii.dll
23.11.2007 15:21 37.376 fccdbbb.dll
23.11.2007 15:21 37.376 wvustuv.dll
23.11.2007 15:16 37.376 nnnopqn.dll
23.11.2007 15:15 37.376 hggdcdb.dll
07.11.2007 19:00 27 mcheck.mhf
02.11.2007 08:12 18.238.072 MRT.exe

Verzeichnis von C:\WINDOWS\Prefetch

12.12.2007 17:05 11.162 FIND.EXE-0EC32F1E.pf
12.12.2007 17:05 12.096 CMD.EXE-087B4001.pf
12.12.2007 17:04 35.122 WINRAR.EXE-1A0EFB18.pf
12.12.2007 17:04 63.150 WUAUCLT.EXE-399A8E72.pf
12.12.2007 17:04 30.540 WMIPRVSE.EXE-28F301A9.pf
12.12.2007 17:04 17.246 IMAPI.EXE-0BF740A4.pf
12.12.2007 17:04 39.556 WGATRAY.EXE-0ED38BED.pf
12.12.2007 17:04 12.984 MDM.EXE-27F66238.pf
12.12.2007 17:04 15.428 ALG.EXE-0F138680.pf
12.12.2007 17:04 13.210 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
12.12.2007 17:04 54.086 CLIPINC-SERVER.EXE-1507F957.pf
12.12.2007 17:04 15.554 VERCLSID.EXE-3667BD89.pf
12.12.2007 17:04 952.974 NTOSBOOT-B00DFAAD.pf
11.12.2007 22:50 16.704 NOTEPAD.EXE-336351A9.pf
11.12.2007 22:50 54.562 GETVLIST.EXE-029B300B.pf
11.12.2007 22:50 54.794 KAVSS.EXE-3319DFE0.pf
11.12.2007 22:50 61.286 SCANNINGPROCESS.EXE-20457672.pf
11.12.2007 22:50 48.188 MEXE.COM-00C0D63D.pf
11.12.2007 22:50 16.542 MWAVL.EXE-0C73F891.pf
11.12.2007 22:50 93.890 MWAV.EXE-19F0E41A.pf
11.12.2007 22:49 16.358 DOWNLOAD.EXE-2D409078.pf
11.12.2007 22:44 14.400 ABC.EXE.EXE-04354075.pf
11.12.2007 22:40 83.306 FIREFOX.EXE-28BE8AE1.pf
11.12.2007 22:27 13.240 SOL.EXE-1C0C14EB.pf
11.12.2007 22:23 12.152 WINMINE.EXE-0A3838A4.pf
11.12.2007 22:15 63.782 REALPLAY.EXE-351CC151.pf
11.12.2007 22:14 22.418 GUARDGUI.EXE-2C44AC20.pf
11.12.2007 21:11 23.196 HIJACKTHIS.EXE-37AD0A02.pf
11.12.2007 21:10 87.788 IEXPLORE.EXE-2CA9778D.pf
11.12.2007 21:07 17.066 LOGONUI.EXE-0AF22957.pf
11.12.2007 20:51 54.234 AVCENTER.EXE-05670DE2.pf
11.12.2007 20:51 33.594 WINTV2K.EXE-07353B3A.pf
11.12.2007 20:34 45.020 TEAMSPEAK.EXE-3A4CE519.pf
11.12.2007 17:32 17.080 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf
11.12.2007 17:30 22.632 RPHELPERAPP.EXE-2FB21F30.pf
11.12.2007 17:26 72.376 CLIPINC-PLAYER.EXE-1EE3B897.pf
11.12.2007 17:03 19.534 RUNDLL32.EXE-24DBE541.pf
11.12.2007 17:03 10.750 SYSTRAY.EXE-345DCC1C.pf
11.12.2007 17:02 29.110 WINWORD.EXE-218A1AF8.pf
11.12.2007 17:02 99.374 OUTLOOK.EXE-1EE65116.pf
11.12.2007 16:36 88.670 ICQ.EXE-09964922.pf
11.12.2007 14:44 429.218 Layout.ini
11.12.2007 14:27 92.186 AVNOTIFY.EXE-331EE441.pf
11.12.2007 14:26 8.966 SWREG.CFEXE-2BF4FFCD.pf
11.12.2007 14:26 9.078 NIRCMD.CFEXE-19FF4781.pf
11.12.2007 14:26 3.816 GREP.CFEXE-20443039.pf
11.12.2007 14:26 8.572 NIRCMD.EXE-1F7FED22.pf
10.12.2007 23:18 13.416 PREUPD.EXE-2DA59CD8.pf

Verzeichnis von C:\WINDOWS\tasks

12.12.2007 17:03 6 SA.DAT

Verzeichnis von C:\WINDOWS\temp

12.12.2007 17:04 409 WGANotify.settings
12.12.2007 17:03 255 WGAErrLog.txt

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

12.12.2007 17:05 110.521 filelist.txt
11.12.2007 22:51 140.095 MWAV.LOG
11.12.2007 22:51 19.152 sfdb.dat
11.12.2007 22:51 30.551 MWAVC.LOG
11.12.2007 22:50 266 vlist.log
11.12.2007 22:50 8.696.590 vlist.txt
11.12.2007 22:49 587 Download.log
11.12.2007 22:49 0 filelist.lst
11.12.2007 22:49 0 download.lck
11.12.2007 22:49 360 EUpdate.ini
11.12.2007 22:48 626.688 msvcr80.dll
11.12.2007 22:48 548.864 msvcp80.dll
11.12.2007 22:48 1.940 recycler.reg
11.12.2007 22:48 7.168 erootdrv.sys
11.12.2007 22:48 241.664 MYDB.DLL
11.12.2007 21:07 16.384 ~DFB591.tmp
10.12.2007 23:09 798.234 IMT70.xml
10.12.2007 23:09 426 IMT6F.xml
10.12.2007 23:09 2.036 IMT6E.xml
10.12.2007 18:12 20.859 Turkish.bin
10.12.2007 18:12 20.608 Norwegian.bin
10.12.2007 18:12 24.446 Hungarian.bin
10.12.2007 18:12 18.436 Hebrew.bin
10.12.2007 18:12 21.562 Finnish.bin
10.12.2007 18:12 22.862 Czech.bin
10.12.2007 18:12 23.522 Portuguese(Brazil).bin
10.12.2007 18:12 22.606 Polish.bin
10.12.2007 18:12 23.467 Greek.bin
10.12.2007 18:12 20.733 Thai.bin
10.12.2007 18:12 19.506 Arabic.bin
10.12.2007 18:12 15.534 SimChin.bin
10.12.2007 18:12 24.654 Portuguese.bin
10.12.2007 18:12 21.857 English.bin
10.12.2007 18:12 22.684 SWEDISH.bin
10.12.2007 18:12 26.062 Spanish.bin
10.12.2007 18:12 24.638 Russian.bin
10.12.2007 18:12 25.824 Italian.bin
10.12.2007 18:12 24.274 German.bin
10.12.2007 18:12 25.665 French.bin
10.12.2007 18:12 16.913 TradChin.bin
10.12.2007 18:12 24.173 Dutch.bin
10.12.2007 18:12 21.343 Danish.bin
10.12.2007 18:12 19.048 Korean.bin
10.12.2007 18:12 22.809 Japanese.bin
05.12.2007 13:09 805.607 Dir.sdb
05.12.2007 13:09 1.282.718 Cid.sdb
05.12.2007 13:09 266.771 spydb.avs
05.12.2007 13:09 2.128.022 File1.sdb
05.12.2007 13:09 1.499.400 File2.sdb
05.12.2007 13:09 266.771 spydb.old
05.12.2007 13:09 163.262 Spyware.sdb
05.12.2007 13:04 29.835 avp.klb
05.12.2007 13:04 49.535 daily.avc
05.12.2007 12:28 4.165 avp_ext.set
05.12.2007 12:28 37.906 ext009.avc
05.12.2007 12:28 4.165 avp.set
05.12.2007 12:28 4.165 avp_x.set
05.12.2007 12:28 844 daily-ex.avx
05.12.2007 12:28 844 daily-ex.avc
05.12.2007 12:28 36.361 unp039.avc
05.12.2007 12:28 20.868 base160.avc
05.12.2007 12:28 33.328 unp031.avc
05.12.2007 12:28 1.138 daily-ec.avc
05.12.2007 12:28 56.172 base144.avc
05.12.2007 12:28 3.720 dailyc.avc
05.12.2007 12:28 40.502 ext006c.avc
05.12.2007 12:28 686 base069c.avc
05.12.2007 12:28 55.475 base068c.avc
05.12.2007 12:28 19.075 fa001.avc
05.12.2007 12:28 40.885 krn004.avc
05.12.2007 07:26 324.455 phupdn.txt
05.12.2007 07:10 18.427 global.daz
05.12.2007 07:10 91.826 phupdn.txz
04.12.2007 18:43 174.080 esupdate.exe
04.12.2007 18:42 62.976 reload.exe
04.12.2007 18:04 39.936 unregx.exe
04.12.2007 18:04 44.032 setpriv.exe
04.12.2007 18:02 469.056 mexe.com
04.12.2007 18:02 469.056 MWAVSCAN.COM
04.12.2007 17:57 188.416 download.exe
04.12.2007 17:47 430.080 MWAVReg.EXE
04.12.2007 15:54 1.974.272 msvl64.dll
04.12.2007 15:41 155.648 msvlclnt.dll
04.12.2007 15:32 48.704 Getvlist.exe
04.12.2007 11:11 37.430 fa.avc
04.12.2007 11:11 38.186 unp032.avc
04.12.2007 11:11 30.637 unp028.avc
04.12.2007 11:11 61.954 unp019.avc
04.12.2007 11:11 60.834 unp013.avc
04.12.2007 11:11 49.527 base158.avc
04.12.2007 11:11 49.774 base156.avc
04.12.2007 11:11 49.907 base134.avc
04.12.2007 11:11 49.770 base145.avc
04.12.2007 11:11 49.262 base084.avc
04.12.2007 11:11 48.265 base015.avc
04.12.2007 11:11 50.057 base062c.avc
04.12.2007 11:11 51.448 base002c.avc
01.12.2007 11:38 46.675 unp033.avc
01.12.2007 11:38 50.475 base157.avc
01.12.2007 11:38 49.921 base152.avc
01.12.2007 11:38 55.174 base067c.avc
30.11.2007 12:01 51.759 Czech.Age
30.11.2007 12:01 50.946 Tamil.age
30.11.2007 12:01 91.771 Chinese.Age
30.11.2007 12:01 110.675 Icelandic.Age
30.11.2007 12:01 115.585 Polish.Age
30.11.2007 12:01 112.443 Finnish.Age
30.11.2007 12:01 116.740 French.Age
30.11.2007 12:01 115.630 Spanish.Age
30.11.2007 12:01 116.354 Spanishl.Age
30.11.2007 12:01 111.385 Romanian.Age
30.11.2007 12:01 123.926 Portuguese.Age
30.11.2007 12:00 122.996 Italian.Age
30.11.2007 11:39 48.820 unp037.avc
30.11.2007 11:39 49.505 base026.avc
30.11.2007 11:39 54.085 base159.avc
30.11.2007 11:39 48.875 base011.avc
29.11.2007 20:39 46.316 unp036.avc
29.11.2007 20:39 48.859 unp034.avc
29.11.2007 20:39 50.611 base148.avc
28.11.2007 11:52 48.062 unp038.avc
28.11.2007 11:52 55.081 base066c.avc
28.11.2007 11:52 104.631 krn005.avc
27.11.2007 14:57 37.875 unp020.avc
27.11.2007 14:57 49.679 base020.avc
27.11.2007 14:57 50.163 base063c.avc
27.11.2007 14:57 50.081 base035c.avc
27.11.2007 14:50 1.406 esupd.ini
27.11.2007 13:42 49.027 language.ini
27.11.2007 13:42 49.027 German.Age
26.11.2007 21:50 78 mwavclp.txt
26.11.2007 21:50 78 mwavrar.txt
26.11.2007 21:50 120.383 krnunp.avc
26.11.2007 15:57 281.201 spydb.avs_
24.11.2007 13:55 64.838 unp016.avc
24.11.2007 13:55 51.077 base146.avc
24.11.2007 13:55 49.843 base155.avc
23.11.2007 18:50 50.198 base154.avc
23.11.2007 18:50 49.655 base153.avc
23.11.2007 18:50 50.278 base127.avc
23.11.2007 18:50 50.010 base065c.avc
23.11.2007 18:50 50.233 base064c.avc
21.11.2007 23:08 5.515 Czech.dow
21.11.2007 23:08 5.437 Tamil.dow
21.11.2007 23:08 4.474 Chinese.dow
21.11.2007 23:07 5.575 Icelandic.dow
21.11.2007 23:07 5.844 Finnish.dow
21.11.2007 23:07 6.476 Polish.dow
21.11.2007 23:07 6.354 French.dow
21.11.2007 23:07 6.006 Spanish.dow
21.11.2007 23:07 6.373 Spanishl.dow
21.11.2007 23:07 5.908 Romanian.dow
21.11.2007 23:07 6.297 Portuguese.dow
21.11.2007 23:07 5.930 Italian.dow
21.11.2007 23:07 6.061 German.dow
21.11.2007 23:07 6.061 Download.lan
21.11.2007 22:46 49.291 base025.avc
21.11.2007 22:46 50.515 ext005c.avc
21.11.2007 22:46 50.135 base061c.avc
21.11.2007 14:08 14.400 faristream.ppl
21.11.2007 14:08 14.912 farbuffer.ppl
21.11.2007 14:07 139.264 ScanningProcess.exe
21.11.2007 14:07 65.536 ikave.dll
21.11.2007 14:06 282.624 kave.dll
21.11.2007 13:42 5.539 English.dow
20.11.2007 19:37 35.840 WDiskIO.ppl
20.11.2007 15:59 52.107 English.Age
20.11.2007 10:45 76.437 unp002.avc
20.11.2007 10:45 49.144 base030.avc
19.11.2007 19:37 13.670 French.con
19.11.2007 13:04 57.842 unp015.avc
19.11.2007 13:04 41.175 unp022.avc
19.11.2007 13:04 56.293 unp014.avc
19.11.2007 13:04 49.913 base129.avc
19.11.2007 13:04 47.772 base003.avc
19.11.2007 13:04 50.561 base013c.avc
19.11.2007 13:04 50.682 base005c.avc
17.11.2007 16:51 11.731 Czech.con
17.11.2007 16:51 11.444 Tamil.con
17.11.2007 16:51 9.295 Chinese.con
17.11.2007 16:51 12.420 Icelandic.con
17.11.2007 16:51 12.293 Finnish.con
17.11.2007 16:51 13.471 Polish.con
17.11.2007 16:51 12.609 Spanish.con
17.11.2007 16:51 13.091 Spanishl.con
17.11.2007 16:50 12.259 Romanian.con
17.11.2007 16:50 13.277 Portuguese.con
17.11.2007 16:50 12.298 Italian.con
17.11.2007 16:50 15.837 German.con
17.11.2007 16:50 15.837 config.lan
17.11.2007 14:30 49.841 base083.avc
17.11.2007 13:46 50.501 base065.avc
17.11.2007 11:29 49.568 base130.avc
16.11.2007 17:34 11.769 English.con
16.11.2007 16:47 49.801 base042.avc
16.11.2007 12:05 41.038 base092.avc
14.11.2007 18:43 9.598 german.lan
14.11.2007 17:21 11.721 English.lan
13.11.2007 17:03 156.854 krnmacro.avc
13.11.2007 11:46 51.053 base029.avc
13.11.2007 11:46 49.951 base094.avc
12.11.2007 11:50 50.107 base037c.avc
12.11.2007 11:50 48.011 base038c.avc
12.11.2007 11:50 50.768 base034c.avc
12.11.2007 11:50 50.166 base036c.avc
08.11.2007 16:43 407.552 viewtcp.exe
08.11.2007 13:05 65.980 unp035.avc
08.11.2007 13:05 50.423 base150.avc
08.11.2007 13:05 49.270 base050.avc
08.11.2007 13:05 48.907 base004.avc
07.11.2007 17:25 98.304 MWAVL.exe
03.11.2007 16:55 50.131 base056.avc
02.11.2007 12:30 49.936 unp027.avc
02.11.2007 12:30 49.593 base060c.avc
02.11.2007 12:30 43.455 krnengn.avc

Verzeichnis von C:\WINDOWS

12.12.2007 17:05 1.260.402 WindowsUpdate.log
12.12.2007 17:03 0 0.log
12.12.2007 17:03 2.048 bootstat.dat
11.12.2007 22:52 32.626 SchedLgU.Txt
11.12.2007 22:50 26 Lic.xxx
11.12.2007 20:50 32 HCWBTDLG.INI
11.12.2007 20:50 490 HCWPNP.INI
05.12.2007 23:40 1.700 vtplus32.ini
13.11.2007 16:13 227 system.ini
13.11.2007 16:13 603 win.ini

€dit:
wenn das nicht genügt, bitte schreiben, dankeschön
combofix scheint probleme zu machen.

dort steht
C:\Dokumente und Einsttellungen\Administrator\Desktop\Combofix.exe ist keine zulässige Win32 anwendung

mfg frase

nochdigger · 13.12.2007, 06:05

Hallo

deaktiviere bitte die Systemwiederherstellung
Systemwiederherstellung

Zitat:

starte bitte HijackThis --> wähle "Open the Misc Tools section" --> "Misc Tools" anwählen --> Delete a file on reboot --> wähle die zu löschende Datei -->
die Frage zum Neustart mit "Nein" beantworten --> die Frage des Neustarts erst mit "Ja" beantworten wenn alle Dateien ausgewählt wurden.
Wähle folgende Datei(en) :

Code:

ATTFilter

C:\WINDOWS\system32\nnnolii.dll
C:\WINDOWS\system32\fccdbbb.dll
C:\WINDOWS\system32\wvustuv.dll
C:\WINDOWS\system32\nnnopqn.dll
C:\WINDOWS\system32\hggdcdb.dll
C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32\jkhfd.dll
C:\WINDOWS\system32\jkhhe.dll
C:\WINDOWS\system32\mllmm.dll
C:\WINDOWS\system32\mllml.dll
C:\WINDOWS\system32\gebcc.dll
C:\WINDOWS\system32\jkklm.dll
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ssqrp.dll
C:\WINDOWS\system32\jkklj.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Yazzle.zip

Lade dir den Ccleaner
CCleaner Download
und lass alles bereinigen.

System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Anschließend berichte bitte.

MFG

FrAsE · 13.12.2007, 22:29

Also, ich habe das getan, was du gesagt hast, was soll denn passiert sein?

des weiteren, fing heute nachdem ich den rechner angemacht habe, (hab noch nichts weiteres gemacht, 1. tätigkeit), kam eine neue trojanermeldung die, egal was ich bei dem meldungsfenster anklicke nach 1 sekunde wieder auftaucht

Name und Pfad

TR/Dldr.ConHook.Gen

C:\WINDOWS\system32\pmkhi.dll

das ist die einzige datei die den fehler bisher gemeldet hat

nochdigger · 13.12.2007, 22:42

Hallo

lade dir bitte Vundofix

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Erstelle mit der Filelist nochmal eine neue Übersicht über den System32 Ordner der letzten 3 Monate.

Erstelle bitte ein Log mit Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
das Log findest du im selben Ordner wie Blacklight.

Erstelle auch ein neues HijackThis Log, erstelle dazu einen eigenen Ordner für HijackThis und entpacke die Datei dorthin, anschließend benenne die Hijackthi.exe um in z.B. ABC.exe.

MFG

FrAsE · 13.12.2007, 23:45

Hallo,

Also Vundofix hatte etwas gefunden, aber da es beim removen "(keine rückmeldung) anzeigte habe ich es ein 2. mal durchlaufen lassen, und es wurde danach nchts mehr gefunden, scheint also geklappt zu haben. Nun habe ich unter C: einen neuen ordner name: vundofix backup lieber da stehen lassen oder kann gelöscht werden?, genauso txt. dateien von
avenger und combofix

hier Blackight log:

12/13/07 23:34:44 [Info]: BlackLight Engine 1.0.67 initialized
12/13/07 23:34:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/13/07 23:34:44 [Note]: 7019 4
12/13/07 23:34:44 [Note]: 7005 0
12/13/07 23:34:48 [Note]: 7006 0
12/13/07 23:34:48 [Note]: 7011 1936
12/13/07 23:34:48 [Note]: 7026 0
12/13/07 23:34:48 [Note]: 7026 0
12/13/07 23:34:52 [Note]: FSRAW library version 1.7.1024
12/13/07 23:36:26 [Note]: 2000 1012
12/13/07 23:36:26 [Note]: 2000 1012
12/13/07 23:36:57 [Note]: 7006 0
12/13/07 23:36:57 [Note]: 7011 1936
12/13/07 23:36:57 [Note]: 7026 0
12/13/07 23:36:57 [Note]: 7026 0
12/13/07 23:36:59 [Note]: FSRAW library version 1.7.1024
12/13/07 23:38:36 [Note]: 2000 1012
12/13/07 23:38:36 [Note]: 2000 1012
12/13/07 23:38:40 [Note]: 7007 0

hier filelist:

Verzeichnis von C:\WINDOWS\system32

13.12.2007 23:19 2.206 wpa.dbl
12.12.2007 17:20 387.188 TZLog.log
03.12.2007 00:00 18.684.536 MRT.exe
23.11.2007 15:22 37.376 nnnolii.dll
23.11.2007 15:21 37.376 fccdbbb.dll
23.11.2007 15:21 37.376 wvustuv.dll
23.11.2007 15:16 37.376 nnnopqn.dll
23.11.2007 15:15 37.376 hggdcdb.dll
13.11.2007 12:31 60.416 tzchange.exe
07.11.2007 19:00 27 mcheck.mhf
31.10.2007 00:19 3.590.656 mshtml.dll
30.10.2007 12:47 185.688 rmoc3260.dll
30.10.2007 12:47 5.632 pndx5032.dll
30.10.2007 12:47 6.656 pndx5016.dll
30.10.2007 12:47 278.528 pncrt.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 08:11 430.496 perfh009.dat
28.10.2007 08:11 446.270 perfh007.dat
28.10.2007 08:11 67.220 perfc009.dat
28.10.2007 08:11 79.378 perfc007.dat
28.10.2007 08:11 1.037.590 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
25.10.2007 09:28 222.720 wmasf.dll
16.10.2007 17:35 664 d3d9caps.dat
11.10.2007 00:46 1.159.680 urlmon.dll
11.10.2007 00:46 824.832 wininet.dll
11.10.2007 00:46 232.960 webcheck.dll
11.10.2007 00:46 671.232 mstime.dll
11.10.2007 00:46 105.984 url.dll
11.10.2007 00:46 102.400 occache.dll
11.10.2007 00:46 193.024 msrating.dll
11.10.2007 00:46 478.208 mshtmled.dll
11.10.2007 00:46 1.831.424 inetcpl.cpl
11.10.2007 00:46 459.264 msfeeds.dll
11.10.2007 00:46 52.224 msfeedsbs.dll
11.10.2007 00:46 27.648 jsproxy.dll
11.10.2007 00:46 44.544 iernonce.dll
11.10.2007 00:46 267.776 iertutil.dll
11.10.2007 00:46 6.065.664 ieframe.dll
11.10.2007 00:46 384.512 iedkcs32.dll
11.10.2007 00:46 383.488 ieapfltr.dll
11.10.2007 00:46 124.928 advpack.dll
11.10.2007 00:46 153.088 ieakeng.dll
11.10.2007 00:46 132.608 extmgr.dll
11.10.2007 00:46 63.488 icardie.dll
11.10.2007 00:46 214.528 dxtrans.dll
11.10.2007 00:46 230.400 ieaksie.dll
10.10.2007 11:59 13.824 ieudinit.exe
10.10.2007 11:59 70.656 ie4uinit.exe
10.10.2007 06:46 161.792 ieakui.dll
03.10.2007 15:31 53.352 jpicpl32.cpl
03.10.2007 15:31 24.670 java.exe
03.10.2007 15:31 28.768 javaw.exe
12.09.2007 11:15 2.953 CONFIG.NT

Hiert HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 23:44:55, on 13.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Tobit ClipInc\Player\ClipIncTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\CPU-Control\CPU_Control.exe
D:\Programme\WinTV\Ir.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\WinTV\WinTV2K.EXE
E:\Tobit ClipInc\Server\ClipInc-Server.exe
E:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\Mozilla Firefox\firefox.exe
C:\Hijackthis\ABC.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O1 - Hosts: 85.176.248.41 l2authd.lineage2.com
O1 - Hosts: 85.176.248.41 l2testauthd.lineage2.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3A2224A0-B114-4491-9305-FD0E4B55FA1E} - C:\WINDOWS\system32\hggdcdb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {DBCD92EA-CBDF-4850-97EA-D48B809B3F86} - C:\WINDOWS\system32\pmkhi.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] d:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [WinCast] H:\SETUP.EXE -ldeu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CPU_Control] D:\Programme\CPU-Control\CPU_Control.exe
O4 - Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1178353327687
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**ps://fpdownload.macromedia...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A72BEF9D-C89B-4B86-B6A4-FA720249C637}: NameServer = 217.237.151.205,217.237.150.205
O20 - Winlogon Notify: hggdcdb - C:\WINDOWS\SYSTEM32\hggdcdb.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - d:\Programme\Ahead\InCD\InCDsrv.exe

ohh und Herzlichen glückwunsch

:aplaus:

nochdigger · 14.12.2007, 05:56

Hallo

Zitat:

ohh und Herzlichen glückwunsch

Vielen Dank

Starte bitte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

Zitat:

O1 - Hosts: 85.176.248.41 l2authd.lineage2.com
O1 - Hosts: 85.176.248.41 l2testauthd.lineage2.com
O2 - BHO: (no name) - {3A2224A0-B114-4491-9305-FD0E4B55FA1E} - C:\WINDOWS\system32\hggdcdb.dll
O2 - BHO: (no name) - {DBCD92EA-CBDF-4850-97EA-D48B809B3F86} - C:\WINDOWS\system32\pmkhi.dll (file missing)
O4 - HKLM\..\Run: [WinCast] H:\SETUP.EXE -ldeu
O20 - Winlogon Notify: hggdcdb - C:\WINDOWS\SYSTEM32\hggdcdb.dll

klicke anschließend auf - fix checked - und beende Hijackthis.

Lade dir bitte mal OTMoveit runter, das Programm gibt es hier --> http://download.bleepingcomputer.com...r/OTMoveIt.exe

* Starte OTMoveIt.exe mit einem doppelklick.
* Kopiere alle Dateien aus dieser Box (markiere alle Dateien dann drücke STRG C):

Code:

ATTFilter

C:\WINDOWS\system32\nnnolii.dll
C:\WINDOWS\system32\fccdbbb.dll
C:\WINDOWS\system32\wvustuv.dll
C:\WINDOWS\system32\nnnopqn.dll
C:\WINDOWS\system32\hggdcdb.dll

* Im Programm OTMoveIt, mach einen rechtsklick in das Fenster unter "Paste List of Files/Folders to be moved" und wähle 'Einfügen'.
* Klick auf den roten Moveit! button.
* Kopiere nun alles aus dem Results Fenster ab und füge den Inhalt in deinen Beitrag ein (STRG V).
* Beende OTMoveIt

Berichte bitte und poste die relevanten Logs.

Jetzt solltest du dich doch näher mit der eScananleitung beschäftigen

.
http://www.trojaner-board.de/42731-escan-anleitung.html

MFG

FrAsE · 14.12.2007, 15:30

DllUnregisterServer procedure not found in C:\WINDOWS\system32\nnnolii.dll
C:\WINDOWS\system32\nnnolii.dll NOT unregistered.
C:\WINDOWS\system32\nnnolii.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\fccdbbb.dll
C:\WINDOWS\system32\fccdbbb.dll NOT unregistered.
C:\WINDOWS\system32\fccdbbb.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\wvustuv.dll
C:\WINDOWS\system32\wvustuv.dll NOT unregistered.
C:\WINDOWS\system32\wvustuv.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\nnnopqn.dll
C:\WINDOWS\system32\nnnopqn.dll NOT unregistered.
C:\WINDOWS\system32\nnnopqn.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\hggdcdb.dll
C:\WINDOWS\system32\hggdcdb.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\hggdcdb.dll scheduled to be moved on reboot.

Created on 12.14.2007 15:29:37

FrAsE · 14.12.2007, 15:57

Danke für deine hilfe, aber ich hab es jetzt auch satt, ich leih mir eine externe festplatte aus und sichere meine wichtigen dateien und fahre nun Windows neu auf mienen rachner.
Aber recht herzlichen dank an deine hilfe

MFG FrAsE

Problem mit TR/Vundo.Gen und TR/Agent323168

Log-Analyse und Auswertung: Problem mit TR/Vundo.Gen und TR/Agent323168