Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Problem mit Trojaner Win32:Nurech-AG [Trj]

Problem mit Trojaner Win32:Nurech-AG [Trj]


Plagegeister aller Art und deren Bekämpfung: Problem mit Trojaner Win32:Nurech-AG [Trj]

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.12.2007, 17:10   #1
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]


Der Bericht von Avenger:

Zitat:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vuvtqeqa

*******************

Script file located at: \??\C:\Program Files\fcutcgrq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\vycwkert.exe deleted successfully.


File C:\WINDOWS\system32\algs.exe not found!
Deletion of file C:\WINDOWS\system32\algs.exe failed!

Could not process line:
C:\WINDOWS\system32\algs.exe
Status: 0xc0000034

File C:\WINDOWS\system32\yxvpugnj.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Ich habe nur eine alg.exe gefunden, ist das möglicherweise die, die du meintest?

Ausserdem wird wncmgr.exe ciht gefunden, obwohl ich die anleitung befolgt habe.

Die restlichen Schritte kann ich mir dann vermutlich vorerst sparen, oder?
Geändert von Hypophysis (07.12.2007 um 17:24 Uhr) Grund: hinzufügend

Alt 07.12.2007, 21:36   #2
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]


Ich entschuldige mich jetzt schon für den Doppelpost, aber ich finde das Editicon nicht mehr Oo

Jedenfalls hab ich schritt 3 dann auch noch durchgezogen.

HJT Protkoll nach dem fixen im abgesicherten Modus, neustart,einem erneuten Scan mit Avast, der 4 Funde hatte und erfolgreich gelöscht hat und erneutem neustart.

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:52, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Dokumente und Einstellungen\Arthur\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Programme\Gemeinsame Dateien\Viewpoint\Toolbar Runtime\3.8.0\IEViewBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Viewpoint Search - res://C:\Programme\Viewpoint\Viewpoint Toolbar V35\ViewBar.dll/CXTSEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe

--
End of file - 8135 bytes
Der Nurech-AG ist übrigens auch nicht mehr aufgetaucht, nachdem ich die e-Mail gelöscht habe.

Und jetz sagt mir bitte, dass mein system jetz wieder rein ist...^^
__________________
Alt 08.12.2007, 22:51   #3
Franz1968
/// Helfer-Team
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]


Gehe jetzt bitte zu Virustotal, prüfe dort die folgenden vier Dateien und poste im Anschluss die kompletten Ergebnisse:

1.) Im Ordner C:\Avenger sollte sich eine Datei backup.zip befinden, in der die folgenden beiden Dateien gepackt sein müssten:
vycwkert.exe
yxvpugnj.dll
Hüte dich bitte davor, eine der beiden beim Entpacken doppelzuklicken!

2.) C:\WINDOWS\system32\algs.exe
Nachdem sie gefixt wurde und im neuen HijackThis-Logfile nicht mehr auftaucht, lässt sie sich nun hoffentlich auffinden. Bitte auf keinen Fall durch Doppelklicken wieder starten!

3.) wncmgr.exe
Dito, bitte versuche noch einmal, sie zu finden, nachdem sie gefixt wurde. Sie sollte sich im Ordner C:\Windows\system32 oder C:\Windows befinden.

Wenn nötig, bemühe für die beiden letztgenannten Dateien noch einmal die Windows-Suche.
__________________
__________________
Alt 09.12.2007, 18:22   #4
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]


Das sind die 2 entpackten. Avast scheint wohl doch nich so toll zu sein, wenns die im Gegensatz zu antivir nicht findet...

Die anderen beiden sind nach wie vor "nicht vorhanden".

Zitat:
Datei vycwkert.exe empfangen 2007.12.09 17:58:34 (CET)
Status: Beendet
Ergebnis: 15/32 (46.88%)
Filter
Drucken der Ergebnisse
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 ADSPY/Agent.74304
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.09 BackDoor.Agent.PTA
BitDefender 7.2 2007.12.09 Trojan.Agent.AGBD
CAT-QuickHeal 9.00 2007.12.08 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.12.09 -
DrWeb 4.44.0.09170 2007.12.09 Trojan.EzulaAd
eSafe 7.0.15.0 2007.12.09 Suspicious File
eTrust-Vet 31.3.5361 2007.12.08 Win32/Abetear.I
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 -
Ikarus T3.1.1.12 2007.12.09 Trojan.Agent.AGBD
Kaspersky 7.0.0.125 2007.12.09 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 Win32/Adware.Ezula
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.09 -
Prevx1 V2 2007.12.09 ADWARE.FOTOMOTO.F
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.09 Trojan.Vundo
TheHacker 6.2.9.153 2007.12.07 Backdoor/Agent.czt
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.08 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.12.08 Ad-Spyware.Agent.74304
weitere Informationen
File size: 74304 bytes
MD5: 5eae9f586a2cde9beb82e935bb6914cf
SHA1: 57a6f4275a39f50f2125dd77efdff969103e09ff
PEiD: -
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=82DC43EC40BC1C04224701466D3DCE00275D7D5E

Datei yxvpugnj.dll empfangen 2007.12.09 18:01:48 (CET)
Status: Beendet
Ergebnis: 16/31 (51.62%)
Filter
Drucken der Ergebnisse
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 TR/Vundo.DRT
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.09 Lop
BitDefender 7.2 2007.12.09 Trojan.Vundo.DRT
CAT-QuickHeal 9.00 2007.12.08 AdWare.Virtumonde.bjc (Not a Virus)
ClamAV 0.91.2 2007.12.09 Adware.Virtumonde-475
DrWeb 4.44.0.09170 2007.12.09 -
eSafe 7.0.15.0 2007.12.09 -
eTrust-Vet 31.3.5361 2007.12.08 Win32/Vundo.IB
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 Vundo.gen51
Ikarus T3.1.1.12 2007.12.09 not-a-virus:AdWare.Win32.Virtumonde.bjc
Kaspersky 7.0.0.125 2007.12.09 not-a-virus:AdWare.Win32.Virtumonde.bjc
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 Win32/Adware.Virtumonde
Norman 5.80.02 2007.12.07 W32/Virtumonde.IZU
Panda 9.0.0.4 2007.12.09 Suspicious file
Prevx1 V2 2007.12.09 Trojan.Vundo
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 -
Sunbelt 2.2.907.0 2007.12.07 -
TheHacker 6.2.9.153 2007.12.07 Adware/Virtumonde.bjc
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.08 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.12.08 Trojan.Vundo.DRT
weitere Informationen
File size: 85568 bytes
MD5: 060427757ff8e53c7ca74559366dc566
SHA1: 4f5a02067ba9d50d19d92e427b90082e462f5e0c
PEiD: -
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=A0F2F19640DAE7F04E8A014971E06300F40FED75

Alt 10.12.2007, 17:34   #5
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]


so, hab avast jetzt erstmal wieder gekickt und antivir zurück geholt.

nach einem tip eines bekannten, hab ich alle funde des antivir scanns umbenennen lassen und in einem zweiten durchlauf gelöscht.

Mit deaktivierter systemwiederherstellung natürlich.

Hab bis jetzt auch keine neuen funde.

Das hjtfile danach:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:21, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Arthur\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {73F24B2F-4F7A-4BC2-A685-0333C49D1042} - C:\WINDOWS\system32\rqrrsss.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {90D274DE-2466-47AF-A4AA-4D900CED0312} - C:\WINDOWS\system32\gebyx.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Programme\Viewpoint\Viewpoint Toolbar\3.8.0\ViewBarBHO.dll
O2 - BHO: {961e477e-29b9-bb4a-4a94-94740c13ab8a} - {a8ba31c0-4749-49a4-a4bb-9b92e774e169} - C:\WINDOWS\system32\cwviymem.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Programme\Gemeinsame Dateien\Viewpoint\Toolbar Runtime\3.8.0\IEViewBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [50a95d23] rundll32.exe "C:\WINDOWS\system32\dyvrxpbe.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Viewpoint Search - res://C:\Programme\Viewpoint\Viewpoint Toolbar V35\ViewBar.dll/CXTSEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: rqrrsss - rqrrsss.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe

--
End of file - 10006 bytes


Alt 10.12.2007, 19:23   #6
Franz1968
/// Helfer-Team
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]


Zitat:
Zitat von Hypophysis Beitrag anzeigen
Hab bis jetzt auch keine neuen funde.
Aber sauber ist der Rechner nicht, was auch nicht zu erwarten war. Im Gegenteil, es taucht jede Menge Malware neu auf:
Zitat:
O2 - BHO: (no name) - {73F24B2F-4F7A-4BC2-A685-0333C49D1042} - C:\WINDOWS\system32\rqrrsss.dll (file missing)
O2 - BHO: (no name) - {90D274DE-2466-47AF-A4AA-4D900CED0312} - C:\WINDOWS\system32\gebyx.dll (file missing)
O2 - BHO: {961e477e-29b9-bb4a-4a94-94740c13ab8a} - {a8ba31c0-4749-49a4-a4bb-9b92e774e169} - C:\WINDOWS\system32\cwviymem.dll (file missing)
O4 - HKLM\..\Run: [50a95d23] rundll32.exe "C:\WINDOWS\system32\dyvrxpbe.dll",b
O20 - Winlogon Notify: rqrrsss - rqrrsss.dll (file missing)
Wie bereits gesagt, der ursprüngliche Eintrag:
Zitat:
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\system32\algs.exe
deutet auf eine Backdoor hin, auch wenn die Datei algs.exe auf deinem System nicht mehr aufzufinden ist. Du musst daher dein System neu aufsetzen, im Anschluss alle verwendeten Passwörter ändern.
__________________
--> Problem mit Trojaner Win32:Nurech-AG [Trj]

Alt 10.12.2007, 21:44   #7
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]


na super... naja danke für die hilfe

Antwort

Themen zu Problem mit Trojaner Win32:Nurech-AG [Trj]
avast, besitzer, datei, einstellungen, explorer, fehler, folge, ide, kontextmenü, laden, lahm, links, microsoft, msn, neue, nicht löschbar, outlook express, problem, probleme, rechnung.zip, schnelle hilfe, tastatur, trojaner, viren, win32, windows, windows xp


« Spyware testen. | V.undo Infektion »


Ähnliche Themen: Problem mit Trojaner Win32:Nurech-AG [Trj]


  1. Problem Win32:Crypt-RQA
    Log-Analyse und Auswertung - 09.01.2015 (2)
  2. ESETLog:Win32/OpenCandy Anwendung; Win32/Toolbar.Zugo Anwendung; Var. von: Win32/Bundled.Toolbar.Ask Anwendung; Win32/Injector.AIBG Trojaner
    Log-Analyse und Auswertung - 17.06.2013 (7)
  3. Problem mit Trojaner Win32:Zbot-QGP + Java:Agent-CDZ + Java:Malware-gen
    Log-Analyse und Auswertung - 29.03.2013 (9)
  4. Problem mit ESET Online scanner bei Fund einer Variante von Win32 SpyZBot ZR Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.10.2011 (25)
  5. Problem mit ESET Online scanner bei Fund einer Variante von Win32 SpyZBot ZR Trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 23.10.2011 (1)
  6. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  7. TR/Dropper - Trojan.Downloader.Nurech.AZ
    Plagegeister aller Art und deren Bekämpfung - 18.10.2009 (27)
  8. Problem mit Win32:Trojan-gen und Win32:Adware-gen
    Log-Analyse und Auswertung - 03.03.2009 (0)
  9. Virus-oder Trojaner-Befall (Win32-Problem)
    Log-Analyse und Auswertung - 01.12.2008 (0)
  10. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  11. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  12. Trojaner-Problem Win32/TrojanDropper.Agent.Dgo
    Log-Analyse und Auswertung - 25.01.2008 (5)
  13. keine zuverlässige win32 anwendung - trojaner problem?
    Log-Analyse und Auswertung - 22.01.2008 (10)
  14. nurech.p
    Log-Analyse und Auswertung - 04.03.2007 (6)
  15. problem bei entfernung von trojaner ( win32.mt.rs)
    Plagegeister aller Art und deren Bekämpfung - 19.01.2007 (16)
  16. Trojan-Downloader.Win32.Nurech.v
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (1)
  17. Win32 problem
    Alles rund um Windows - 24.04.2005 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Problem mit Trojaner Win32:Nurech-AG [Trj] - Der Bericht von Avenger: Zitat: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vuvtqeqa ******************* Script file located at: \??\C:\Program Files\fcutcgrq.txt Script file opened successfully. Script - Problem mit Trojaner Win32:Nurech-AG [Trj]...

Alle Zeitangaben in WEZ +1. Es ist jetzt 02:33 Uhr.

Kontakt - Trojaner-Board - Archiv - Datenschutzerklärung - Nach oben

Copyright ©2000-2025, Trojaner-Board
Archiv
Du betrachtest: Problem mit Trojaner Win32:Nurech-AG [Trj] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131