Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.01.2008, 17:28   #16
blow-in
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Also alle, die einen solchen F3-Eintrag hatten, sind am Ende zu einer Neuinstallation gekommen weil die Reinigungsversuchen fehlschlugen. Aber Sunny könnte ja noch etwas anderes in petto haben.
Wenn du aber kein Onlinebanking machst, kein eBay und sonstige Sachen, die ein Passwort benötigen, könntest du ja eine Reinigung versuchen.

Alt 07.01.2008, 17:30   #17
L3g3nD
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



naja ich hoffe ma sunny wird sich noch melden und mir weiterhelfen können, aber auch dir vielen danke=)
__________________


Alt 07.01.2008, 17:33   #18
Sunny
Administrator
> Competence Manager
 

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Ich habe nicht viel Hoffnung für dein System, da es ziemlich verseucht ist, aber einen Versuch haben wir noch, sollte es nicht klappen bleibt dir definitiv nur eine Neuinstallation:


Öffne HijackThis -> Do a System Scan Only -> folgende Einträge anhaken:

Code:
ATTFilter
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: (no name) - {69787C77-F6C1-4FFB-922B-720BED612054} - C:\WINDOWS\system32\vtsqn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll (file missing)
         
Nun den Button "Fix checked" klicken.


Bitte lade Dir OTMoveIt von OldTimer herunter.
(am besten auf den Desktop!)
-Starte es mit einem Doppelklick
-kopiere nun folgende Zeilen in das Fenster -> "Paste List of Files/Folders to be moved"

Zitat:
C:\WINDOWS\system32\vtsqn.exe
C:\programme\powerdvd\Language\Language.exe
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX43.tmp
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX45.tmp
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX49.tmp
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX4B.tmp
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX53.tmp
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX59.tmp
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXBD.tmp
C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXC3.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCX43.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCX45.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCX49.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCX4B.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCX53.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCX59.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCXBD.tmp
C:\Documents and Settings\Jonny\Local Settings\Temp\RCXC3.tmp
C:\WINDOWS\system32\vtsqn.dll

-Klicke nun auf den Button -> Moveit!
-nun das Programm arbeiten lassen, danach alles aus dem Ergebnisfenster kopieren und in deinen Beitrag einfügen.



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
__________________

Alt 07.01.2008, 17:43   #19
Sunny
Administrator
> Competence Manager
 

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Sorry für Doppelpost!

Also, du warst/bist ein Versuchskaninchen gewesen, ich will eigentlich nur wissen ob in diesem Stadium ein Dropper, besser gesagt die vtsqn.exe, zu löschen ist.

Ich rate dir auf jeden Fall alle nicht ausführbaren Dateien (MP3, Videos, Briefe etc.) zu sichern und dann dein System neu aufzusetzen.

Der sogenannte Trojan.Dropper hat auf deinem System viele einige Systemdateien infiziert:


Zitat:
Datei C:\programme\powerdvd\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\CTFMON.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

und wahrscheinlich noch weitere!

Alt 07.01.2008, 18:11   #20
L3g3nD
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



also:
otmoveit:
C:\WINDOWS\system32\vtsqn.exe moved successfully.
File/Folder C:\programme\powerdvd\Language\Language.exe not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX43.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX45.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX49.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX4B.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX53.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX59.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXBD.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXC3.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX43.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX45.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX49.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX4B.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX53.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX59.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCXBD.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCXC3.tmp not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32\vtsqn.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\vtsqn.dll scheduled to be moved on reboot.

Created on 01.07.2008 17:55:52


mitlerweile hatte antivir auch sich selbst als betroffen gemeldet bzw seine exe habs jetzt ausm autostart rausgenommen weil ich bei den checks von den bieden progs immer wieder warnungen bekam und es teilweise dadurch net weiter bzw falsch weiter ging (bsp.: wenn ich bei einer meldung auf delete gemklickt hab konnt otmoveit die datei nicht mehr löschen usw)

combofix:
ComboFix 08-01-07.5 - Jonny 2008-01-07 17:57:54.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1642 [GMT 1:00]
Running from: C:\Documents and Settings\Jonny\Desktop\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater .exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr .Exe
C:\programme\powerdvd\PDVDServ.exe
C:\WINDOWS\OPTIONS\CABS\_desktop.ini
C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\nqstv.ini
C:\WINDOWS\system32\nqstv.ini2
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\vtsqn.dll

Code:
ATTFilter
 <pre>
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt .exe ---> avgnt.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater .exe ---> QooBox
C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe ---> jusched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr .Exe ---> QooBox
C:\programme\powerdvd\PDVDServ .exe ---> PDVDServ.exe
C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe ---> QooBox
C:\WINDOWS\system32\ctfmon .exe ---> QooBox
</pre>
         
.
.
((((((((((((((((((((((((( Files Created from 2007-12-07 to 2008-01-07 )))))))))))))))))))))))))))))))
.

2008-01-07 17:57 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 19:50 . 2008-01-06 19:50 0 --a------ C:\23990098.$$$
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 18:28 . 2004-08-04 00:56 146,432 --a------ C:\WINDOWS\R.COM
2008-01-06 18:28 . 2004-08-04 00:56 135,680 --a------ C:\WINDOWS\system32\T.COM
2008-01-06 18:28 . 2008-01-06 18:30 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 17:45 . 2008-01-06 17:45 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Program Files\Avira
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-06 02:02 . 2008-01-06 02:02 <DIR> d-------- C:\Program Files\Security Task Manager
2008-01-06 02:02 . 2008-01-06 16:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SecTaskMan
2008-01-05 23:16 . 2008-01-06 01:57 <DIR> d-------- C:\Documents and Settings\Jonny\Contacts
2008-01-05 23:15 . 2008-01-05 23:15 <DIR> d-------- C:\Program Files\Windows Live
2008-01-05 23:06 . 2008-01-05 23:06 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\MSNInstaller
2008-01-04 14:08 . 2008-01-04 14:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Last.fm
2008-01-04 02:25 . 2008-01-04 02:25 <DIR> d-------- C:\WINDOWS\nview
2008-01-04 02:25 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-04 02:25 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-04 02:25 . 2008-01-05 23:40 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-04 02:25 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-03 04:51 . 2008-01-04 19:45 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\mIRC

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 22:26 --------- d-----w C:\Documents and Settings\Jonny\Application Data\teamspeak2
2008-01-05 17:15 --------- d-----w C:\Documents and Settings\Jonny\Application Data\OpenOffice.org2
2008-01-05 10:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\ICQ
2007-12-26 16:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-06 20:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\Syntrillium
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-12-05 00:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-12-05 00:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-12-05 00:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-12-05 00:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-12-05 00:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-12-05 00:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-12-05 00:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-05 00:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-12-05 00:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-12-05 00:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-05 00:41 1,073,152 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-12-05 00:41 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-12-02 17:48 --------- d-----w C:\Documents and Settings\Jonny\Application Data\JavaEditor
2007-07-10 23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
2007-05-23 00:20 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007052320070524\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
Code:
ATTFilter
<pre>
----a-w            49,152 2008-01-07 15:20:42  C:\programme\powerdvd\Language\Language .exe
</pre>
         

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"LanguageShortcut"="C:\programme\powerdvd\Language\Language.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2007-04-15 22:22 169984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\
Last.fm Helper.lnk - C:\programme\Last.fm\LastFMHelper.exe [2008-01-04 13:57:56]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-05-25 00:23:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^Jonny^Start Menu^Programs^Startup^Last.fm Helper.lnk]
path=C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 02:06 40048 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
--a------ 2008-01-06 01:56 2701312 C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 17:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-01-07 17:52 249896 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
E:\Programme\Kaspersky\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 12:49 153136 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:56 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 E:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\vtsqn.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 01:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 01:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip]
--a------ 2007-04-08 14:22 721656 c:\program files\powerstrip\pstrip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2008-01-06 01:56 29696 C:\programme\powerdvd\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-03-21 13:49 16126464 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-12 23:24 1266936 E:\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-01-06 01:56 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-12-13 01:50 33792 C:\Program Files\Winamp\winampa.exe

R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 10:35]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 18:03:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-07 18:05:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-07 17:05:02


wenn ich wirklich jetzt neuinstallieren muss was muss ich beachten wie stelle ich es am besten an damit wirklich alles weg ist?!! und wie schütze ich mich in zukunft vor dem scheiß, hab ja noch net ma ahnung wo ich das her hab... welches antivirenprogramm kann man empfehlen? soll ich die ganzen runtergeladen programme behalten, in wie fern können die mir noch helfen für die zukunft hab ja keine ahnung wo für die jetzt alle gut sin...

vielen danke
L3g3nD


sry hijack-this-vergessen:
Logfile of HijackThis v1.99.1
Scan saved at 18:13:49, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\WinRAR\WinRAR.exe
C:\Documents and Settings\***\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Geändert von L3g3nD (07.01.2008 um 18:16 Uhr)

Alt 07.01.2008, 18:29   #21
Sunny
Administrator
> Competence Manager
 

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Den Übeltäter, nämlich die vtsqn.exe scheint wirklich gelöscht zu sein, sie steht zwar noch in der Registrierung, und wird beim nächsten Neustart eine Fehlermeldung hervorrufen das sie nicht mehr zu finden ist, dennoch sind alle anderen .exe Dateien infiziert.

Wie du dir den Dropper in das System geholt hast kann ich dir auch nicht sagen, fakt ist nur das du da wirklich nicht drumherum kommst:

http://www.trojaner-board.de/12154-a...sicherung.html


Es ist zwar viel zu lesen, aber alles sehr verständlich.
Wenn du alles so einhälst wie es dort beschrieben ist, wirst du zu 90% keine Probleme mehr mit Malware haben!

Sollten noch Fragen sein, einfach melden.

Sunny

Alt 07.01.2008, 18:38   #22
L3g3nD
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Alles klar danke für alles auch wenn es nicht geklappt hat! ich hab dir noch ma ne private nachricht hier im board geschrieben.... was mir nur unklar ist was du damit meinst: "Ich rate dir auf jeden Fall alle nicht ausführbaren Dateien (MP3, Videos, Briefe etc.) zu sichern und dann dein System neu aufzusetzen."
was sind nicht ausführbare dateien?

Alt 07.01.2008, 18:51   #23
Sunny
Administrator
> Competence Manager
 

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Zitat:
Zitat von L3g3nD Beitrag anzeigen
Alles klar danke für alles auch wenn es nicht geklappt hat! ich hab dir noch ma ne private nachricht hier im board geschrieben.... was mir nur unklar ist was du damit meinst: "Ich rate dir auf jeden Fall alle nicht ausführbaren Dateien (MP3, Videos, Briefe etc.) zu sichern und dann dein System neu aufzusetzen."
was sind nicht ausführbare dateien?

Drehen wir es mal andersrum, du darfst/solltest keine Dateien oder Programme kopieren bzw. sichern welche ausführbar sind.

z.B. -> nvidiatreiber.exe oder adobereader8.exe

Das heisst keine Programme/Software die zu installieren ist, denn diese könnten ebenfalls vom Dropper infiziert worden sein.
Das heisst alle mp3, videos oder briefe (*.doc) kannst du sichern, diese werden (meist!) nicht infiziert.

Hast du es verstanden?

Alt 07.01.2008, 21:53   #24
Sunny
Administrator
> Competence Manager
 

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



@Legend

Wie in der PN geschrieben, poste das Ergebnis dann hier im Beitrag.
Ich hoffe das es funktioniert, schlimmer gehts auf jeden Fall nimmer.

Ich schaue es mir dann morgen an.

Alt 07.01.2008, 23:03   #25
L3g3nD
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



AdobeUpdater.exe;C:\Program Files\Common Files\Adobe\Updater5;Trojan.MulDrop.10006;Verschoben.;
MsnMsgr.Exe;C:\Program Files\Windows Live\Messenger;Trojan.MulDrop.10006;Verschoben.;
mirc.chm\ctcp_events.htm;C:\programme\mIRC\mirc.chm;IRC.Generic.32;;
mirc.chm;C:\programme\mIRC;Archiv enthält infizierte Objekte;Verschoben.;
avgnt.exe.vir;C:\QooBox\Quarantine\C\Program Files\Avira\AntiVir PersonalEdition Classic;Trojan.MulDrop.10006;Verschoben.;
ctfmon.exe.tmp.vir;C:\QooBox\Quarantine\C\WINDOWS\system32;Trojan.MulDrop.10006;Verschoben.;
A0000013.exe;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;Trojan.MulDrop.10006;Verschoben.;
A0000018.bat;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;möglicherweise BATCH.Virus;Verschoben.;
A0000061.exe;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;Trojan.MulDrop.10006;Verschoben.;
A0000062.Exe;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;Trojan.MulDrop.10006;Verschoben.;
msconfig.exe.tmp;C:\WINDOWS\pchealth\helpctr\binaries;Trojan.MulDrop.10006;Verschoben.;
RCX43.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX45.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX49.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX4B.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX53.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX59.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCXBD.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCXC3.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\J***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
Language.exe;C:\_OTMoveIt\MovedFiles\programme\powerdvd\Language;Trojan.MulDrop.10006;Verschoben.;
vtsqn.exe;C:\_OTMoveIt\MovedFiles\WINDOWS\system32;Trojan.MulDrop.10006;Verschoben.;


ich hab jetzt extra nur diesen teil geschrieben im andern stehn alle dateien von meinem rechner drin, die ich doch nicht so einfach offenbaren möchte ^^

Alt 08.01.2008, 08:25   #26
blow-in
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Ach so noch eins.
Bei der Sicherung der (nichtausführbaren) Dateien darauf achten, dass du nicht die kompletten Ordner kopierst, sondern nur die darin befindlichen *.mp3, *.doc, *.jpg usw.
In einem Ordner können sich auch unsichtbar Schadprogramme verstecken, die du dann mitkopierst.

Alt 08.01.2008, 15:54   #27
Sunny
Administrator
> Competence Manager
 

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Ausrufezeichen

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



@L3g3nD

War das alles was Cureit ausgespuckt hat?!
Oder fehlt da einfach nur ein "grober" (privat!) Rest?


Desweiteren solltest du nun nochmals folgende Programme in dieser Reihenfolge durchführen:


Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 08.01.2008, 16:01   #28
L3g3nD
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok

gaaaanz viele dateien von meinem pc die ich nicht alle zeigen will...

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 183885
Infizierte Objekte gefunden: 19
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 1
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 19
Ignorierte Objekte: 0
Leistung:: 581 Kb/s
Dauer:: 00:49:29
-----------------------------------------------------------------------------

C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2\A0000018.bat - verschoben

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 1
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
=============================================================================



und dann das noch, das andre is iwi der prüfbericht den ich zusätzlich noch abspeichern konnte...

Alt 08.01.2008, 16:18   #29
Sunny
Administrator
> Competence Manager
 

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Ausrufezeichen

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



ok, darüber hatten wir ja schon gesprochen.

Führe nun noch mal alle Scans durch.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 08.01.2008, 16:52   #30
L3g3nD
 
TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Standard

TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21



vundo fix hat nichts gefunden!

ComboFix

ComboFix 08-01-07.5 - *** 2008-01-08 16:23:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1602 [GMT 1:00]
Running from: C:\Documents and Settings\***\Desktop\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2007-12-08 to 2008-01-08 )))))))))))))))))))))))))))))))
.

2008-01-08 16:01 . 2008-01-08 16:01 <DIR> d-------- C:\VundoFix Backups
2008-01-07 21:34 . 2008-01-07 21:50 <DIR> d-------- C:\Documents and Settings\***\DoctorWeb
2008-01-07 17:57 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 19:50 . 2008-01-06 19:50 0 --a------ C:\23990098.$$$
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 18:28 . 2004-08-04 00:56 146,432 --a------ C:\WINDOWS\R.COM
2008-01-06 18:28 . 2004-08-04 00:56 135,680 --a------ C:\WINDOWS\system32\T.COM
2008-01-06 18:28 . 2008-01-06 18:30 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 17:45 . 2008-01-06 17:45 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Program Files\Avira
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-06 02:02 . 2008-01-06 02:02 <DIR> d-------- C:\Program Files\Security Task Manager
2008-01-06 02:02 . 2008-01-06 16:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SecTaskMan
2008-01-05 23:16 . 2008-01-06 01:57 <DIR> d-------- C:\Documents and Settings\***\Contacts
2008-01-05 23:15 . 2008-01-05 23:15 <DIR> d-------- C:\Program Files\Windows Live
2008-01-05 23:06 . 2008-01-05 23:06 <DIR> d-------- C:\Documents and Settings\***\Application Data\MSNInstaller
2008-01-04 14:08 . 2008-01-04 14:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Last.fm
2008-01-04 02:25 . 2008-01-04 02:25 <DIR> d-------- C:\WINDOWS\nview
2008-01-04 02:25 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-04 02:25 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-04 02:25 . 2008-01-05 23:40 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-04 02:25 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-03 04:51 . 2008-01-04 19:45 <DIR> d-------- C:\Documents and Settings\***\Application Data\mIRC

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 22:26 --------- d-----w C:\Documents and Settings\***\Application Data\teamspeak2
2008-01-05 17:15 --------- d-----w C:\Documents and Settings\***\Application Data\OpenOffice.org2
2008-01-05 10:06 --------- d-----w C:\Documents and Settings\***\Application Data\ICQ
2007-12-26 16:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-06 20:06 --------- d-----w C:\Documents and Settings\***\Application Data\Syntrillium
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-12-05 00:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-12-05 00:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-12-05 00:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-12-05 00:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-12-05 00:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-12-05 00:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-12-05 00:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-05 00:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-12-05 00:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-12-05 00:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-05 00:41 1,073,152 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-12-05 00:41 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-12-02 17:48 --------- d-----w C:\Documents and Settings\***\Application Data\JavaEditor
2007-07-10 23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
2007-05-23 00:20 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007052320070524\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
Code:
ATTFilter
<pre>
----a-w            49,152 2008-01-07 15:20:42  C:\programme\powerdvd\Language\Language .exe
</pre>
         

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"LanguageShortcut"="C:\programme\powerdvd\Language\Language.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

C:\Documents and Settings\***\Start Menu\Programs\Startup\
Last.fm Helper.lnk - C:\programme\Last.fm\LastFMHelper.exe [2008-01-04 13:57:56]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-05-25 00:23:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^***^Start Menu^Programs^Startup^Last.fm Helper.lnk]
path=C:\Documents and Settings\***\Start Menu\Programs\Startup\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 02:06 40048 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 17:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-01-07 17:52 249896 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
E:\Programme\Kaspersky\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 12:49 153136 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:56 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 E:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\vtsqn.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 01:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 01:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip]
--a------ 2007-04-08 14:22 721656 c:\program files\powerstrip\pstrip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2008-01-06 01:56 29696 C:\programme\powerdvd\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-03-21 13:49 16126464 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-12 23:24 1266936 E:\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-01-06 01:56 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-12-13 01:50 33792 C:\Program Files\Winamp\winampa.exe

R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 10:35]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 16:24:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-08 16:24:50
ComboFix-quarantined-files.txt 2008-01-08 15:24:48
ComboFix2.txt 2008-01-07 17:05:05

Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 16:50:29, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Jonny\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Antwort

Themen zu TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21
.dll, adobe, antivir, avgnt, avgnt.exe, avira, bho, desktop, explorer, firefox, frage, gservice, hijack, home, internet, internet explorer, mozilla, mozilla firefox, nvidia, pdf, prozesse, rundll, security, software, system, viren, virus, windows, windows xp




Ähnliche Themen: TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21


  1. viren befall ?? oder malware oder unerwuenschte software ?? oder ....
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (6)
  2. Im Firefox ständig Werbemeldungen oder Hinweise zu Performance oder Spyware
    Log-Analyse und Auswertung - 14.01.2014 (17)
  3. Antivir zeigt dauernd: TR/Spy.Farko.lw oder TR/Rogue.kdv.651759 oder TR/Spy.Agent.ccfd usw.
    Log-Analyse und Auswertung - 08.07.2012 (1)
  4. EXP\JAVA.NIABIL.GEN Exploit oder Trojaner oder beides - Lösung ?
    Log-Analyse und Auswertung - 29.02.2012 (1)
  5. click.GiftLoad oder TR/Crypt.XPACK.Gen2 oder Rootkit.TDSS.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  6. Befall mit TR/Drop.Agen.ascd.1 und/oder PUP.Dealio?
    Log-Analyse und Auswertung - 13.01.2011 (7)
  7. Virus oder Trojaner? Browser reagieren nicht oder verzögert.
    Log-Analyse und Auswertung - 20.10.2010 (26)
  8. Habe ich einen Virus oder Malware oder sonstiges auf dem Rechner?
    Log-Analyse und Auswertung - 15.08.2010 (23)
  9. schadhaftes script oder virus? url falschmeldung oder echte gefahr?
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (6)
  10. agent.ruo oder bei mir: kbdqnbfb.dll
    Plagegeister aller Art und deren Bekämpfung - 06.04.2010 (13)
  11. Mehrere Trojaner (tr/drop.Rkit.ey) in Tempordner oder (tr/tool.injector.605242)
    Log-Analyse und Auswertung - 08.01.2010 (39)
  12. TR/Crypt.XPACK.Gen'/ TR/Drop.Agent.qkm/ TR/Drop.Mudr.CY.305...alles seit heut morgen!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (8)
  13. Hab ich den Trojan.Agent oder Antivirus 2008 oder 2009
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (1)
  14. Hilfe!! Monder.Acia oder Vundo 129024 oder Virtumonde auf dem PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.12.2008 (0)
  15. AW: TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21
    Mülltonne - 14.01.2008 (0)
  16. TR/Drop.FunWeb.A oder weiteres :|
    Plagegeister aller Art und deren Bekämpfung - 09.12.2004 (4)
  17. TR/Drop.Delf.DJ.4 oder TR/LowZones.A.2 oder WEBREBATES0.EXE Problem
    Log-Analyse und Auswertung - 27.10.2004 (2)

Zum Thema TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 - Also alle, die einen solchen F3-Eintrag hatten, sind am Ende zu einer Neuinstallation gekommen weil die Reinigungsversuchen fehlschlugen. Aber Sunny könnte ja noch etwas anderes in petto haben. Wenn du - TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21...
Archiv
Du betrachtest: TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.