Habe folgenden Trojaner seit kurzem drauf: w32 Suspicious-F.gen.dropper bei Nero 6.6. Express unter d: Tools, erkannt von Ad aware. (aktualisiert). Mein Virenprogramm Norman Virus (ebenfalls aktuell) meldet unter anderem unter C: Dokumente+ Einstellungen /temp/aawtmp C 147468, Datei recode-ptb.nls, Datei vom Okt 04.11.50 2004. Schon merkwürdig die Jahreszahl?? Ich habe mal Norman Virus angehalten, Antivir gedownload, merkwürdigerweise erkennt Antivir den Trojaner gar nicht. Windows ist heute auch neu aktualisiert worden.

verschieb...

GUA

geht das noch weiter GUA "verschieb......"?

Zitat:

Zitat von ludni

geht das noch weiter GUA "verschieb......"?

Der Admin hat "dich" bzw. deinen Beitrag nur in das richtige Unterforum verschoben, hier geht es jetzt weiter:


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Hier das Log von combofix
Vorher noch die Anmerkung, dass die Säuberung des Trojaners unter Norman Virus deswegen nicht erfogen kann, weil vorher die Meldung kommt, Fehler beim Öffnen des Archivs.
ludni
ComboFix 08-01-10.2 - Ludwig 2008-01-10 10:06:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.111 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ludwig\Eigene Dateien\Download\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-10 10:04 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 18:56 . 2008-01-09 20:21 <DIR> d-------- C:\Programme\a-squared Free
2008-01-09 13:15 . 2008-01-09 13:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-24 19:33 . 2007-12-24 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\Ludwig\Anwendungsdaten\Pegasys Inc
2007-12-18 10:55 . 2007-12-18 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\Ludwig\Anwendungsdaten\vlc
2007-12-18 10:54 . 2007-12-24 16:09 <DIR> d-------- C:\Programme\VideoLAN
2007-12-18 09:07 . 2007-12-18 09:07 0 --a------ C:\WINDOWS\muveeapp.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 09:10 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-01-10 09:10 --------- d-----w C:\Programme\Norman
2007-12-29 09:09 100,180 ----a-w C:\WINDOWS\Fonts\2788_brushed.zip
2007-11-30 14:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-29 16:02 --------- d-----w C:\Programme\GMX Programme
2007-11-29 15:56 --------- d-----w C:\Programme\ArcorOnline
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2006-06-16 07:34 127,912 ----a-w C:\Dokumente und Einstellungen\Ludwig\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-10-17 17:30 8 --sh--r C:\WINDOWS\system32\32828BBAAC.sys
2004-10-17 17:30 5,224 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{77701e16-9bfe-4b63-a5b4-7bd156758a37}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 33792 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2004-09-20 23:09 921600 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"Dit"="Dit.exe" [2004-07-20 17:18 90112 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 13:05 508416 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 16:15 5794816 C:\WINDOWS\CNYHKey.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-10-21 10:03 81920]
"Norman ZANDA"="C:\Programme\Norman\Npm\bin\ZLH.exe" [2007-08-09 13:39 183352]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-10-12 09:05 98304]
"Ulead AutoDetector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-03-24 19:28 45056]
"Zone Labs Client"="C:\Programme\ZoneAlarm\zlclient.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29]
R2 Ndiskio;Ndiskio;c:\programme\norman\nse\bin\ndiskio.sys [2007-01-02 09:55]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2004-08-10 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2004-08-10 02:00]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 13:58]
R3 nvcoas;Norman Virus Control on-access component;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe [2007-07-12 10:38]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE [2007-05-23 12:23]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 16:13]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 11:07]
S2 HQOMCBUC;HQOMCBUC;C:\WINDOWS\system32\hqomcbuc.nuu []
S2 SampleScanner;USB-Flachbettscanner;C:\WINDOWS\system32\DRIVERS\ArtecGT.sys [2001-06-07 17:56]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-01-10 10:10]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdlubase.sys [2004-08-10 02:00]
S3 nvcfsr;nvcfsr;C:\PROGRAMME\NORMAN\nvc\BIN\nvcfsr.sys [2007-01-09 14:25]
S3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2007-07-09 09:50]
S3 nvcoafl51;nvcoafl51;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoafl51.sys [2007-01-09 14:25]
S3 nvcoaft51;nvcoaft51;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoaft51.sys [2007-01-09 14:25]
S3 nvcoarc51;nvcoarc51;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoarc51.sys [2007-01-09 14:25]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 10:10:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-10 10:12:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-10 09:12:19
.
2007-10-11 11:36:00 --- E O F ---

kann denn keiner darauf weiter antworten?
ludni

Zitat:

Zitat von ludni

kann denn keiner darauf weiter antworten?
ludni

Doch wenn du uns noch ein Hijacklog zur Verfügung stellst?!

War in meinem ersten Beitrag erklärt.

Habe das wohl geschafft, brauchte aber die Datei nicht umbenennen, ging auch gar nicht zu machen und ein roter Button war da auch nicht zusehen, erst später, hoffentlich habe ich das trotzdem richtig gemacht. Noch etwas: Ich bin ein Laie, vielleicht kein Anfänger,vielleicht schilderst Du die Korrektur ein wenig einfach, geht das?
Danke
ludni

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hab ich was falsch gemacht? Könnt ihr mir jetzt helfen?
ludni

Hiiiiiiiilfe, nun kommt noch ein neues Problem hinzu. Weil ad-aware nicht mehr gedownload hat, habe ich dieses Programm gelöscht und noch einmal neu gedownload. Beim Installieren kommt jedoch die Meldung: Der Prozedureinsprungpunkt WahGetContext wurde in DLL ws2Help.dell nicht gefunden.
ludni

Hiiiiilfe, kann mir denn keiner helfen?
ludni

Die Trojanedatei recode.ptb.nls habe ich unter "Suchen" gefunden. Datum, Uhrzeit, ( 4.10,2004, 11.50 ) alles stimmt. Ich kann diese (Trojanerdatei) aber nicht löschen. könnte sie aber extrahieren und dann alle nachfolgenden Öffnungen möglicherweise ???? löschen. Wäre das ein Weg oder der zu riskant??? Nachher öffnen sich noch Trojanerkinder!
ludni

Biiiitte um Hiiiiiiiilfe
ludni

Hallo, jetzt habe ich mich so angestrengt und ihr lasst mich hängen!!!!!!!!!
Bitte meldet euch!