benötige Hilfe bei Trojaner "TR/Virtumod.WS" bzw. "jkkjjgd.dll"

derknueppel · 18.03.2008, 15:36

Hallo,

ich habe Probleme mit dem Trojaner "TR/Virtumod.WS".
Antivir gibt mir circa alle 5 Minuten eine Trojanerwarnung, in der besagt wird, dass die Datei "jkkjjgd.dll" im System32-Ordner der besagte Trojaner ist.
Löschen etc. hilft nicht.
Der Trojaner bewirkt, dass sich ständig PopUps mit dem Internet Explorer öffnen, auch wenn die Seiten geblockt werden.
Ich hoffe auf baldige Hilfe!

MfG derknueppel

Sabina · 18.03.2008, 15:39

Hallo,

wende , wie auf der Seite erklärte den CCleaner und Combofix an
combofix

von Combofix poste hier den Report, der erscheint

derknueppel · 18.03.2008, 19:09

ComboFix 08-03-17.1 - Hans 2008-03-18 18:54:01.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.602 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hans\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-18 bis 2008-03-18 ))))))))))))))))))))))))))))))
.

2008-03-18 18:46 . 2008-03-18 18:46 <DIR> d-------- C:\Programme\CCleaner
2008-03-18 18:39 . 2008-03-18 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\CCleanup
2008-03-18 18:36 . 2008-03-18 18:36 <DIR> d-------- C:\WINDOWS\LastGood
2008-03-18 15:01 . 2008-03-18 15:05 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-03-18 14:52 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-18 14:52 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-18 14:52 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-18 14:52 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-18 14:52 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-18 14:52 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-18 14:52 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-18 14:52 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-18 14:52 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-18 13:57 . 2008-03-18 13:57 22 --a------ C:\WINDOWS\WET.INI
2008-03-18 13:56 . 2008-03-18 13:56 <DIR> d-------- C:\Programme\New Generation Software
2008-03-18 13:55 . 2008-03-18 13:55 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\WINDOWS
2008-03-12 18:52 . 2008-03-18 18:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-12 18:52 . 2008-03-12 18:52 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-10 21:18 . 2008-03-10 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-10 09:29 . 2008-03-10 09:29 26,048 --a------ C:\WINDOWS\system32\jkkjjgd.dll
2008-02-29 15:22 . 2008-02-29 15:22 268 --ah----- C:\sqmdata02.sqm
2008-02-29 15:22 . 2008-02-29 15:22 244 --ah----- C:\sqmnoopt02.sqm
2008-02-29 12:23 . 2008-02-29 12:23 268 --ah----- C:\sqmdata01.sqm
2008-02-29 12:23 . 2008-02-29 12:23 244 --ah----- C:\sqmnoopt01.sqm
2008-02-29 12:19 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-29 12:19 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-02-29 12:19 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-28 18:12 . 2008-02-28 18:12 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-02-28 18:11 . 2008-02-28 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-02-27 13:38 . 2008-02-27 13:38 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\ICQ Toolbar
2008-02-26 18:15 . 2008-02-27 13:40 <DIR> d-------- C:\Programme\ICQToolbar
2008-02-26 18:07 . 2008-02-27 13:27 <DIR> d-------- C:\Programme\ICQ6
2008-02-26 18:06 . 2008-02-26 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\InstallShield
2008-02-26 16:25 . 2008-02-26 16:25 <DIR> d-------- C:\Programme\Red Kawa
2008-02-26 16:25 . 2008-02-29 15:03 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-02-20 17:01 . 2008-02-20 17:01 <DIR> d-------- C:\Programme\Betfair
2008-02-20 17:01 . 2008-02-20 17:01 40 --a------ C:\WINDOWS\ujf635.bin

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 12:44 --------- d-----w C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\StarOffice8
2008-03-03 17:54 --------- d-----w C:\Programme\PokerStars
2008-02-28 17:14 --------- d-----w C:\Programme\MSN Messenger
2008-02-28 17:12 --------- d-----w C:\Programme\Windows Live
2008-02-26 17:17 --------- d-----w C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\ICQ
2008-02-26 17:15 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-22 18:33 --------- d-----w C:\Programme\iTunes
2008-02-22 18:33 --------- d-----w C:\Programme\iPod
2008-02-22 18:30 --------- d-----w C:\Programme\QuickTime
2008-02-08 17:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-21 08:58 --------- d-----w C:\Programme\Java
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2008-03-10 09:29 26048 --a------ C:\WINDOWS\system32\jkkjjgd.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Bend each"="C:\DOKUME~1\Hans\ANWEND~1\THUNKJ~1\Uploaddrawweb.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NWEReboot"="" []
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 21:10 339968]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-20 19:13 249896]
"Curb tool help dart"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\Hide Win.exe" [2008-03-18 18:34 3457536]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINDOWS\system32\jkkjjgd.dll [2008-03-10 09:29 26048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkjjgd]
jkkjjgd.dll 2008-03-10 09:29 26048 C:\WINDOWS\system32\jkkjjgd.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 01:18]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-27 23:00]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-18 18:00:00 C:\WINDOWS\Tasks\AC37CF6091844264.job"
- c:\dokume~1\hans\anwend~1\thunkj~1\MpegTheTitle.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 19:03:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-18 19:06:50
.
2008-03-12 16:12:34 --- E O F ---

Sabina · 19.03.2008, 00:28

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Code:

ATTFilter

KILLALL:: 

Registry:: 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bend each"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Curb tool help dart"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkjjgd]

Folder:: 
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool

File:: 
C:\WINDOWS\Tasks\AC37CF6091844264.job
C:\WINDOWS\system32\jkkjjgd.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

PC neustarten

*
poste das neue Log von Combofix

derknueppel · 19.03.2008, 10:19

ComboFix 08-03-18.1 - Hans 2008-03-19 10:07:13.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.749 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hans\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Hans\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\jkkjjgd.dll
C:\WINDOWS\Tasks\AC37CF6091844264.job
.
TimedOut: progfile.dat

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\Hide Win.exe
C:\WINDOWS\system32\jkkjjgd.dll
C:\WINDOWS\Tasks\AC37CF6091844264.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-19 bis 2008-03-19 ))))))))))))))))))))))))))))))
.

2008-03-18 18:46 . 2008-03-18 18:46 <DIR> d-------- C:\Programme\CCleaner
2008-03-18 18:39 . 2008-03-18 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\CCleanup
2008-03-18 15:01 . 2008-03-18 15:05 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-03-18 14:52 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-18 14:52 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-18 14:52 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-18 14:52 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-18 14:52 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-18 14:52 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-18 14:52 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-18 14:52 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-18 14:52 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-18 13:57 . 2008-03-18 13:57 22 --a------ C:\WINDOWS\WET.INI
2008-03-18 13:56 . 2008-03-18 13:56 <DIR> d-------- C:\Programme\New Generation Software
2008-03-18 13:55 . 2008-03-18 13:55 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\WINDOWS
2008-03-12 18:52 . 2008-03-19 10:15 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-12 18:52 . 2008-03-12 18:52 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-10 21:18 . 2008-03-10 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-02-29 15:22 . 2008-02-29 15:22 268 --ah----- C:\sqmdata02.sqm
2008-02-29 15:22 . 2008-02-29 15:22 244 --ah----- C:\sqmnoopt02.sqm
2008-02-29 12:23 . 2008-02-29 12:23 268 --ah----- C:\sqmdata01.sqm
2008-02-29 12:23 . 2008-02-29 12:23 244 --ah----- C:\sqmnoopt01.sqm
2008-02-29 12:19 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-29 12:19 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-02-29 12:19 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-28 18:12 . 2008-02-28 18:12 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-02-28 18:11 . 2008-02-28 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-02-27 13:38 . 2008-02-27 13:38 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\ICQ Toolbar
2008-02-26 18:15 . 2008-02-27 13:40 <DIR> d-------- C:\Programme\ICQToolbar
2008-02-26 18:07 . 2008-02-27 13:27 <DIR> d-------- C:\Programme\ICQ6
2008-02-26 18:06 . 2008-02-26 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\InstallShield
2008-02-26 16:25 . 2008-02-26 16:25 <DIR> d-------- C:\Programme\Red Kawa
2008-02-26 16:25 . 2008-02-29 15:03 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-02-20 17:01 . 2008-02-20 17:01 <DIR> d-------- C:\Programme\Betfair
2008-02-20 17:01 . 2008-02-20 17:01 40 --a------ C:\WINDOWS\ujf635.bin

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 12:44 --------- d-----w C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\StarOffice8
2008-03-03 17:54 --------- d-----w C:\Programme\PokerStars
2008-02-28 17:14 --------- d-----w C:\Programme\MSN Messenger
2008-02-28 17:12 --------- d-----w C:\Programme\Windows Live
2008-02-26 17:17 --------- d-----w C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\ICQ
2008-02-26 17:15 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-22 18:33 --------- d-----w C:\Programme\iTunes
2008-02-22 18:33 --------- d-----w C:\Programme\iPod
2008-02-22 18:30 --------- d-----w C:\Programme\QuickTime
2008-02-08 17:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-21 08:58 --------- d-----w C:\Programme\Java
.

((((((((((((((((((((((((((((( snapshot@2008-03-18_19.05.00,88 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-06 01:14:17 217,312 -c----w C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:25 377,568 -c----w C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\updspapi.dll
+ 2007-08-13 17:54:10 765,952 -c----w C:\WINDOWS\ie7updates\KB938127-IE7\vgx.dll
- 2007-08-13 17:54:10 765,952 -c--a-w C:\WINDOWS\system32\dllcache\VGX.dll
+ 2007-07-12 23:30:56 765,952 -c--a-w C:\WINDOWS\system32\dllcache\vgx.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NWEReboot"="" []
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 21:10 339968]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-20 19:13 249896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 01:18]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-27 23:00]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 10:15:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-19 10:18:32 - machine was rebooted [Hans]
ComboFix-quarantined-files.txt 2008-03-19 09:18:28
ComboFix2.txt 2008-03-18 18:06:52
.
2008-03-18 18:31:25 --- E O F ---

Sabina · 19.03.2008, 11:50

Hallo

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Code:

ATTFilter

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

derknueppel · 19.03.2008, 15:12

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp

19.03.2008 15:10 <DIR> .
19.03.2008 15:10 <DIR> ..
19.03.2008 10:19 170 jusched.log
19.03.2008 15:10 <DIR> WPDNSE
1 Datei(en) 170 Bytes
3 Verzeichnis(se), 44.534.652.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\WINDOWS\Temp

19.03.2008 15:10 <DIR> .
19.03.2008 15:10 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 44.534.648.832 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Programme

18.03.2008 18:46 <DIR> .
18.03.2008 18:46 <DIR> ..
20.11.2007 19:14 <DIR> adabas
08.02.2008 18:11 <DIR> Adobe
20.11.2007 20:08 <DIR> Adverts
15.01.2008 19:52 <DIR> Apple Software Update
20.11.2007 12:12 <DIR> ATI Technologies
20.11.2007 15:25 <DIR> Avira
29.02.2008 15:03 <DIR> AviSynth 2.5
20.02.2008 17:01 <DIR> Betfair
15.01.2008 19:54 <DIR> Bonjour
18.03.2008 18:46 <DIR> CCleaner
09.01.2008 18:40 <DIR> Circle Developement
20.11.2007 11:51 <DIR> ComPlus Applications
21.11.2007 17:10 <DIR> DivX
21.11.2007 18:29 <DIR> Free WMA to MP3 Converter
20.11.2007 15:09 <DIR> Fujitsu Siemens Computers
28.02.2008 18:12 <DIR> Gemeinsame Dateien
27.02.2008 13:27 <DIR> ICQ6
27.02.2008 13:40 <DIR> ICQToolbar
20.11.2007 12:11 <DIR> Intel
18.03.2008 15:09 <DIR> Internet Explorer
15.01.2008 10:51 <DIR> InterVideo
22.02.2008 19:33 <DIR> iPod
22.02.2008 19:33 <DIR> iTunes
21.01.2008 09:58 <DIR> Java
20.11.2007 19:14 <DIR> licenses
18.12.2007 21:22 <DIR> Messenger Plus! Live
20.11.2007 11:59 <DIR> microsoft frontpage
20.11.2007 11:52 <DIR> Movie Maker
19.03.2008 15:10 <DIR> Mozilla Firefox
20.11.2007 11:49 <DIR> MSN
20.11.2007 11:50 <DIR> MSN Gaming Zone
28.02.2008 18:14 <DIR> MSN Messenger
20.11.2007 11:52 <DIR> NetMeeting
18.03.2008 13:56 <DIR> New Generation Software
20.11.2007 11:53 <DIR> Online-Dienste
23.11.2007 17:53 <DIR> Outlook Express
03.03.2008 18:54 <DIR> PokerStars
22.02.2008 19:30 <DIR> QuickTime
20.11.2007 19:14 <DIR> readmes
26.02.2008 16:25 <DIR> Red Kawa
20.11.2007 19:33 <DIR> Sun
20.11.2007 12:15 <DIR> Synaptics
20.11.2007 12:14 <DIR> VIAudioi
28.11.2007 19:43 <DIR> Windows Journal Viewer
28.02.2008 18:12 <DIR> Windows Live
20.11.2007 21:33 <DIR> Windows Media Connect 2
21.11.2007 19:33 <DIR> Windows Media Player
20.11.2007 11:49 <DIR> Windows NT
20.11.2007 21:38 <DIR> WinRAR
20.11.2007 11:59 <DIR> xerox
0 Datei(en) 0 Bytes
52 Verzeichnis(se), 44.534.648.832 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Anwendungsdaten

28.11.2007 17:51 <DIR> Adobe
15.01.2008 19:52 <DIR> Apple
15.01.2008 19:51 <DIR> Apple Computer
03.12.2007 17:47 <DIR> ApplicationHistory
27.02.2008 14:05 12.800 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
20.02.2008 17:00 <DIR> Downloaded Installations
03.12.2007 17:44 137 fusioncache.dat
20.11.2007 20:47 47.544 GDIPFONTCACHEV1.DAT
16.02.2008 22:24 <DIR> Identities
18.03.2008 15:29 <DIR> Microsoft
20.11.2007 19:21 <DIR> Mozilla
20.11.2007 11:59 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150000}
3 Datei(en) 60.481 Bytes
9 Verzeichnis(se), 44.534.644.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Dokumente und Einstellungen\Hans\Anwendungsdaten

20.02.2008 10:06 <DIR> Adobe
15.01.2008 19:36 <DIR> Apple Computer
18.03.2008 18:43 <DIR> CCleanup
03.01.2008 20:43 <DIR> DivX
03.01.2008 20:48 <DIR> GetRightToGo
26.02.2008 18:17 <DIR> ICQ
27.02.2008 13:38 <DIR> ICQ Toolbar
20.11.2007 12:06 <DIR> Identities
26.02.2008 18:06 <DIR> InstallShield
15.01.2008 10:53 <DIR> InterVideo
20.11.2007 15:28 <DIR> Macromedia
20.11.2007 19:21 <DIR> Mozilla
18.03.2008 13:44 <DIR> StarOffice8
26.11.2007 19:37 <DIR> Sun
09.01.2008 18:29 <DIR> thunk jump
29.11.2007 17:07 <DIR> WinRAR
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 44.534.644.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

20.11.2007 19:13 305 addr_file.html
08.02.2008 18:11 <DIR> Adobe
15.01.2008 19:51 <DIR> Apple
15.01.2008 19:53 <DIR> Apple Computer
20.11.2007 15:25 <DIR> Avira
20.11.2007 20:47 <DIR> Messenger Plus!
20.11.2007 21:29 <DIR> Windows Genuine Advantage
28.02.2008 18:11 <DIR> WLInstaller
1 Datei(en) 305 Bytes
7 Verzeichnis(se), 44.534.644.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Programme\Gemeinsame Dateien

28.02.2008 18:12 <DIR> .
28.02.2008 18:12 <DIR> ..
08.02.2008 18:11 <DIR> Adobe
15.01.2008 19:51 <DIR> Apple
20.11.2007 11:52 <DIR> Dienste
20.11.2007 12:16 <DIR> InstallShield
20.11.2007 11:59 <DIR> Java
28.02.2008 18:13 <DIR> Microsoft Shared
20.11.2007 11:52 <DIR> MSSoap
20.11.2007 11:42 <DIR> ODBC
20.11.2007 11:42 <DIR> SpeechEngines
23.11.2007 17:53 <DIR> System
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 44.534.644.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC96-DD33

Verzeichnis von C:\Windows\tasks

derknueppel · 19.03.2008, 15:19

obwohl ich seit dem letzten scan keine probleme mehr habe..

Sabina · 19.03.2008, 16:31

Hallo,

das hab ich gesucht...gehört zum Swizzor-Trojaner...

1.
otmoveIt
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:

ATTFilter

C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\thunk jump
C:\Programme\Adverts

Klicke auf den Roten MoveIt!

2.
otmoveIt
klicken: CleanUp! button

---------------------------------------------------------

dann sollte wieder alles o.k. sein.

derknueppel · 19.03.2008, 17:57

alles klar, ich hab alles befolgt und im moment läuft alles.
vielen dank für die hilfe, falls noch was ist melde ich mich wieder

babslbaer · 07.04.2008, 11:35

Hallo,
ich habe genau den gleichen Trojaner...

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag
nur so wird sichergestellt, das jedem User übersichtlich und individuell geholfen werden kann.

Danke.

[/edit]

benötige Hilfe bei Trojaner "TR/Virtumod.WS" bzw. "jkkjjgd.dll"

Plagegeister aller Art und deren Bekämpfung: benötige Hilfe bei Trojaner "TR/Virtumod.WS" bzw. "jkkjjgd.dll"