ständig gehen neue Seiten mit Werbung auf bitte Logfile auswerten

Miffi · 29.04.2008, 18:01

Ich habe Windows Vista und gehe mit Firefox ins Internet. Seit Mitte April gehen bei mir trotz PopupBlocker jedesmal Werbung auf wenn ich ins Internet gehe oder die Seite wechsle. Manchmal komme ich weder bei Google oder MSN rein. Lösche schon dauernd die temporären Dateien und Cookies.
Könnt ihr bitte den Logfile auswerten. Danke

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:44, on 29.04.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Windows\system32\rundll32.exe
C:\Windows\livemessenger.com
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {3A976454-549A-4ACE-AADD-08ADF6FE3E7B} - C:\Users\xxx\AppData\Local\Temp\vtUnmNGY.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {40d5330e-de2b-7839-c7b4-6148225a3d08} - {80d3a522-8416-4b7c-9387-b2ede0335d04} - C:\Windows\system32\hcqgpogf.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Microsoft Update] livemessenger.com
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [5cc4d7cd] rundll32.exe "C:\Windows\system32\kwcelqeb.dll",b
O4 - HKLM\..\Run: [BM5ff7e451] Rundll32.exe "C:\Windows\system32\ngcveefv.dll",s
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll,c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6D5C03D-FF27-46FF-AC6D-A47A11EA9A53}: NameServer = 213.191.74.18 62.109.123.196
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 9013 bytes

**Sunny** · 29.04.2008, 18:04

Hallo Miffi und

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Users\xxx\AppData\Local\Temp\vtUnmNGY.dll
C:\Windows\system32\hcqgpogf.dll
C:\Windows\livemessenger.com

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

CCleaner

Anleitung zum CrapCleaner abarbeiten -> Hier gehts weiter

ComboFix

Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

Miffi · 29.04.2008, 18:42

vielen Dank Sunny,
jetzt hab ich aber ein Problem mit Virus Total. Der braucht leider nicht nur 2 Minuten um die Dateien zu laden. Bei der ersten hab ich nach ca 5 Minuten dann abgebrochen um es nochmal zu probieren. Da kam dann es schonmal gescannt wurde und ein leerer Bericht wurde angezeigt. Da drunter waren dann noch zwei Kästchen mit aktuellen Bericht anzeigen oder nochmal scannen. Leider konnte ich beide nicht anklicken. Die zweite Datei wird nun schon seit 12 Minuten geladen.
Kann ich die Dateien noch irgendwo anders überprüfen lassen?
Vielen Dank für eure Hilfe
Miffi

**Sunny** · 29.04.2008, 18:46

Dann versuche es mal bei -> Online Malware scan
Gleiche Verfahrensweise wie bei Virustotal.

Sollte das auch nicht klappen, mach mit dem nächsten Anleitungsschritt weiter.

Edit:
Moin digger

nochdigger · 29.04.2008, 18:48

Hallo

hier noch eine alternative
VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)

MFG

EDIT: Moin Sunny

Miffi · 29.04.2008, 18:57

Danke ihr Lieben,

könnt ihr mir bitte noch sagen, wo ich mein JavaScript aktiviere. Online Malware Scan reklamiert, dass er nicht aktiviert ist. Ich weiß aber nicht wie.
danke nochmals
Miffi

Miffi · 29.04.2008, 21:30

Hi, mein Javascript hab ich jetzt aktiviert bekommen. Jetzt funktioniert auch Virustotal. Leider konnte ich von C:Windows/livemessenger.com keinen scan machen, weil die Datei nicht oder nicht mehr vorhanden ist. (seltsam)
Jetzt aber die scans (ich hoffe ich habe alles richtig gemacht)
1.scan
Datei vtUnmNGY.dll empfangen 2008.04.29 21:22:54 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/Vundo.Gen
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:Virtumonde-IU
AVG 7.5.0.516 2008.04.29 BHO.DPR
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV 0.92.1 2008.04.29 Trojan.Vundo-2663
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 Win32/Vundo!generic
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Packed.Win32.Monder.gen
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26.0 2008.04.29 Trojan.Vundo.EHV
Kaspersky 7.0.0.125 2008.04.29 not-a-virus:AdWare.Win32.Virtumonde.qol
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Vundo.gen!D
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 Vundo.gen148
Panda 9.0.0.4 2008.04.29 Spyware/Virtumonde
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 AdWare.Win32.Vundo.f
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo.B
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 AdWare.Win32.Virtumonde.plj
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Vundo.Gen
weitere Informationen
File size: 274432 bytes
MD5...: 180a096d90ee1528b4a6ab663e658e72
SHA1..: 8687a34a6ce8e0bbc0abff6eba40d746bc5128a0
SHA256: 130c70fb3f471ae838ec64b01da1b31917bd7530d912a3a47fa3057957a9730b
SHA512: 43c8634bec7bd8aa7e0b55c4b34f97efef7de52b1bef0756c3ea0d9c3b061405
9694e365f453326f96ffb2aeccb0c9e7c36212e1c8f844d05a3a54b606f1b28a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10005a2e
timedatestamp.....: 0x4bf95cbf (Sun May 23 16:50:07 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x65000 0x4e00 7.26 e1ee276e4c268e95878a6a7b795b1e26
.data 0x66000 0x3d000 0x3ce00 8.00 6050cdd9fac5c4af6ca37964fb8ccff2
.rdata 0xa3000 0x1000 0xa00 7.15 f24028f0a13efd27bb4ad2e6de0b4601
.idata 0xa4000 0x1000 0x600 3.48 0317dbcf32c5772e72600c73592ad1fb

( 3 imports )
> user32.dll: ShowScrollBar, ShowOwnedPopups, OemToCharA, LoadMenuA, IsCharUpperA, CreateMDIWindowA, CreateIconFromResourceEx, CreateDialogParamA
> kernel32.dll: LoadResource, TlsSetValue, ReadFile, OpenFileMappingA, GetTimeFormatA, GetStartupInfoA, GetPrivateProfileStringA, lstrcatA, EnumResourceNamesA, UnmapViewOfFile
> oleaut32.dll: OleTranslateColor, SafeArrayAccessData, SafeArrayAllocData, SetErrorInfo, OleLoadPicture, ClearCustData

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=69CEBDA7001DFF6A305404B4FC8AC5000D26E457

2.scan
Datei hcqgpogf.dll empfangen 2008.04.29 21:29:43 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/Vundo.Gen
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 -
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV None 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 -
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 W32/Vundo.dam
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26.0 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 Packed.Win32.Monder.gen
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 W32/Vundo.dam1
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 -
Rising 20.42.12.00 2008.04.29 AdWare.Win32.Vundo.d
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo.B
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Vundo.Gen
weitere Informationen
File size: 107072 bytes
MD5...: 57ec6afbd4f376fec1543801ebff7ab5
SHA1..: 0e4df985641ad6255f6e6c6b778b2d57e447ede3
SHA256: 79e6c19c65f00bfe54e686d289866a107e7aca54497073aad51094b79908b031
SHA512: 60794122d80714613dea62372a99d7ec559de3ef9c9563ec2717a6137ad8960e
14ce2ee1568e99ead9dfc8ffc8887ce1e8caba6385845145ee40ad0d0b3d2e4a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000783f
timedatestamp.....: 0x84996b58L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x6e00 7.60 c1343e05d8192897fce4172866d166e4
.data 0x21000 0x13000 0x12600 8.00 43f4a94f2ed4ea0dfc7544371c2f1943
.rdata 0x34000 0x1000 0x400 6.47 75657b87d4f036729927b6a2eaf84932
.idata 0x35000 0x1000 0x600 2.75 523ad642e1621df7ea04cb65467f3fa0

( 3 imports )
> user32.dll: ToAscii, ShowCursor, SetCursor, OffsetRect, EnableScrollBar, DestroyCursor, CreateIconFromResource, CreateIcon, CreateDialogParamA, CreateDesktopW, CopyImage
> kernel32.dll: ExitProcess, GetTimeFormatA, SetLastError, VirtualAlloc, FlushFileBuffers
> oleaut32.dll: SafeArrayAccessData, SafeArrayAllocData, SysReAllocString, SysStringLen, OleTranslateColor, RevokeActiveObject

( 0 exports )
packers (Kaspersky): PE_Patch

3.scan
Datei kwcelqeb.dll empfangen 2008.04.29 21:46:39 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/PCK.Monder.95232
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 -
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV None 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 Win32/Vundo!generic
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Packed.Win32.Monder.gen
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 Packed.Win32.Monder.gen
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 Vundo.gen165
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 -
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.PCK.Monder.95232
weitere Informationen
File size: 95296 bytes
MD5...: ed9f0a9aa7b79f86d3ab721588657a5f
SHA1..: 3282dec4b9b810329f5a1781305cb1cf1c42c58b
SHA256: 452da62dc15cd82dd6d465bae0ed413b8eb28a62d05186f0cf51e721f14d33dd
SHA512: 081dbe7f98aea0d178ed3287c8846bdd94c35a6fbdc386610ec763067825c3cc
74452d93b49d9bd267a6828c6639714a2985aeadc2341201af5fee0543917c45
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10006d84
timedatestamp.....: 0x7f6f341a (Thu Oct 01 07:17:46 2037)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x6400 7.59 c91baa1c549cf1523a7f53f050575aae
.data 0x19000 0x10000 0x10000 7.99 7a67b036156d3492f78eb3e736eddeaf
.rdata 0x29000 0x1000 0x400 6.36 ff08784d0e868a10f2826eef5ffc6ce2
.idata 0x2a000 0x1000 0x800 3.38 21172af8d54fb76d6265c09a23256356

( 3 imports )
> user32.dll: OffsetRect, LoadImageA, IsCharLowerA, EqualRect, EndDeferWindowPos, DrawTextA, DrawMenuBar, DispatchMessageA, DestroyCaret, CreateMenu, CreateDialogParamA, CreateCursor, CreateAcceleratorTableA, CharToOemA
> kernel32.dll: GetTimeFormatA, SetCurrentDirectoryA, OpenFileMappingA, OpenFile, MapViewOfFile, lstrlenA, lstrcpynA, lstrcpyA, lstrcmpA, WriteFile, VirtualFree, UnmapViewOfFile, TlsFree, TlsAlloc, CompareStringA, EnterCriticalSection, EnumResourceLanguagesW, EnumResourceTypesA, FreeResource, GetLocalTime, GetStartupInfoA, GetVersion, SleepEx
> oleaut32.dll: SafeArrayCreate, SafeArrayDestroy, VarBstrCmp, SafeArrayAllocData

( 0 exports )
packers: PE_Patch
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6E394EFD403AF459744001EA9464580034260E96

4.scan
ngcveefv.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 ADSPY/Virtumonde.qrt
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 Vundo.N
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV 0.92.1 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 -
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 W32/Vundo.dam
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 not-a-virus:AdWare.Win32.Virtumonde.qrt
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 W32/Vundo.dam1
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 -
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Ad-Spyware.Virtumonde.qrt
weitere Informationen
File size: 104000 bytes
MD5...: 459a77285e58bf3dc9327b876ca9ed31
SHA1..: 8af2ff926bd4cd1ae83bc5823ddae204484aba1f
SHA256: 7bd81925010758a6dced249a199989daa28f53d5602a077a93d988ded22fbd6a
SHA512: 3856f1ddc36e68cbd31f992348df29d7f629782b765f26da2e7d25f335f8d901
df536938b535c463b716e4ec2f7e562233cdec0c6e8fe78ee3a60e0cf088a44c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10007317
timedatestamp.....: 0x7f755d11 (Mon Oct 05 23:26:09 2037)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a000 0x6600 7.63 76b1fa42747e3ea0a55a99c5fb123bce
.data 0x1b000 0x12000 0x12000 7.99 9484892969ef3033a1eb7d04cc1aee23
.rdata 0x2d000 0x1000 0x400 7.13 cf0b2701f9a039f042ed68b8af59ff49
.idata 0x2e000 0x1000 0x800 3.51 4628bae34fbeb66bdc31f3b928e11dcf

( 3 imports )
> user32.dll: OemToCharA, LoadMenuA, GetDlgItem, DrawCaption, DestroyWindow, DestroyIcon, DeleteMenu, CreateIconFromResourceEx, CreateIcon, CharUpperA, CharToOemBuffA, CharToOemA
> kernel32.dll: OpenFileMappingA, TlsSetValue, TlsAlloc, SleepEx, Sleep, SetLastError, SetEndOfFile, SetCurrentDirectoryA, lstrcpynA, lstrcpyA, lstrcatA, WriteFile, CloseHandle, EnumResourceLanguagesA, EnumResourceNamesA, ExitProcess, FreeResource, GetLastError, GetSystemTime, GetVersion, InitializeCriticalSection, LoadResource, RaiseException, VirtualAlloc
> oleaut32.dll: GetErrorInfo, OleLoadPicturePath, RevokeActiveObject, SafeArrayAllocData, SafeArrayCreate, SafeArrayDestroy, SysReAllocString

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DE14098F40356465960901972324F50060EBB3EF

Die Dateien von Scan 3 und 4 habe ich über die Auswertung von HijackThis gefunden (hatte ich auch noch ausprobiert und dadrüber euer Board gefunden)

Dies hier wurde dort auch noch gefunden

C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll,#1

Art

Fuzzy Algorithmusprüfung (2.83 / 5.00), Schädlich

und noch eins

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Loading...

Art

Schädlich
Schädlich
Sofort fixen! Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.

so dass war jetzt hoffentlich alles

Miffi

**Sunny** · 30.04.2008, 19:42

Das auswerten der Dateien ist vollbracht, fahre nun mit dem Schritt CCleaner und Combofix weiter fort..

Miffi · 01.05.2008, 15:05

Hi Sunny,
der Link zum CCleaner funzt nicht.
LG Miffi

**Sunny** · 01.05.2008, 16:18

Zitat:

Zitat von Miffi

Hi Sunny,
der Link zum CCleaner funzt nicht.
LG Miffi

Dann versuch es mal mit diesem hier

: http://www.trojaner-board.de/51464-a...-ccleaner.html

Miffi · 03.05.2008, 18:42

Hi Sunny,
entschuldigung, dass ich mich erst jetzt melde. Danke für den neuen Link. Hatte inzwischen den CCleaner ohne Anleitung drüber laufen lassen.
Danach habe ich dann den Combofix drüber laufen lassen. Da sollte ich dann
eine Combofix.txt datei finden, die ich dann posten sollte. Leider konnte ich
diese txt. datei nicht finden.
Ich hab gerade nochmal nachgeschaut. Ich habe einen Ordner
C:Combofix (dort ist keine txt Datei drin)
C:Qoobox (dort ist unter anderem die Combofix Quarantänefile txt drin)
C:Bug (txt)
Kannst du mir vielleicht sagen, welche Datei du nun noch gerne sehen möchtest.
Danke Miffi

**Sunny** · 03.05.2008, 18:47

Normalerweise sollte der Report automatisch nachdem das Programm ausgeführt wurde erscheinen.

Ansonsten suche doch einfach mal nach dieser Datei unter dem gesamten Arbeitsplatz -> combofix.txt

Miffi · 03.05.2008, 18:52

Hi, Sunny
diese Datei wird nicht gefunden.
Dass hatte ich vorher schon heraus gefunden. Deshalb hatte ich nach dem Datum und der Uhrzeit geschaut und dir die anderen txt Dateien angegeben.
LG Miffi

**Sunny** · 03.05.2008, 18:56

Dann führe das Combofix nochmal aus, es sollte nach dem Neustart eigentlich den Editor öffnen und dir das Ergebnis liefern.

Miffi · 03.05.2008, 18:58

Mach ich
Miffi

30.04.2008, 19:42	#8
Sunny Administrator > Competence Manager	ständig gehen neue Seiten mit Werbung auf bitte Logfile auswerten Das auswerten der Dateien ist vollbracht, fahre nun mit dem Schritt CCleaner und Combofix weiter fort.. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

03.05.2008, 18:56	#14
Sunny Administrator > Competence Manager	ständig gehen neue Seiten mit Werbung auf bitte Logfile auswerten Dann führe das Combofix nochmal aus, es sollte nach dem Neustart eigentlich den Editor öffnen und dir das Ergebnis liefern. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

ständig gehen neue Seiten mit Werbung auf bitte Logfile auswerten

Log-Analyse und Auswertung: ständig gehen neue Seiten mit Werbung auf bitte Logfile auswerten