![]() |
|
Log-Analyse und Auswertung: Großes TrojanerproblemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() Großes Trojanerproblem Hallihallo, ich habe seit einiger Zeit ein relativ großes PC-Problem. Mein PC läuft in letzter Zeit extremst langsam, und die enstehenden Probleme häufen sich. So ist es mir z.B. in den letzten paar Tagen nicht mehr möglich, die Seiten google.de und gesichterparty.de aufzurufen, denn sie hören nicht auf zu laden. Erst wenn ich explorer.exe beende werden sie geladen. Desweiteren ist mein PC atm sehr leistungsswach, so habe ich z.B. bei Counterstrike regelmäßige FPS Einbrüche, was normalerweise nicht normal ist, und explorer.exe hat öfters eine relativ hohe CPU-Auslastung. Außerdem befinden sich seit neuem 2 unbekannte Einträge in msconfig/Systemstart, jeweils der befehl rundll32.exe "C:\Windows\system32\nxrlwnln.dll",b bzw Rundll32.exe "C:\Windows\system32\hgrodvm.dll",b. Googlen nach den Namen der dll's findet kein Ergebnis, da die Buchstaben wohl zufällig sind und wenn ich sie aus dem Autostart entferne enstehen 2 neue anders heißende dll's. Beende ich beide Prozesse rundll32.exe erscheinen sie nach einer kurzen Zeit wieder im Task-Manager. Ich habe mittlerweile schon 6 Einträge im Autostart solcher dll's. Ich gehe davon aus dass mein PC komplett virenverseucht ist, allerdings ist es mir atm nicht möglich den PC neu aufzusetzen, da mein DVD-Brenner kaputt ist und ich keine externe Festplatte besitze. Deshalb meine Frage, kann man noch etwas retten oder ist es nicht so schlimm wie ich erwarte? Da ich nicht weiß was für Angabe benötigt werden, gebe ich einfach mal das an was ich denke :>. Betriebssystem: Windows XP SP2 Browser: Mozilla,neuste Version Anbei noch der Hijacklog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:36:28, on 06.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AlienGUIse\wbload.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe C:\Programme\BitDefender\BitDefender 2008\vsserv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Mixer.exe C:\Programme\BitDefender\BitDefender 2008\bdagent.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe C:\Programme\foobar2000\foobar2000.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe" O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" O4 - HKLM\..\Run: [BM1fb7f55c] Rundll32.exe "C:\WINDOWS\system32\jacsjody.dll",s O4 - HKLM\..\Run: [1c84c6c0] rundll32.exe "C:\WINDOWS\system32\nxrlwnln.dll",b O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugCurrent.html O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugNext.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe -- End of file - 8342 bytes Vielen Dank im Voruas für eure Hilfe ![]() MFG fa1th EDIT: Was ich vergessen hatte zu erwähnen, mein Mozilla öffnet regelmäßig tabs einer Seite namens adnetserver.net/... Geändert von fa1th1337 (06.05.2008 um 15:01 Uhr) |
![]() | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Großes Trojanerproblem C:\Windows\system32\nxrlwnln.dll
__________________C:\Windows\system32\hgrodvm.dll C:\WINDOWS\system32\jacsjody.dll Werte diese fraglichen Dateien sowie die folgenden bitte bei Virustotal aus und poste sämtliche Ergebnisse! Schalte vorher den Virenscanner-Wächter temporär ab, damit der diesen Auswertevorgang nicht negativ beeinflußt!! Folge danach dem Link zu combofix in meiner Signatur und befolge die Anleitung, poste das Logfile. Zitat:
![]() Ich mein es ist zwar rel. unwahrscheinlich aber dennoch möglich und das passiert häufiger als man glauben will. => Daher gehören wichtige Daten immer extern noch irgendwie gesichert.
__________________ |
![]() | #3 |
![]() | ![]() Großes Trojanerproblem Bevor ich das mit combofix mache, warte ich erst einmal auf deine Antwort :>.
__________________Habe nach Änderungsdatum geordnet und habe in den letzten paar tagen 11 solcher komischer dll's. Habe alle ausgewertet und die Ergebnisse waren fast alle gleich, bei allen Beispielen wurde eine Art von vundo.gen gefunden, z.B. TR/Vundo.Gen, Win32/Vundo!generic,Vundo.N,...Gleichzeitig zeigten andere Virenprogramme Win32:TratBHO oder Win32.Rigel.6468 an, aber bei allen war vundo mind. einmal enthalten. Allerdings ist keine der dll's gleich alle hatten leicht andere Ergebnisse. Wenn es nötig ist das ich alle Ergebnisse komplett posten soll werde ich das machen. Was sagt mir das nun? :> |
![]() | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Großes TrojanerproblemZitat:
![]() Ich hab überwiegend mit Vundo und Co gerechnet - wollte aber sichergehen, daß nicht was Schlimmeres dabei ist - aber wenn Du meinst Du mußt erst alles hinterfragen, dann haben wir ein ganz schweres Spiel hier. Genauso wie Deine Daten, die wahrscheinlich niemals gesichert wurden - iss ja klar, man sichert ja nur dann wenn man neu aufsetzen muß nach Deiner Logik. Bring die Logfiles oder laß es sein oder setz Dein System gleich neu auf. ![]()
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #5 |
![]() | ![]() Großes Trojanerproblem Nein,natürlich nicht,da ist meine Aussage etwas falsch rübergekommen. Ich bin überglücklich, dass es solche Boards gibt und solch hilfreiche User wie dich. Nur hab ich halt gesehn, dass bei Combofix die Warnung "1 von 100 PC's werden bei der Desinfizierung beschädigt" gelesen und ich so einem Risiko aus dem Weg gehen wollte, wenn es zu verhindern ist. Im Nachhinein ist mir bewusst geworden, dass du ja nur den Log verlangt hast, den ich gleich posten werde. EDIT: Hier der Log vom Test: Die infizierten dll's wurden ja gelöscht, bin ich den Trojaner jetzt los? ComboFix 08-05-01.3 - Seb 2008-05-07 15:23:17.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.660 [GMT 2:00] ausgeführt von:: D:\hp\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\pskt.ini C:\WINDOWS\system32\bchrhseb.dll C:\WINDOWS\system32\bjgstvmv.dll C:\WINDOWS\system32\dmtdauno.dll C:\WINDOWS\system32\edrfkamk.ini C:\WINDOWS\system32\fqnivrso.dll C:\WINDOWS\system32\hgrodhvm.dll C:\WINDOWS\system32\jacsjody.dll C:\WINDOWS\system32\mvhdorgh.ini C:\WINDOWS\system32\nlnwlrxn.ini C:\WINDOWS\system32\nwuowkmj.dll C:\WINDOWS\system32\nxrlwnln.dll C:\WINDOWS\system32\pmnkKawv.dll C:\WINDOWS\system32\ppefopqr.dll C:\WINDOWS\system32\teejteuk.dll C:\WINDOWS\system32\urqNEWNF.dll C:\WINDOWS\system32\vipkekeh.ini C:\WINDOWS\system32\vwaKknmp.ini C:\WINDOWS\system32\vwaKknmp.ini2 . ---- Previous Run ------- . C:\WINDOWS\pskt.ini C:\WINDOWS\system32\mcrh.tmp . ((((((((((((((((((((((( Dateien erstellt von 2008-04-07 bis 2008-05-07 )))))))))))))))))))))))))))))) . 2008-05-06 20:38 . 2008-05-06 20:38 <DIR> d-------- C:\Programme\ASIO4ALL v2 2008-05-06 20:37 . 2008-05-06 20:37 <DIR> d-------- C:\Programme\Vstplugins 2008-05-06 20:37 . 2002-07-08 00:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm 2008-05-06 20:37 . 2006-06-20 10:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll 2008-05-06 20:35 . 2008-05-06 20:35 <DIR> d-------- C:\Programme\Outsim 2008-05-06 20:32 . 2008-05-06 20:38 <DIR> d-------- C:\Programme\Image-Line 2008-05-06 18:01 . 2008-05-06 18:01 <DIR> d-------- C:\Nokia 2008-05-06 18:01 . 2008-05-06 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Seb\.Nokia 2008-05-06 17:54 . 2008-05-06 17:54 <DIR> d-------- C:\S60 2008-05-06 15:36 . 2008-05-06 15:36 <DIR> d-------- C:\Programme\Trend Micro 2008-05-05 15:35 . 2008-05-05 15:35 24,576 --a------ C:\WINDOWS\system32\OV2INSTX.DLL 2008-05-05 15:35 . 2005-10-19 12:33 3,375 --a------ C:\WINDOWS\ONBRV2CL.INI 2008-05-05 15:35 . 2002-02-12 04:57 765 --a------ C:\WINDOWS\ONFORMAT.INI 2008-05-05 15:35 . 2008-05-05 15:35 364 --a------ C:\WINDOWS\ONBLV2CL.INI 2008-05-05 15:35 . 2008-05-05 15:35 45 --a------ C:\WINDOWS\system32\ONBV2VER.INI 2008-05-05 15:28 . 2008-05-06 00:16 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-05-05 14:34 . 2008-05-05 14:34 <DIR> d-------- C:\Programme\Panasonic 2008-05-05 14:34 . 2006-02-27 11:45 36,864 --a------ C:\WINDOWS\system32\SDDEVMGR.dll 2008-05-05 14:25 . 2008-05-05 14:27 <DIR> d-------- C:\Programme\Microsoft ActiveSync 2008-05-05 14:25 . 2005-10-21 03:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys 2008-05-05 14:25 . 2005-10-21 03:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys 2008-05-04 19:49 . 2008-05-06 19:11 121 --a------ C:\WINDOWS\bdagent.INI 2008-05-04 18:32 . 2008-05-06 19:10 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-05-04 18:30 . 2008-05-04 18:30 <DIR> d-------- C:\Programme\BitDefender 2008-05-04 18:28 . 2008-05-04 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender 2008-05-03 12:57 . 2008-05-06 15:29 109,738 --a------ C:\WINDOWS\BM1fb7f55c.xml 2008-05-02 19:39 . 2008-05-02 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus 2008-05-02 19:23 . 2008-05-02 19:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Totem Shared 2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\num41.jbd 2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\info147.sys 2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\data4711.bak 2008-04-20 19:18 . 2008-04-28 21:29 <DIR> d-------- C:\My Downloads 2008-04-20 19:17 . 2008-05-04 19:04 <DIR> d-------- C:\Programme\BearShare 2008-04-19 20:10 . 1998-11-12 13:06 48,128 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2008-04-19 19:26 . 2008-05-03 14:37 <DIR> d-------- C:\Programme\Bubble Bobble Quest 2008-04-19 19:26 . 2000-07-08 15:06 87,040 --a------ C:\WINDOWS\UnGins.exe 2008-04-16 21:57 . 2008-04-16 21:57 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2008-04-16 21:57 . 2008-04-16 21:57 <DIR> d-------- C:\Programme\MSXML 6.0 2008-04-16 21:57 . 2008-02-01 15:17 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll 2008-04-16 21:56 . 2008-04-16 21:57 <DIR> d-------- C:\Programme\Nokia 2008-04-16 21:56 . 2008-04-16 21:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia 2008-04-16 21:56 . 2008-04-16 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-04-12 15:00 . 2008-04-12 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\My Games 2008-04-12 14:39 . 2008-04-12 14:39 <DIR> d-------- C:\Programme\Firaxis Games 2 Datei(en) . 2,590 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-06 20:49 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Vso 2008-05-06 20:09 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\foobar2000 2008-05-06 18:09 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\OpenOffice.org2 2008-05-06 16:01 --------- d--h--w C:\Programme\Zero G Registry 2008-05-05 12:34 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-04 21:23 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\ICQ 2008-05-04 17:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-05-04 16:28 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-05-03 13:00 --------- d-----w C:\Programme\Opera 2008-05-02 23:17 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Tobit 2008-05-02 18:35 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Azureus 2008-05-02 17:39 --------- d-----w C:\Programme\Azureus 2008-04-29 15:30 --------- d-----w C:\Programme\Gamers.IRC 2008-04-29 15:20 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Skype 2008-04-29 14:35 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\skypePM 2008-04-27 13:58 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\teamspeak2 2008-04-21 19:10 --------- d-----w C:\Programme\PokerStars 2008-04-20 17:17 --------- d-----w C:\Programme\Incomplete 2008-04-20 17:15 --------- d-----w C:\Programme\LimeWire 2008-04-20 17:15 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\LimeWire 2008-04-17 17:00 --------- d-----w C:\Programme\ICQ6 2008-04-05 12:16 461 ----a-w C:\Programme\Verknüpfung mit LimeWire.lnk 2008-03-31 06:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound 2008-03-31 06:08 26,112 ----a-w C:\WINDOWS\system32\drivers\nchssvad.sys 2008-03-31 06:08 --------- d-----w C:\Programme\NCH Swift Sound 2008-03-31 06:08 --------- d-----w C:\Programme\NCH Software 2008-03-31 06:08 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\NCH Swift Sound 2008-03-31 06:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software 2008-03-27 12:57 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-03-27 12:57 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-03-21 20:29 --------- d-----w C:\Programme\foobar2000 2008-03-20 21:36 --------- d-----w C:\Programme\Veoh Networks 2008-03-20 01:28 --------- d-----w C:\Programme\Teamspeak2_RC2 2008-03-17 02:15 --------- d-----w C:\Programme\AlienGUIse 2008-03-17 02:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock 2008-03-17 02:12 --------- d-----w C:\Programme\Google 2008-03-17 00:48 --------- d-----w C:\Programme\RocketDock 2008-03-15 16:21 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Styler 2008-03-14 16:46 --------- d-----w C:\Programme\PokerStars.NET 2008-03-08 17:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero 2008-03-08 17:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2008-03-08 17:29 --------- d-----w C:\Programme\7-Zip 2008-02-29 16:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-12-13 20:10 103720] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 13:50 1289000] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2006-08-17 19:13 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "C-Media Mixer"="Mixer.exe" [2002-07-12 10:33 1581056 C:\WINDOWS\mixer.exe] "NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 15:21 2213160] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqNEWNF] urqNEWNF.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] C:\Programme\AlienGUIse\fastload.dll 2001-12-21 00:34 24576 C:\Programme\AlienGUIse\fastload.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm "vidc.ffds"= C:\PROGRA~1\ffdshow\ffdshow.ax "vidc.yv12"= yv12vfw.dll "msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^hamachi.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\hamachi.lnk backup=C:\WINDOWS\pss\hamachi.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^WinFlip.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\WinFlip.lnk backup=C:\WINDOWS\pss\WinFlip.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^Yahoo! Widgets.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\Yahoo! Widgets.lnk backup=C:\WINDOWS\pss\Yahoo! Widgets.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1c84c6c0] C:\WINDOWS\system32\hgrodhvm.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2007-10-10 20:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] --a------ 2007-02-28 23:06 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange] --a------ 2007-09-29 04:58 26112 C:\WINDOWS\system32\Ati2mdxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] C:\Programme\BearShare\BearShare.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-12-13 20:10 103720 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1fb7f55c] C:\WINDOWS\system32\bjgstvmv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CatalystRegistration] --a------ 2007-07-27 12:04 274432 C:\Programme\ATI\CatalystRegistration\dolce.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray] C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-09-18 16:16 171464 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent] C:\Programme\DAEMON Tools Pro\DTProAgent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2006-11-13 13:50 1289000 C:\Programme\Microsoft ActiveSync\Wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-12-13 20:10 1688872 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 2006-08-25 12:11 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] --a------ 2006-08-25 12:11 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON] --a------ 2002-03-08 05:02 900096 C:\WINDOWS\system32\LXSUPMON.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2006-08-17 19:13 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-12-03 15:21 2213160 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services] --a------ 2006-02-13 18:33 214648 C:\Programme\Octoshape Streaming Services\Seb\OctoshapeClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray] C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2008-02-06 19:21 21898024 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 12:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] --a------ 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-12-25 18:25 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trickler] c:\programme\divx\divx pro codec\gain_trickler_3202.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-04-01 18:35 3587120 C:\Programme\Veoh Networks\Veoh\VeohClient.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 c2scsi;c2scsi;C:\WINDOWS\system32\drivers\c2scsi.sys [2006-03-04 14:00] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22] S3 zlportio;zlportio;D:\Programme\Microsoft Office\UltraStar\zlportio.sys [2001-09-22 10:16] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-04-25 16:10:17 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-04-10 21:27:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-07 15:31:44 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Programme\AlienGUIse\AlienwareDock\DockShellHookOEM.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\AlienGUIse\wbload.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-07 15:36:40 - machine was rebooted [Seb] ComboFix-quarantined-files.txt 2008-05-07 13:36:22 18 Verzeichnis(se), 6,586,408,960 Bytes frei 22 Verzeichnis(se), 6,799,810,560 Bytes frei 300 Geändert von fa1th1337 (07.05.2008 um 14:45 Uhr) |
![]() | #6 |
![]() | ![]() Großes Trojanerproblem Sorry für Doppelpost, aber Post war zu lang. HiJacklog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:42:33, on 07.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AlienGUIse\wbload.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\Mixer.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugCurrent.html O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugNext.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: urqNEWNF - urqNEWNF.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe -- End of file - 7886 bytes |
![]() | #7 | |
![]() | ![]() Großes TrojanerproblemZitat:
|
![]() | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Großes TrojanerproblemErgebnisse vollständig posten, auch wenn NIX gefunden wurde! Interessant sind nämlich dann die Prüfsummen!
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #9 | |
![]() | ![]() Großes TrojanerproblemZitat:
Erst einmal Danke für die Mühe die du dir bis jetzt schon gemacht hast. Hier ist der listing log: RapidShare: 1-Click Webhosting und hier der mbam log: Malwarebytes' Anti-Malware 1.12 Datenbank Version: 729 Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 244079 Scan Dauer: 58 minute(s), 15 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 3 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 3 Infizierte Datei Objekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\effunfvl.dll (Trojan.Vundo) -> Unloaded module successfully. C:\WINDOWS\system32\vtUnkjHA.dll (Trojan.Vundo) -> Unloaded module successfully. C:\WINDOWS\system32\urqNEWNF.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6640c70c-31ee-4755-a839-7f0531d4f2bb} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{6640c70c-31ee-4755-a839-7f0531d4f2bb} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqnewnf (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\1c84c6c0 (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM1fb7f55c (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtunkjha -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\effunfvl.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\lvfnuffe.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vtUnkjHA.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\AHjknUtv.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\AHjknUtv.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pnpefqpb.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\urqNEWNF.dll (Trojan.Vundo) -> Delete on reboot. EDIT:Hier die Virustotal Ergebnisse: ONFORMAT.INI File size: 765 bytes MD5...: 73dbb188735bb169ab6761ee04503c22 SHA1..: 6b300d27ee5cf3d31c0c1035040dfea2209ca986 SHA256: 46e02fea4dd805cd6048fb4c49e9786294bff11e5c49ef8305621608230c8420 SHA512: dad6fa9a0982707f3df90228c1d2d7aecf600b13326c914221cefba83291d526 a474ced67bc5b6b4838c8322bda0565a35188645a22a92c49da60f0489a4b204 PEiD..: - PEInfo: - ONBRV2CL.INI File size: 3375 bytes MD5...: 7f8994a45addbb7c20410967bf75f1f7 SHA1..: 5a24b437501e77f4a927cebd3bc577fce36b4b55 SHA256: 78a574f978ee05e09d44c4f095875e9fe81e5676e1103e381c391617777d19d7 SHA512: be0d91a07907623888e43f09f69d2dbd7543f2698b99ea8e8017943126eab61f fff1ba3330d5cc5857c2b47f34ccea9efdc2f169cf12ac6e6a58ff5aa1f04b5c PEiD..: - PEInfo: - ONBLV2CL.INI File size: 364 bytes MD5...: 357a65ef2b2aa6cb36b08d7c2802a046 SHA1..: afe72b5a6583f45d2a288f2799d052ae3f467849 SHA256: 563870d1bfee8cc4425faf16613edaeb05a818cecc8d09fc24597494b17d82b6 SHA512: de5521379fee86721ea6ba5a8044f3d691cca9ca940b46d1948b74726a20571c 3507f4b9652e7928ead6bbff47f8a4fed927e4554921c707cbefa9a76aecc66d PEiD..: - PEInfo: - ONBV2VER.INI File size: 45 bytes MD5...: fab4c45c47e4b870ffd841f0acf88535 SHA1..: 57d18a3f0880f5d36c710eb4902475cac22cdf65 SHA256: 79cd93c7dd882bc92106b9e709941249b674ce518b3c8387282b44b3a46f0b1f SHA512: 3b82a26cc31a10acd9405a5086a7cbff06a63017b4bc79f378cdb5a73b6a4328 d599d54b85e01af2725a6c4e7904216b30628f5b56217f47715ee57269cbde70 PEiD..: - PEInfo: - OV2INSTX.DLL File size: 24576 bytes MD5...: a2121933c225b982d99a1c59d771f4e2 SHA1..: ad0100f89442e49773553b934141c96d8bc1061c SHA256: 8bb4ad48c8c2de06bf38d6f82c3563cc1f4bf60644a9aec2ecf7aa1987a41001 SHA512: 3bc8bcfb25216224d02c1e1e64ce6b630204cc9a0df87484ea739b24899f7a4d 1733a3b9d1badbcdfb508ceab54e1962f68428e7e04eea92087f01b4418acb84 PEiD..: Armadillo v1.xx - v2.xx PEInfo: PE Structure information Die Dateien sollten zu OnBelay v2 gehören, denke ich mal, also sollte nichts böses sein. Geändert von fa1th1337 (08.05.2008 um 13:50 Uhr) |
![]() | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Großes TrojanerproblemZitat:
![]() Hast Du das listing vor oder nach Malwarebytes ausgeführt?
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #11 |
![]() | ![]() Großes Trojanerproblem Bin mir grad unsicher, deswegen hab ich es grad nochmal gemacht: http://rapidshare.com/files/113447267/listing.txt.html |
![]() |
Themen zu Großes Trojanerproblem |
.dll, bonjour, computer, ctfmon.exe, defender, desktop, externe festplatte, festplatte, firefox, fps einbrüche, frage, helper, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaputt, langsam, mozilla, mozilla firefox, nicht möglich, pc läuft, plug-in, prozesse, rundll, seiten, software, studio, virus, windows, windows xp, öffnet |