Neuer Trojaner????

publizistnrw · 02.06.2008, 11:59

hallo, ich machs kurz: brauche natürlich (wie allen anderen armen schweine, die kein plan haben) drigend hilfe! Hab mir wohl gestern was gefangfen:

C:\WINDOWS\system32\awtrSikl.ll

ist Trojaner

TR/Dldr.ConHook.aku

Antivir findet ihn zwar, löscht ihn aber nicht!!!

was jetzt? rechner platt machen??

hier das logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:50, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h30155.www3.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{96F0A921-B398-4F5D-82E1-3BF4B82293E8}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4233 bytes

Hoffe, von Euch da draussen zu hören

markusg · 03.06.2008, 07:13

hallo,
bitte verzichte zunächst einmal auf alle onlinegeschäfte wie banking und auf unnötige aktivitäten im netz
Combofix
anleitung lesen log postgen+frisches HijackThis log

publizistnrw · 03.06.2008, 11:32

danke für deine antwort, habe alles gemacht, wie du gesagt hast. hier das log von combofix, unten dran das von hijackthis.

ComboFix 08-06-01.6 - Presseheini 2008-06-03 12:00:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.531 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Presseheini\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Presseheini\Anwendungsdaten\AntispywareBot
C:\Dokumente und Einstellungen\Presseheini\Anwendungsdaten\AntispywareBot\Log\2008 Jun 02 - 01_25_21 PM_040.log
C:\Dokumente und Einstellungen\Presseheini\Anwendungsdaten\AntispywareBot\Log\2008 Jun 02 - 01_25_58 PM_384.log
C:\Dokumente und Einstellungen\Presseheini\Anwendungsdaten\AntispywareBot\rs.dat
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\AIRXyyay.ini
C:\WINDOWS\system32\AIRXyyay.ini2
C:\WINDOWS\system32\awtrSlkL.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\yayyXRIA.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-03 bis 2008-06-03 ))))))))))))))))))))))))))))))
.

2008-06-02 16:37 . 2008-06-02 17:05 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-02 15:08 . 2008-06-02 15:08 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-02 15:08 . 2008-06-02 15:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-02 13:14 . 2008-06-02 13:14 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-02 00:51 . 2008-06-02 00:51 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-06-02 00:51 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-06-02 00:25 . 2008-06-02 03:39 1,828 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-01 23:47 . 2008-06-01 23:47 <DIR> d-------- C:\Programme\Trend Micro
2008-06-01 23:06 . 2008-06-01 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-31 15:48 . 2008-05-31 10:29 94,208 --a------ C:\WINDOWS\emop.exe
2008-05-10 11:08 . 2008-05-10 11:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-10 11:07 . 2008-06-02 00:52 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-10 11:06 . 2008-06-03 10:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 08:42 --------- d-----w C:\Programme\Lavasoft
2008-06-02 16:01 --------- d-----w C:\Dokumente und Einstellungen\Presseheini\Anwendungsdaten\Azureus
2008-05-22 11:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-05-09 10:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-01 07:01 --------- d-----w C:\Programme\Azureus
2008-04-29 11:06 --------- d-----w C:\Programme\Ascentive
2008-04-27 09:42 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-27 09:42 --------- d-----w C:\Dokumente und Einstellungen\Presseheini\Anwendungsdaten\InstallShield
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-12 12:13 208,896 ----a-w C:\WINDOWS\system32\ConTest.dll
2008-01-15 03:13 17,840 ----a-w C:\Dokumente und Einstellungen\Presseheini\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2002-12-31 12:00 94,800 --sh--w C:\WINDOWS\twain.dll
2002-12-31 12:00 50,688 --sh--w C:\WINDOWS\twain_32.dll
2007-11-26 10:29 12,518 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2002-12-31 12:00 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll
2002-12-31 12:00 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2002-12-31 12:00 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll
2002-12-31 12:00 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll
2007-05-17 11:28 549,376 --sh--w C:\WINDOWS\system32\oleaut32.dll
2002-12-31 12:00 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll
2002-12-31 12:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-08 23:20 68856]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2003-07-13 02:49 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 16:33 262401]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 02:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.ffds"= ffdshow.ax
"vidc.yv12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-12-31 14:00]
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 01:38]
R3 glauiad;USB IAD LAN Modem;C:\WINDOWS\system32\DRIVERS\glauiad.sys [2003-03-07 09:07]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 05:50]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-02 00:51]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 05:50]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-03 10:07:37 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 12:08:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-03 12:11:47 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-03 10:11:38

11 Verzeichnis(se), 12,433,592,320 Bytes frei
13 Verzeichnis(se), 12,403,101,696 Bytes frei

124 --- E O F --- 2008-05-15 20:15:03

und hier das aktuelle hijack-log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

raman · 03.06.2008, 11:36

Koenntest du die Datei C:\WINDOWS\emop.exe bitte einmal bei Virustotal.com pruefen lassen und den ganzen Report hier posten?

publizistnrw · 03.06.2008, 14:40

da scheint nichts drin zu sein....:

0 bytes size received / Se ha recibido un archivo vacio

raman · 03.06.2008, 15:09

Die Datei hat eine groesse von ca 95 KB. Benenne sie einfach um oder kopiere sie in einen anderen Ordner, starte neu pruefe die umbenannte oder die Kopie bei Virustotal

markusg · 04.06.2008, 06:23

hi, poste mal bitte ein neues combofix log

03.06.2008, 07:13	#2
markusg /// Malware-holic	Neuer Trojaner???? hallo, bitte verzichte zunächst einmal auf alle onlinegeschäfte wie banking und auf unnötige aktivitäten im netz Combofix anleitung lesen log postgen+frisches HijackThis log __________________

04.06.2008, 06:23	#7
markusg /// Malware-holic	Neuer Trojaner???? hi, poste mal bitte ein neues combofix log

Neuer Trojaner????

Plagegeister aller Art und deren Bekämpfung: Neuer Trojaner????

Neuer Trojaner????

Neuer Trojaner????

Neuer Trojaner????

Neuer Trojaner????

Neuer Trojaner????

Neuer Trojaner????

Neuer Trojaner????

Ähnliche Themen: Neuer Trojaner????

03.06.2008, 11:36	#4
raman	Neuer Trojaner???? Koenntest du die Datei C:\WINDOWS\emop.exe bitte einmal bei Virustotal.com pruefen lassen und den ganzen Report hier posten? __________________ MfG Ralf

03.06.2008, 14:40	#5
publizistnrw	Neuer Trojaner???? da scheint nichts drin zu sein....: 0 bytes size received / Se ha recibido un archivo vacio

03.06.2008, 15:09	#6
raman	Neuer Trojaner???? Die Datei hat eine groesse von ca 95 KB. Benenne sie einfach um oder kopiere sie in einen anderen Ordner, starte neu pruefe die umbenannte oder die Kopie bei Virustotal __________________ --> Neuer Trojaner????