Zlob.Trojan nach x Versuchen und x Tools immernoch da

trojan-death · 20.06.2008, 12:44

Bitte wende wenn noch nicht gemacht ComboFix und zum Schluss Malwarebytes an und poste beide Logs und dann nochmals ein neues HijackThis Logfile (bitte editiere Links in deinen Logfiles, danke)

Irinka88 · 20.06.2008, 12:44

ComboFix 08-06-19.2 - *** 2008-06-20 13:13:57.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.140 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\l***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
The following files were disabled during the run:
C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Anna\Startmenü\Programme\IE AntiVirus 3.3.lnk
C:\WINDOWS\system32\byXPFVOH.dll
C:\WINDOWS\system32\cbXQjghH.dll
C:\WINDOWS\system32\HOVFPXyb.ini
C:\WINDOWS\system32\HOVFPXyb.ini2
C:\WINDOWS\system32\lfqnofdx.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\winwim32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-20 bis 2008-06-20 ))))))))))))))))))))))))))))))
.

2008-06-20 12:18 . 2008-06-20 12:24 2,132 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-20 11:08 . 2008-06-20 12:20 <DIR> d-------- C:\VIRUSfighter
2008-06-20 10:29 . 2008-06-20 10:29 79,360 --a------ C:\WINDOWS\system32\xdfonqfl.dll
2008-06-20 10:27 . 2008-06-20 11:12 <DIR> d-------- C:\Programme\XoftSpySE
2008-06-19 15:44 . 2008-06-19 16:07 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-11 14:47 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 14:47 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-05 13:05 . 2008-06-05 13:05 <DIR> d--h----- C:\WINDOWS\PIF
2008-06-03 13:00 . 2008-06-03 13:00 <DIR> d---s---- C:\Dokumente und Einstellungen\Irina\UserData
2008-06-03 11:06 . 2008-06-03 11:06 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-05-30 16:54 . 2008-05-30 16:54 <DIR> d---s---- C:\Dokumente und Einstellungen\Anna\UserData
2008-05-21 13:27 . 2008-06-03 12:59 <DIR> d-------- C:\Dokumente und Einstellungen\Irina\Anwendungsdaten\Image Zone Express

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 11:22 12,628,000 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-20 11:18 2,311,566 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-20 11:17 152,120 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-20 09:12 --------- d-----w C:\Programme\Enigma Software Group
2008-06-20 09:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-20 09:07 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-19 12:52 --------- d-----w C:\Dokumente und Einstellungen\Henkel\Anwendungsdaten\uTorrent
2008-06-10 15:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-05 11:06 --------- d-----w C:\Dokumente und Einstellungen\Irina\Anwendungsdaten\Ahead
2008-06-03 08:54 --------- d-----w C:\Programme\VirtualNetwork
2008-05-28 17:08 --------- d-----w C:\Programme\ICQLite
2008-05-27 15:21 1,579,520 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-05-27 14:11 1,579,008 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-05-24 16:14 1,572,864 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-05-17 14:24 --------- d-----w C:\Programme\uTorrent
2008-05-14 13:41 1,544,192 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-05-11 16:01 --------- d-----w C:\Programme\Rockstar Games
2008-05-11 10:03 --------- d-----w C:\Programme\BitAccelerator
2008-05-10 18:25 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-05-08 16:34 --------- d-----w C:\Dokumente und Einstellungen\Henkel\Anwendungsdaten\ICQLite
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-06 15:09 --------- d-----w C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\Ahead
2008-05-04 12:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-01 12:41 --------- d-----w C:\Programme\Act-3D
2008-04-30 13:59 1,462,784 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-04-30 09:01 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-04-27 17:00 --------- d-----w C:\Dokumente und Einstellungen\Henkel\Anwendungsdaten\Ahead
2008-04-27 12:56 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-26 10:34 1,395,712 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-04-25 06:21 --------- d-----w C:\Programme\BitSpirit
2008-04-25 06:15 --------- d-----w C:\Dokumente und Einstellungen\Henkel\Anwendungsdaten\BitSpirit
2008-04-25 05:53 --------- d-----w C:\Dokumente und Einstellungen\Henkel\Anwendungsdaten\ATI
2008-04-24 16:29 --------- d-----w C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\ICQLite
2008-04-24 14:39 --------- d-----w C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\ATI
2008-04-24 13:37 --------- d-----w C:\Programme\QIP
2008-04-24 13:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-24 13:06 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-04-24 12:59 --------- d-----w C:\Programme\Zone Labs
2008-04-24 12:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-04-24 12:44 --------- d-----w C:\Programme\Microsoft.NET
2008-04-24 12:44 --------- d-----w C:\Programme\Microsoft Works
2008-04-24 12:33 --------- d-----w C:\Programme\HP
2008-04-24 12:33 --------- d-----w C:\Programme\Hewlett-Packard
2008-04-24 12:33 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-04-24 12:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-04-24 12:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-04-24 12:21 --------- d-----w C:\Programme\Nero
2008-04-24 12:09 --------- d-----w C:\Programme\Avira
2008-04-24 12:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-24 12:03 --------- d-----w C:\Dokumente und Einstellungen\Irina\Anwendungsdaten\ATI
2008-04-24 12:01 --------- d-----w C:\Programme\ATI Technologies
2008-04-24 11:29 --------- d-----w C:\Programme\microsoft frontpage
2008-04-24 11:28 --------- d-----w C:\Programme\Java
2008-04-24 11:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-24 11:25 --------- d-----w C:\Programme\Online-Dienste
2008-04-24 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-02 19:08 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-02 19:08 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2008-04-02 19:08 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-02 19:08 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-04-02 19:07 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28F51CDA-3BD1-4F06-8F7B-2A881411983F}]
C:\WINDOWS\system32\idef.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C517674-DE1C-4493-977C-34A1BFAB35BA}]
2008-06-03 08:27 187392 --a------ C:\Programme\VirtualNetwork\VirtualNetwork.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 13:32 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2008-04-24 13:28 36972]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 17:42 90112 C:\WINDOWS\SOUNDMAN.EXE]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"b8f5830a"="C:\WINDOWS\system32\xdfonqfl.dll" [2008-06-20 10:29 79360]
"SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-01-23 15:47 847872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-09-13 15:49 49152 C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\PROGRA~1\MESSEN~1\Msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norman ZANDA]
--a------ 2005-05-25 13:11 135168 C:\VIRUSfighter\bin\ZLH.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
--a------ 2008-01-23 15:47 847872 C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 10:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 13:20:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\xdfonqfl.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\VIRUSfighter\Bin\Zanda.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\rundll32.exe
C:\VIRUSfighter\Bin\Njeeves.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-20 13:26:27 - machine was rebooted [Henkel]
ComboFix-quarantined-files.txt 2008-06-20 11:26:20

10 Verzeichnis(se), 33,363,804,160 Bytes frei
14 Verzeichnis(se), 34,726,506,496 Bytes frei

190 --- E O F --- 2008-06-11 14:01:00

Malwarebytes läuft noch, kommt gleich nach... hat aber schon 5 infizierungen gefunden...

trojan-death · 20.06.2008, 12:45

Sehr gut

Werde das ComboFix gleich anschauen

trojan-death · 20.06.2008, 12:53

Bitte folgende Dateien bei VirusTotal hochladen und alle Erbegnisse posten

:

C:\WINDOWS\system32\xdfonqfl.dll

Bitte deinstalliere auch SpyHunter und all dieses unnützliche Zeug:aplaus:

Nach Malwarebytes bitte neues HijackThis Logfile, danke

Irinka88 · 20.06.2008, 12:57

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.19.0 2008.06.20 -
AntiVir 7.8.0.59 2008.06.20 -
Authentium 5.1.0.4 2008.06.20 -
Avast 4.8.1195.0 2008.06.19 -
AVG 7.5.0.516 2008.06.19 -
BitDefender 7.2 2008.06.20 -
CAT-QuickHeal 9.50 2008.06.19 -
ClamAV 0.93.1 2008.06.20 -
DrWeb 4.44.0.09170 2008.06.20 -
eSafe 7.0.15.0 2008.06.19 -
eTrust-Vet 31.6.5890 2008.06.20 -
Ewido 4.0 2008.06.20 -
F-Prot 4.4.4.56 2008.06.19 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.20 -
GData 2.0.7306.1023 2008.06.20 -
Ikarus T3.1.1.26.0 2008.06.20 Trojan.Win32.Vundo.M
Kaspersky 7.0.0.125 2008.06.20 -
McAfee 5321 2008.06.19 -
Microsoft 1.3604 2008.06.20 Trojan:Win32/Vundo.gen!M
NOD32v2 3202 2008.06.20 -
Norman 5.80.02 2008.06.19 -
Panda 9.0.0.4 2008.06.19 -
Prevx1 V2 2008.06.20 Fraudulent Security Program
Rising 20.49.42.00 2008.06.20 -
Sophos 4.30.0 2008.06.20 Troj/Virtum-Gen
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.20 -
TheHacker 6.2.92.355 2008.06.19 -
TrendMicro 8.700.0.1004 2008.06.20 -
VBA32 3.12.6.7 2008.06.19 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.20 -
weitere Informationen
File size: 79360 bytes
MD5...: 208331833b800d5dac5b9bd0e93a8f5a
SHA1..: 2278a1b81573d4486adf02313c827d5676216751
SHA256: da937c78ea9eced2104732c455f47d571db17c3743d31456f5de0d0c128b0d25
SHA512: 1e5cc55a2c42ba4e466d09c0679f9db71098b27560ca6a5bb12bf6957e61c8f1
1537c4ad55c1f18ac42a45f983e9eab10297d48ef9e1dd6e4847eb9677376d47
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100277ec
timedatestamp.....: 0x485a67cb (Thu Jun 19 14:06:03 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x1000 0x26000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x27000 0xf24 0x1000 6.29 c3dfa4a2174314d9dd130d507948f705
.rdata 0x28000 0x12000 0x11c00 8.00 4674c5cff602c1cd0a0b9f34b2412d0d
.idata 0x3a000 0x1000 0x200 2.43 556a34be3a541e7e26563d5718154ecd
.reloc 0x3b000 0x1000 0x400 0.90 f569d03163731ce442725b01e7304fc7

( 1 imports )
> kernel32.dll: lstrcmpA, ReleaseMutex, GetModuleHandleW, GetModuleHandleA, SetEnvironmentVariableW, CancelWaitableTimer, CreateWaitableTimerW, LocalLock

( 0 exports )
Prevx info: AUATXGSQ.DLL - Prevx

Malwarebytes is immernoch nich ganz durch... aber gleich hab ichs

Irinka88 · 20.06.2008, 13:21

mein Antivir meldet mir mit beendung vom malwarebytes, ich hätte in der datei die ich schon bei virustotal suchen sollte, ein trojanisches pferd mit namen TR/Trash.Gen...

so, jetzt neugestartet, und hier is die LOG:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 871

14:12:16 20.06.2008
mbam-log-6-20-2008 (14-12-16).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 80426
Scan Dauer: 30 minute(s), 49 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\xdfonqfl.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b8f5830a (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\BitAccelerator (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\xdfonqfl.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\lfqnofdx.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Irina\Desktop\[downloads]\qip8050.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\QIP\unqip.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\cbXQjghH.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{785FC245-ECE6-49D7-AF23-0462E9FF377C}\RP110\A0029413.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\BitAccelerator\BitAccelerator.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Programme\BitAccelerator\BitAccelerator.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Programme\BitAccelerator\Uninstall.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Irinka88 · 20.06.2008, 13:23

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:22:21, on 20.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\VIRUSfighter\Bin\Zanda.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\VIRUSfighter\bin\NJEEVES.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis(2).exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hp://go.microsoft.com/fwlink/?LinkId=69157[/url] MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hp://go.microsoft.com/fwlink/?LinkId=54896[/url] Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hp://go.microsoft.com/fwlink/?LinkId=54896[/url] Live Search[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BhoApp Class - {28F51CDA-3BD1-4F06-8F7B-2A881411983F} - C:\WINDOWS\system32\idef.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - C:\Programme\VirtualNetwork\VirtualNetwork.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6CE31B8D-8340-4DBD-B78E-BF59620924DC} (Quest3DCtlr2 Class) - http://www.quest3d.com/webplugin/dow...3dactivex2.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5466 bytes

trojan-death · 20.06.2008, 13:36

Meldet er dir diese Datei??

C:\WINDOWS\SYSTEM32\winwim32.dll
Wenn nicht, welche dann? Ganzer Pfad bitte

Bitte mit HijackThis folgende Einträge fixen:

O2 - BHO: BhoApp Class - {28F51CDA-3BD1-4F06-8F7B-2A881411983F} - C:\WINDOWS\system32\idef.dll (file missing)
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - C:\Programme\VirtualNetwork\VirtualNetwork.dll
O16 - DPF: {6CE31B8D-8340-4DBD-B78E-BF59620924DC} (Quest3DCtlr2 Class) - Welcome! - Quest3D

Kennst du die Website vom letzen Eintrag den du fixen solltest? Wenn ja musst du ihn nicht fixen...

Bitte lade dir The Avenger

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Nun gibst du im weissen Feld folgenden Text ein:

Zitat:

folders to delete:
C:\Programme\VirtualNetwork

4.) Danach das System unverzüglich neu starten lassen
3.) Erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Irinka88 · 20.06.2008, 13:40

C:\WINDOWS\system32\xdfonqfl.dll

diese Datei war laut Antivir infiziert, aber ich glaube das wissen wir ja schon ^^

so, und jetzt nich umbringen

, was ist genau gemeint mit fixen? wie stell ich das denn an? ^^ bzw. wo hab ich das schon mal gemacht? oder mach ich das jetzt mit diesem avenger?

trojan-death · 20.06.2008, 13:44

Zitat:

Zitat von Irinka88

C:\WINDOWS\system32\xdfonqfl.dll

diese Datei war laut Antivir infiziert, aber ich glaube das wissen wir ja schon ^^

Wie du im Logfile von Malwarebytes bei infizierten Dateien an erster Stelle erkennen kannst, sollte die Datei beim rebooten gelöscht worden sein...

Zitat:

Zitat von Irinka88

so, und jetzt nich umbringen

, was ist genau gemeint mit fixen? wie stell ich das denn an? ^^ bzw. wo hab ich das schon mal gemacht? oder mach ich das jetzt mit diesem avenger?

Nein nei, kein Problem:aplaus:
fixen tust du mit HijackThis gehe auf den Link und dort wirst du sehen wie das geht

Avenger hast ja na Anleitung oder ist sonst noch was nicht klar??

irrlicht · 20.06.2008, 13:46

Zu all den geposteten Programmen gibt es ausführliche Anleitungen zu ihrer Benutzung.
So langsam wird es Zeit das du mit lesen und umsetzen dieser Anleitungen beginnst,liebste Irinka88....

Irrlicht

trojan-death · 20.06.2008, 13:49

Zitat:

Zitat von irrlicht

Zu all den geposteten Programmen gibt es ausführliche Anleitungen zu ihrer Benutzung.
So langsam wird es Zeit das du mit lesen und umsetzen dieser Anleitungen beginnst,liebste Irinka88....

Irrlicht

Dankeschön

Du hast das ausgesprochen was ich gedacht habe
Bitte hör sofort damit auf meine Gedanken zu lesen

Irinka88 · 20.06.2008, 14:00

Ich lese auch keine Betriebsanleitungen - entweder man versteht sie nicht, oder sie verwirren einen zusätzlich oder beides zusammen... :P pffff :P

so, avenger.txt

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\VirtualNetwork" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:44, on 20.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\VIRUSfighter\Bin\Zanda.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\VIRUSfighter\bin\NJEEVES.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis(2).exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5096 bytes

trojan-death · 20.06.2008, 14:06

So ich glaube das sollte es gewesen sein

Bitte versuche nochmals diese Datei zu finden:
C:\WINDOWS\system32\xdfonqfl.dll

Hast du noch irgendwelche Probleme oder Meldungen von angeblichen Viren oder so???

Irinka88 · 20.06.2008, 14:10

ne, findet er nicht...

das heißt mein rechner ist wieder gesund? (oder darf ich das auch nicht fragen, weil es irgendwo ne anleitung gibt? :-P)

Dann vielen herzlichen Dank für deine Zeit

Danke danke

Zlob.Trojan nach x Versuchen und x Tools immernoch da

Plagegeister aller Art und deren Bekämpfung: Zlob.Trojan nach x Versuchen und x Tools immernoch da