| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner/Viren etc -- W32/Autorun-H + anderes ZeugsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.06.2008, 23:32
| #1 |
| /// Helfer-Team   |  Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo Leute, eine Freundin von mir hat folgendes Problem: Während der PC-Sitzung werden zufällig (aber selten) Pup-Ups geöffnet. Außerdem wurden schon folgende schädliche Programme (Dropper/Dailer) gefunden: -Dial/144856.a.2 (C/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/icd3.tmp/laLdr32.exe -TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a0028020.exe -TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a27058.exe -TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp68/a0025458.exe Diese wurden von Anti-Vir unter Quarantäne gesetzt... Hier das Hijack-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:34:41, on 24.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\AOL 9.0 VRa\waol.exe C:\dokumente und einstellungen\lisa ranold\lokale einstellungen\anwendungsdaten\ccgcu.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\AOL 9.0 VRa\shellmon.exe C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe C:\Programme\Hijackthis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\***\anwendungsdaten\setup_de[1].exe" O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ccgcu] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe ccgcu O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [ccgcu] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe ccgcu (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208781684 O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game07.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 10659 bytes Code:
ATTFilter C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe
C:\WINDOWS\Knight.exe
c:\dokumente und einstellungen\***\anwendungsdaten\setup_de[1].exe
C:\WINDOWS\system32\nsinet.exe
Bei der Knight.exe hab ich folgendes gefunden: http://www.sophos.com/security/analy...2autorunh.html ------------------Fund von VirusTotal----------------------- Datei ccgcu.exe empfangen 2008.06.24 23:47:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/33 (6.07%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.24.0 2008.06.24 - AntiVir 7.8.0.59 2008.06.24 - Authentium 5.1.0.4 2008.06.24 - Avast 4.8.1195.0 2008.06.24 - AVG 7.5.0.516 2008.06.24 - BitDefender 7.2 2008.06.24 - CAT-QuickHeal 9.50 2008.06.23 - ClamAV 0.93.1 2008.06.24 - DrWeb 4.44.0.09170 2008.06.24 - eSafe 7.0.17.0 2008.06.24 - eTrust-Vet 31.6.5900 2008.06.24 - Ewido 4.0 2008.06.24 - F-Prot 4.4.4.56 2008.06.24 - F-Secure 7.60.13501.0 2008.06.24 - Fortinet 3.14.0.0 2008.06.24 - GData 2.0.7306.1023 2008.06.24 - Ikarus T3.1.1.26.0 2008.06.24 Trojan.Win32.Skintrim.B Kaspersky 7.0.0.125 2008.06.24 - McAfee 5324 2008.06.24 - Microsoft 1.3604 2008.06.24 Trojan:Win32/Skintrim.B NOD32v2 3215 2008.06.24 - Norman 5.80.02 2008.06.24 - Panda 9.0.0.4 2008.06.24 - Prevx1 V2 2008.06.24 - Rising 20.50.10.00 2008.06.24 - Sophos 4.30.0 2008.06.24 - Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.24 - TheHacker 6.2.92.360 2008.06.24 - TrendMicro 8.700.0.1004 2008.06.24 - VBA32 3.12.6.8 2008.06.23 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.24 - weitere Informationen File size: 360448 bytes MD5...: 2da5927c966a3ca76c23a3a9c0cb5df7 SHA1..: 39b92fea680718ce15935f48307d129b62e60c77 SHA256: c28eeee4a5400b9fa042f1cab2be99405df3325a4b3ed256faa62fdf4b2c0180 SHA512: 5ca415fdda6a906d174c0ebd5d189939cf6330d8c2c98c01691daec56af0a965 348152ed5f629ed25967658490dc092d18a76c8d7c39ffe2f2e129d0ffae199f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40126e timedatestamp.....: 0x410b2ed9 (Sat Jul 31 05:32:09 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x529bb 0x53000 6.99 7f94cc8f26d96309479307a5381df947 .rdata 0x54000 0xed0 0x1000 5.16 b5a148d2667a2e97e724ea8c15e5a239 .data 0x55000 0x245c 0x3000 3.44 a649b81d7f8f43442852b51bff104168 ( 11 imports ) > KERNEL32.dll: GetCommState, GetThreadContext, lstrcmpiA, IsDBCSLeadByteEx, GetDiskFreeSpaceW, EnumCalendarInfoW, VirtualQuery, FlushFileBuffers, ExpandEnvironmentStringsW, AreFileApisANSI, GlobalReAlloc, VirtualProtect, ExitProcess, GetVersionExA, GetCommandLineA, MultiByteToWideChar, ExitThread, MoveFileExA, LocalFileTimeToFileTime, GetTapeStatus, SetCommMask, GetPrivateProfileSectionW, ReadFileScatter, ReadConsoleA, CreateDirectoryExA, SetProcessShutdownParameters, FindResourceExA, GetAtomNameA, LoadLibraryExW, CreateWaitableTimerA, GlobalGetAtomNameW, _lopen, GetDateFormatA > USER32.dll: EmptyClipboard, SendMessageW, DrawTextExW, GetWindow, CharNextExA, ShowWindowAsync, ClientToScreen, MonitorFromRect, GetWindowRect, LoadBitmapW, TileWindows, AdjustWindowRect, SetScrollRange, CharUpperBuffW, CopyAcceleratorTableA, CascadeWindows, CloseClipboard, DestroyCursor > GDI32.dll: GetRgnBox, GetTextColor, FillRgn, CreateDIBPatternBrush, SetGraphicsMode, CreatePalette, MaskBlt, CreateEllipticRgn, SwapBuffers, StrokePath, EnumEnhMetaFile, RemoveFontResourceW, GetOutlineTextMetricsA, Ellipse, OffsetClipRgn, DescribePixelFormat, GetStretchBltMode > comdlg32.dll: ChooseColorW, ReplaceTextA, PrintDlgW, ChooseColorA > ADVAPI32.dll: DestroyPrivateObjectSecurity, CryptSignHashW, IsValidAcl, RegOpenKeyExA, InitializeSid, GetExplicitEntriesFromAclW, GetLengthSid, AbortSystemShutdownW, RegEnumValueA, RegisterServiceCtrlHandlerA, ChangeServiceConfigW, SetSecurityDescriptorGroup, RegQueryInfoKeyA, CryptAcquireContextA, RegSetValueExW, LookupPrivilegeValueW, NotifyBootConfigStatus, RegCreateKeyExW, LookupPrivilegeDisplayNameA, CryptReleaseContext, RegDeleteKeyA, EqualSid, LookupAccountSidA, CloseEventLog, AccessCheckAndAuditAlarmW, CryptDestroyHash, RegReplaceKeyW, RegEnumValueW, CopySid, GetAclInformation, MakeAbsoluteSD, RegQueryInfoKeyW > SHELL32.dll: FindExecutableW, SHAddToRecentDocs > ole32.dll: CoReleaseServerProcess, CoTaskMemRealloc, CoFreeAllLibraries, ReadFmtUserTypeStg > OLEAUT32.dll: -, -, -, - > COMCTL32.dll: CreateToolbarEx, ImageList_Remove, ImageList_ReplaceIcon, ImageList_GetIconSize > SHLWAPI.dll: PathRemoveFileSpecW, StrCpyW, StrFormatByteSizeA, SHRegGetUSValueW, PathStripToRootW, PathCommonPrefixW > SETUPAPI.dll: SetupDiClassGuidsFromNameW, SetupDiEnumDeviceInfo ( 0 exports ) ----------------------------------------------------------------------- Ich hoffe, dass ihr mir weiterhelfen könnt... Gruß Handball10 |
|
25.06.2008, 07:53
| #2 | |
  |  Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo
__________________mach zuerst bitte alle versteckten Dateien und Ordner sichtbar. Lade diese Datei Zitat:
Deaktiviere bitte vorübergehend den Hintergrundwächter (Guard) deines Antivirenprogramms. Dann lade dir bitte Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Das ist ein Fehlalarm und kann ignoriert werden. Lade dir auch Malwarebytes und lass alles löschen was gefunden wird, poste anschließend die Logs. MFG
__________________ |
|
25.06.2008, 08:25
| #3 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo Nochdigger,
__________________das mit dem Versteckte Dateien und Ordner sichbar machen hatten wir auch schon gemacht. Jedoch waren die besagten Dateien immer noch nicht zu sehen, und wenn man den Pfad der Datei bei VirusTotal eingab kam immer "0 bytes size received / Se ha recibido un archivo vacio"  Navi-Log und MalwareBytes-Log häng ich noch an den Post dran. Gruß Handball10 |
|
26.06.2008, 10:37
| #4 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs So, da bin ich wieder (hat ein Bisschen gedauert...) Hier ist schonmal das Navi-Log: Code:
ATTFilter Search Navipromo version 3.5.9 began on 26.06.2008 at 11:03:18,17
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "***"
Updated on 24.06.2008 at 18h00 by IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS
Search done in normal mode
*** Searching for installed Software ***
Instant Access
Favorit
*** Search folders in "C:\WINDOWS" ***
*** Search folders in "C:\Programme" ***
C:\Programme\Instant Access found !
*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" ***
*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net
No file found
*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in "C:\WINDOWS\system32" *
* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *
Files found :
ccgcu.exe found !
ccgcu.dat found !
ccgcu_nav.dat found !
ccgcu_navps.dat found !
Suspicious Files :
khsgupj.exe found !
* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" *
*** Search files ***
C:\WINDOWS\Downloaded Program Files\IaLdr32.inf found !
C:\WINDOWS\system32\nvs2.inf found !
*** Search specific Registry keys ***
HKEY_CURRENT_USER\Software\Lanconfig found !
*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :
2)Heuristic Search :
* In "C:\WINDOWS\system32" :
* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :
ccgcu.dat found !
ccgcu_nav.dat found !
ccgcu_navps.dat found !
* In "C:\DOKUME~1\***\lokale~1\anwend~1" :
* In "C:\DOKUME~1\***\lokale~1\anwend~1" :
* In "C:\DOKUME~1\***\lokale~1\anwend~1" :
3)Certificates Search :
Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !
4)Search known files :
*** Search completed on 26.06.2008 at 11:31:40,90 ***
Gruß Handball10 Geändert von handball10 (26.06.2008 um 11:29 Uhr) |
|
26.06.2008, 12:50
| #5 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs |
|
26.06.2008, 15:31
| #6 |
| | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo deaktiviere bitte die Systemwiederherstellung navilog bitte erneut laufen lassen diesesmal aber bitte die Option 2 wählen (bereinigen).
Starte bitte auch Malwarebytes erneut und lass alles gefundene löschen  Anschließend führe ein Update deines Antivir aus und starte in den abgesicherten Modus (beim start F8 drücken) dort bitte einen Fullscan durchführen und im normalen Modus dann hinterher das Logfile posten. Schauen wir mal was übrigbleibt... MFG
__________________ --> Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs |
|
26.06.2008, 21:49
| #7 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs So, hier ist das Navifix-Log: Code:
ATTFilter Navipromo Removal version 3.5.9 started on 26.06.2008 at 22:32:30,32
Fix running from C:\Programme\navilog1
Actual User Account : "***"
Updated on 24.06.2008 at 18h00 by IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Filesystem type : NTFS
Automatic removal
with Catchme and GNS results
Cleanning stage done on Reboot
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
*** Deleting with Backups GenericNaviSearch results ***
* Deletion in "C:\WINDOWS\System32" *
* Deletion in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *
ccgcu.exe found !
Copy ccgcu.exe done !
ccgcu.exe deleted !
ccgcu.dat found !
Copy ccgcu.dat done !
ccgcu.dat deleted !
ccgcu_nav.dat found !
Copy ccgcu_nav.dat done !
ccgcu_nav.dat deleted !
ccgcu_navps.dat found !
Copy ccgcu_navps.dat done !
ccgcu_navps.dat deleted !
* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" *
* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" *
* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" *
*** Deleting folders in "C:\WINDOWS" ***
*** Deleting folders in "C:\Programme" ***
C:\Programme\Instant Access ...deleting...
C:\Programme\Instant Access deleted !
*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\***\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\***\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\***\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***
*** Deleting folders in "C:\DOKUME~1\***\startm~1\progra~1" ***
*** Deleting folders in "C:\DOKUME~1\***\startm~1\progra~1" ***
*** Deleting folders in "C:\DOKUME~1\***\startm~1\progra~1" ***
*** Deleting files ***
C:\WINDOWS\Downloaded Program Files\IaLdr32.inf deleted !
C:\WINDOWS\system32\nvs2.inf deleted !
*** Deleting temporary files ***
Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\***\lokale~1\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :
* In "C:\WINDOWS\system32" *
* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *
* In "C:\DOKUME~1\***\lokale~1\anwend~1" *
* In "C:\DOKUME~1\***\lokale~1\anwend~1" *
* In "C:\DOKUME~1\***\lokale~1\anwend~1" *
*** Copy Registry to Safebackup folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned
*** Certificates ***
Egroup Certificate deleted !
Electronic-Group Certificate deleted !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !
*** Suspicious Files not deleted by Navilog1 ***
!! Possible legitimate files, must be checked before deleting !!
Suspicious Files in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :
khsgupj.exe found !
*** Cleaning stage complete on 26.06.2008 at 22:38:05,30 ***
Gruß Handball10 |
|
26.06.2008, 23:38
| #8 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs So, Leute, ist zwar ein Bissi spät, aber egal... bei dem 2. Durchgang wurde komischerweise NICHTS mehr gefunden (obwohl beim 1. Durchgang nichts gelöscht wurde...) Code:
ATTFilter Malwarebytes' Anti-Malware 1.18
Datenbank Version: 894
00:31:19 27.06.2008
mbam-log-6-27-2008 (00-31-19).txt
Scan Art: Schnell Scan
Objekte gescannt: 68172
Scan Dauer: 29 minute(s), 50 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
(Keine Malware Objekte gefunden)
Flo |
|
27.06.2008, 07:28
| #9 | |
| | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Moin Zitat:
 Hmm ja nee.... kann ich nix zu sagen, leider Navilog hat seinen Job gemacht wie es aussieht fehlt noch die Antivirprozedur, dann sehen wir weiter. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
27.06.2008, 08:02
| #10 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo Nochdigger, Ich weis jetzt, warum Malwarebytes nichts mehr gefunden hat: Der Ordner, indem sich die schädlichen Objekte befanden hieß "Instant Access". Wenn wir jetzt einen Blick in das 2. Navilog werfen steht dort irgendwann: Code:
ATTFilter C:\Programme\Instant Access ...deleting...
C:\Programme\Instant Access deleted !
Was mich außerdem noch wundert ist, dass Avira Labs bis jetzt schon knappe 24h gebraucht hat um die gesendete Datei zu analysieren... Das Log von AntiVir folgt noch. Gruß Handball10 Geändert von handball10 (27.06.2008 um 08:16 Uhr) |
|
27.06.2008, 08:21
| #11 | |||
| | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo Zitat:
Zitat:
Zitat:
 MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
27.06.2008, 11:11
| #12 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs SO, hier ist das AntiVir-Log: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 27. Juni 2008 10:44
Es wird nach 1363126 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Administrator
Computername: LILLY-PO6QEZMQP
Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.5.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 20.4.2008 08:20:31
AVSCAN.DLL : 8.1.1.0 57601 Bytes 20.4.2008 08:20:31
LUKE.DLL : 8.1.2.9 151809 Bytes 20.4.2008 08:20:31
LUKERES.DLL : 8.1.2.0 12545 Bytes 20.4.2008 08:20:31
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 14:44:57
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 20:15:45
ANTIVIR2.VDF : 7.0.5.2 2048 Bytes 24.6.2008 20:15:46
ANTIVIR3.VDF : 7.0.5.13 73216 Bytes 26.6.2008 21:57:17
Engineversion : 8.1.0.59
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.4.2008 08:20:32
AESCRIPT.DLL : 8.1.0.44 278907 Bytes 21.6.2008 17:12:05
AESCN.DLL : 8.1.0.22 119157 Bytes 21.6.2008 17:12:03
AERDL.DLL : 8.1.0.20 418165 Bytes 25.4.2008 15:04:12
AEPACK.DLL : 8.1.1.6 364918 Bytes 21.6.2008 17:12:02
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.6.2008 17:12:00
AEHEUR.DLL : 8.1.0.32 1274231 Bytes 21.6.2008 17:11:59
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.5.2008 19:39:19
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.6.2008 17:11:54
AEEMU.DLL : 8.1.0.6 430451 Bytes 7.5.2008 19:28:00
AECORE.DLL : 8.1.0.31 168310 Bytes 6.6.2008 20:05:57
AVWINLL.DLL : 1.0.0.7 14593 Bytes 20.4.2008 08:20:31
AVPREF.DLL : 8.0.0.1 25857 Bytes 20.4.2008 08:20:31
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 20.4.2008 08:20:31
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.4.2008 08:20:31
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 20.4.2008 08:20:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.4.2008 08:20:31
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 20.4.2008 08:20:31
NETNT.DLL : 8.0.0.1 7937 Bytes 20.4.2008 08:20:31
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 20.4.2008 08:20:29
RCTEXT.DLL : 8.0.32.0 86273 Bytes 20.4.2008 08:20:29
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Freitag, 27. Juni 2008 10:44
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Freitag, 27. Juni 2008 11:53
Benötigte Zeit: 1:08:03 min
Der Suchlauf wurde vollständig durchgeführt.
6658 Verzeichnisse wurden überprüft
414657 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
414657 Dateien ohne Befall
1510 Archive wurden durchsucht
2 Warnungen
0 Hinweise
Und hier nochmal ein Hijack-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:07:33, on 27.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\AOL 9.0 VRa\waol.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\AOL 9.0 VRa\shellmon.exe C:\WINDOWS\system32\sol.exe C:\Programme\Hijackthis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\lisa ranold\anwendungsdaten\setup_de[1].exe" O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b (User '?') O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208781684 O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 9936 bytes Handball10 |
|
27.06.2008, 17:11
| #13 |
| | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo lass bitte diese Datei C:\WINDOWS\Knight.exe hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Erstelle eine Übersicht mit der Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Außerdem bitte hier einen Onlinescan durchführen und das Ergebnis posten Free Virus Scan - Kaspersky Lab MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
13.07.2008, 22:37
| #14 |
| /// Helfer-Team | Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs So, da bin ich wieder... hat ne Zeit lang gedauert, war kruz für 2 Wochen im Urlaub  Hier ist die Filelist: Filelist und zu der Knight.exe, im Windows-Verzeichnis: Diese Datei scheint entweder nicht da zu sein oder sie wird gut versteckt, denn bei Virustotal kommt immer, dass eine 0 Bytes-Batei geschickt wurde... Gruß Handball10 |
|
| Themen zu Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs |
| 2.0.7, add-on, adobe, antivir, auswerten, avira, bho, controlcenter, defender, email, excel, explorer, fast start, frage, gen 2, google, helper, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, logfile, microsoft, nicht gefunden, object, pdf, problem, programme, quara, shell32.dll, toolbars, urlsearchhook, virus, windows, windows xp |
Linear-Darstellung
