Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


Plagegeister aller Art und deren Bekämpfung: Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.06.2008, 23:32   #1
handball10
/// Helfer-Team
 
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Ausrufezeichen

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


Hallo Leute,

eine Freundin von mir hat folgendes Problem:
Während der PC-Sitzung werden zufällig (aber selten) Pup-Ups geöffnet.
Außerdem wurden schon folgende schädliche Programme (Dropper/Dailer) gefunden:

-Dial/144856.a.2 (C/Dokumente und Einstellungen/***/Lokale
Einstellungen/Temp/icd3.tmp/laLdr32.exe

-TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a0028020.exe

-TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a27058.exe

-TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp68/a0025458.exe

Diese wurden von Anti-Vir unter Quarantäne gesetzt...

Hier das Hijack-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:41, on 24.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AOL 9.0 VRa\waol.exe
C:\dokumente und einstellungen\lisa ranold\lokale einstellungen\anwendungsdaten\ccgcu.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\AOL 9.0 VRa\shellmon.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Programme\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\***\anwendungsdaten\setup_de[1].exe"
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ccgcu] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe ccgcu
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [ccgcu] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe ccgcu (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208781684
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 10659 bytes
Ich hatte das Logfile schon mal auswerten lassen, um folgende Dateien bei VirusTotal überprüfen zu lassen:

Code:
ATTFilter
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe
C:\WINDOWS\Knight.exe
c:\dokumente und einstellungen\***\anwendungsdaten\setup_de[1].exe
C:\WINDOWS\system32\nsinet.exe
Das Problem war dabei, dass nur die erste Datei vorhanden war!!!

Bei der Knight.exe hab ich folgendes gefunden:
http://www.sophos.com/security/analy...2autorunh.html

------------------Fund von VirusTotal-----------------------

Datei ccgcu.exe empfangen 2008.06.24 23:47:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 2/33 (6.07%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.24.0 2008.06.24 -
AntiVir 7.8.0.59 2008.06.24 -
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.24 -
AVG 7.5.0.516 2008.06.24 -
BitDefender 7.2 2008.06.24 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.24 -
DrWeb 4.44.0.09170 2008.06.24 -
eSafe 7.0.17.0 2008.06.24 -
eTrust-Vet 31.6.5900 2008.06.24 -
Ewido 4.0 2008.06.24 -
F-Prot 4.4.4.56 2008.06.24 -
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.24 -
GData 2.0.7306.1023 2008.06.24 -
Ikarus T3.1.1.26.0 2008.06.24 Trojan.Win32.Skintrim.B
Kaspersky 7.0.0.125 2008.06.24 -
McAfee 5324 2008.06.24 -
Microsoft 1.3604 2008.06.24 Trojan:Win32/Skintrim.B
NOD32v2 3215 2008.06.24 -
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.24 -
Prevx1 V2 2008.06.24 -
Rising 20.50.10.00 2008.06.24 -
Sophos 4.30.0 2008.06.24 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.24 -
TheHacker 6.2.92.360 2008.06.24 -
TrendMicro 8.700.0.1004 2008.06.24 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.24 -
weitere Informationen
File size: 360448 bytes
MD5...: 2da5927c966a3ca76c23a3a9c0cb5df7
SHA1..: 39b92fea680718ce15935f48307d129b62e60c77
SHA256: c28eeee4a5400b9fa042f1cab2be99405df3325a4b3ed256faa62fdf4b2c0180
SHA512: 5ca415fdda6a906d174c0ebd5d189939cf6330d8c2c98c01691daec56af0a965
348152ed5f629ed25967658490dc092d18a76c8d7c39ffe2f2e129d0ffae199f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40126e
timedatestamp.....: 0x410b2ed9 (Sat Jul 31 05:32:09 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x529bb 0x53000 6.99 7f94cc8f26d96309479307a5381df947
.rdata 0x54000 0xed0 0x1000 5.16 b5a148d2667a2e97e724ea8c15e5a239
.data 0x55000 0x245c 0x3000 3.44 a649b81d7f8f43442852b51bff104168

( 11 imports )
> KERNEL32.dll: GetCommState, GetThreadContext, lstrcmpiA, IsDBCSLeadByteEx, GetDiskFreeSpaceW, EnumCalendarInfoW, VirtualQuery, FlushFileBuffers, ExpandEnvironmentStringsW, AreFileApisANSI, GlobalReAlloc, VirtualProtect, ExitProcess, GetVersionExA, GetCommandLineA, MultiByteToWideChar, ExitThread, MoveFileExA, LocalFileTimeToFileTime, GetTapeStatus, SetCommMask, GetPrivateProfileSectionW, ReadFileScatter, ReadConsoleA, CreateDirectoryExA, SetProcessShutdownParameters, FindResourceExA, GetAtomNameA, LoadLibraryExW, CreateWaitableTimerA, GlobalGetAtomNameW, _lopen, GetDateFormatA
> USER32.dll: EmptyClipboard, SendMessageW, DrawTextExW, GetWindow, CharNextExA, ShowWindowAsync, ClientToScreen, MonitorFromRect, GetWindowRect, LoadBitmapW, TileWindows, AdjustWindowRect, SetScrollRange, CharUpperBuffW, CopyAcceleratorTableA, CascadeWindows, CloseClipboard, DestroyCursor
> GDI32.dll: GetRgnBox, GetTextColor, FillRgn, CreateDIBPatternBrush, SetGraphicsMode, CreatePalette, MaskBlt, CreateEllipticRgn, SwapBuffers, StrokePath, EnumEnhMetaFile, RemoveFontResourceW, GetOutlineTextMetricsA, Ellipse, OffsetClipRgn, DescribePixelFormat, GetStretchBltMode
> comdlg32.dll: ChooseColorW, ReplaceTextA, PrintDlgW, ChooseColorA
> ADVAPI32.dll: DestroyPrivateObjectSecurity, CryptSignHashW, IsValidAcl, RegOpenKeyExA, InitializeSid, GetExplicitEntriesFromAclW, GetLengthSid, AbortSystemShutdownW, RegEnumValueA, RegisterServiceCtrlHandlerA, ChangeServiceConfigW, SetSecurityDescriptorGroup, RegQueryInfoKeyA, CryptAcquireContextA, RegSetValueExW, LookupPrivilegeValueW, NotifyBootConfigStatus, RegCreateKeyExW, LookupPrivilegeDisplayNameA, CryptReleaseContext, RegDeleteKeyA, EqualSid, LookupAccountSidA, CloseEventLog, AccessCheckAndAuditAlarmW, CryptDestroyHash, RegReplaceKeyW, RegEnumValueW, CopySid, GetAclInformation, MakeAbsoluteSD, RegQueryInfoKeyW
> SHELL32.dll: FindExecutableW, SHAddToRecentDocs
> ole32.dll: CoReleaseServerProcess, CoTaskMemRealloc, CoFreeAllLibraries, ReadFmtUserTypeStg
> OLEAUT32.dll: -, -, -, -
> COMCTL32.dll: CreateToolbarEx, ImageList_Remove, ImageList_ReplaceIcon, ImageList_GetIconSize
> SHLWAPI.dll: PathRemoveFileSpecW, StrCpyW, StrFormatByteSizeA, SHRegGetUSValueW, PathStripToRootW, PathCommonPrefixW
> SETUPAPI.dll: SetupDiClassGuidsFromNameW, SetupDiEnumDeviceInfo

( 0 exports )

-----------------------------------------------------------------------

Ich hoffe, dass ihr mir weiterhelfen könnt...


Gruß
Handball10

Alt 25.06.2008, 07:53   #2
nochdigger
 
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


Hallo

mach zuerst bitte alle versteckten Dateien und Ordner sichtbar.

Lade diese Datei
Zitat:
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe
bitte hier hoch Submit your sample

Deaktiviere bitte vorübergehend den Hintergrundwächter (Guard) deines Antivirenprogramms.

Dann lade dir bitte Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Das ist ein Fehlalarm und kann ignoriert werden.

Lade dir auch Malwarebytes und lass alles löschen was gefunden wird, poste anschließend die Logs.

MFG
__________________

__________________
Alt 25.06.2008, 08:25   #3
handball10
/// Helfer-Team
 
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


Hallo Nochdigger,
das mit dem Versteckte Dateien und Ordner sichbar machen hatten wir auch schon gemacht. Jedoch waren die besagten Dateien immer noch nicht zu sehen,
und wenn man den Pfad der Datei bei VirusTotal eingab kam immer
"0 bytes size received / Se ha recibido un archivo vacio"

Navi-Log und MalwareBytes-Log häng ich noch an den Post dran.

Gruß Handball10
__________________
Alt 26.06.2008, 10:37   #4
handball10
/// Helfer-Team
 
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


So, da bin ich wieder (hat ein Bisschen gedauert...)

Hier ist schonmal das Navi-Log:

Code:
ATTFilter
Search Navipromo version 3.5.9 began on 26.06.2008 at 11:03:18,17

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "***" 

Updated on 24.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Instant Access
Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***

C:\Programme\Instant Access found !

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 

Files found :

ccgcu.exe found ! 
ccgcu.dat found ! 
ccgcu_nav.dat found ! 
ccgcu_navps.dat found ! 

Suspicious Files :

khsgupj.exe found ! 

* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" * 



*** Search files *** 


C:\WINDOWS\Downloaded Program Files\IaLdr32.inf found !
C:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found ! 

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : 

ccgcu.dat found !
ccgcu_nav.dat found !
ccgcu_navps.dat found !

* In "C:\DOKUME~1\***\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\***\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\***\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 26.06.2008 at 11:31:40,90 ***
Logfile von Malwarebytes folgt...

Gruß
Handball10
Geändert von handball10 (26.06.2008 um 11:29 Uhr)

Alt 26.06.2008, 12:50   #5
handball10
/// Helfer-Team
 
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


So, und hier ist das MalwareBytes-Log:

Malware-Log

Scheint ziemlich viel zu sein...

Gruß
Handball10


Alt 26.06.2008, 15:31   #6
nochdigger
 
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


Hallo

deaktiviere bitte die Systemwiederherstellung

navilog bitte erneut laufen lassen diesesmal aber bitte die Option 2 wählen (bereinigen).
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
    Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Starte bitte auch Malwarebytes erneut und lass alles gefundene löschen

Anschließend führe ein Update deines Antivir aus und starte in den abgesicherten Modus (beim start F8 drücken) dort bitte einen Fullscan durchführen und im normalen Modus dann hinterher das Logfile posten.

Schauen wir mal was übrigbleibt...

MFG
__________________
--> Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs

Antwort

Themen zu Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs
2.0.7, add-on, adobe, antivir, auswerten, avira, bho, controlcenter, defender, email, excel, explorer, fast start, frage, gen 2, google, helper, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, logfile, microsoft, nicht gefunden, object, pdf, problem, programme, quara, shell32.dll, toolbars, urlsearchhook, virus, windows, windows xp


« Meine Tastatur spinnt, ist es ein Virus? | TV/Vundo.Gen und seine Freunde »


Ähnliche Themen: Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


  1. Viren- Firewall und Malwarelösung für Windows 10 - Emsisoft, Norton - was ist besser? Oder ganz was anderes?
    Antiviren-, Firewall- und andere Schutzprogramme - 24.08.2015 (92)
  2. Windows 7: Avira blockiert '\Device\HarddiskVolume1\Autorun.inf'. Wiederholt Viren auf dem Rechner (Sony Vaio).
    Log-Analyse und Auswertung - 30.07.2015 (22)
  3. Windows Vista: Adware und anderes Zeugs
    Plagegeister aller Art und deren Bekämpfung - 12.12.2014 (37)
  4. Exploit.Drop.UR.2 - Hartnäckig das Zeugs, muss bis Morgen Abend meine Hausarbeit schreiben...
    Log-Analyse und Auswertung - 03.10.2012 (1)
  5. Trojan.BHO und anderes lustiges Zeugs
    Log-Analyse und Auswertung - 15.12.2011 (13)
  6. Windows XP Recovery -Zeugs
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (33)
  7. autorun- funktion/ selbstgebastelte viren
    Log-Analyse und Auswertung - 20.05.2011 (18)
  8. Autorun blockiert C:\autorun.inf frisches System
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (6)
  9. "autorun.inf ist der Trojaner: TR/Autorun.TE" Meldung beim Anschluss eines USB Sticks
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (19)
  10. autorun.inf - TR/Autorun.SJ.1 Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (1)
  11. TROJANER Flut! W32/Delf.EKEH, INI/AutoRun.CYI, WSCommCntr1.exe, BAT/Autorun.IZJ
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  12. Dropper und Zeugs
    Plagegeister aller Art und deren Bekämpfung - 12.04.2009 (10)
  13. TR/Crypt.XPACK.Gen und anderes Zeugs - hab HJT-Log und brauche Hilfe
    Log-Analyse und Auswertung - 29.03.2009 (1)
  14. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)
  15. Trojaner oder anderes Problem?
    Log-Analyse und Auswertung - 17.08.2007 (2)
  16. ich binz ma wieder hier =( mit so nem Trojaner zeugs aufn pc =(
    Plagegeister aller Art und deren Bekämpfung - 02.06.2005 (6)
  17. Trojaner ? oder was anderes ?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2005 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Hallo Leute, eine Freundin von mir hat folgendes Problem: Während der PC-Sitzung werden zufällig (aber selten) Pup-Ups geöffnet. Außerdem wurden schon folgende schädliche Programme (Dropper/Dailer) gefunden: -Dial/144856.a.2 (C/Dokumente und Einstellungen/***/Lokale - Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs...
Archiv
Du betrachtest: Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19