Zitat:

in File Quarantine Folder View?
da sind keine!

Dann gucke bitte im Infected Ordner nach.

ComboFix 08-07-15.4 - Besitzer 2008-07-17 18:17:49.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.153 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\addon.dat
C:\WINDOWS\microsoft.exe
C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\system32\winsys.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-17 bis 2008-07-17 ))))))))))))))))))))))))))))))
.

2008-07-17 13:16 . 2008-07-17 13:16 11,264 --a------ C:\WINDOWS\system32\drivers\uzeznzew.sys
2008-07-17 12:00 . 2008-07-17 12:00 <DIR> d-------- C:\Programme\Yahoo!
2008-07-17 12:00 . 2008-07-17 12:00 <DIR> d-------- C:\Programme\CCleaner
2008-07-16 14:23 . 2008-07-16 14:23 <DIR> d-------- C:\Programme\Trend Micro
2008-07-16 13:47 . 2008-07-16 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-07-16 11:17 . 2001-08-17 13:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2008-07-16 11:17 . 2001-08-17 13:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2008-07-15 17:00 . 2008-07-17 12:59 141,824 --ah----- C:\WINDOWS\system32\toudo.exe
2008-07-15 17:00 . 2008-07-17 12:59 141,824 --ah----- C:\WINDOWS\system32\seroozel.exe
2008-07-15 11:44 . 2008-07-16 18:00 <DIR> d-------- C:\Programme\Norton Security Scan
2008-07-12 12:19 . 2008-07-12 12:19 <DIR> d-------- C:\Programme\IconUtils
2008-07-12 12:13 . 2008-07-12 12:16 <DIR> d-------- C:\Programme\Easy Icon Maker
2008-06-27 16:42 . 2001-06-18 09:41 282,624 --a------ C:\WINDOWS\system32\ActiveSkin.ocx
2008-06-27 16:42 . 2001-01-10 12:23 162,304 --a------ C:\UNWISE.EXE
2008-06-27 16:42 . 2001-06-18 09:41 112 --a------ C:\WINDOWS\ActiveSkin.INI
2008-06-27 13:42 . 2008-06-27 13:42 <DIR> d-------- C:\OUT_MEDIA_FILES
2008-06-27 13:41 . 2008-06-27 13:42 <DIR> d-------- C:\Programme\Alt WAV MP3 WMA OGG Converter
2008-06-25 11:21 . 2008-07-13 21:15 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI
2008-06-24 21:00 . 2008-07-13 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ahead
2008-06-24 21:00 . 2008-07-16 17:30 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-06-24 20:51 . 2005-07-29 17:12 2,977,792 --------- C:\WINDOWS\UNNMP.exe
2008-06-24 20:51 . 2005-11-16 15:20 49,835 --------- C:\WINDOWS\UNNMP.cfg
2008-06-24 20:50 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-06-24 20:49 . 2008-06-24 20:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-06-24 20:47 . 2005-09-07 18:08 3,006,464 --------- C:\WINDOWS\UNNeroVision.exe
2008-06-24 20:47 . 2005-11-16 15:20 224,787 --------- C:\WINDOWS\UNNeroVision.cfg
2008-06-24 20:47 . 2001-03-08 18:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-06-24 20:46 . 2008-06-24 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-06-24 20:46 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-06-24 20:46 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-06-24 20:46 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-06-24 20:46 . 2004-07-09 08:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2008-06-24 20:46 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-06-24 20:46 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-06-24 20:46 . 2001-06-26 07:15 38,912 --------- C:\WINDOWS\system32\picn20.dll
2008-06-24 20:45 . 2008-06-24 20:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-06-24 20:45 . 2008-06-24 20:51 <DIR> d-------- C:\Programme\Ahead
2008-06-24 20:37 . 2008-06-24 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2008-06-24 20:35 . 2008-06-24 20:35 <DIR> d-------- C:\Programme\VideoLAN
2008-06-21 20:44 . 2008-06-21 20:44 <DIR> d-------- C:\Programme\Xvid
2008-06-21 20:44 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-06-21 20:44 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-06-21 20:44 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-06-21 16:32 . 2008-06-21 16:32 <DIR> d-------- C:\Programme\Red Kawa
2008-06-21 16:25 . 2008-06-21 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Media Player Classic
2008-06-21 16:23 . 2008-06-21 16:23 <DIR> d-------- C:\Programme\XP Codec Pack
2008-06-21 16:23 . 2007-08-18 08:54 380,928 --a------ C:\WINDOWS\system32\ac3filter.acm
2008-06-17 16:45 . 2008-06-17 16:46 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-06-17 16:09 . 2004-08-04 00:59 105,472 --a------ C:\WINDOWS\system32\hal(2).dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 11:45 --------- d-----w C:\Programme\ICQToolbar
2008-07-16 11:17 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\temp
2008-06-17 14:14 --------- d-----w C:\Programme\DrivingSpeed2
2008-06-14 11:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-14 09:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-12 16:25 962,560 ----a-w C:\WINDOWS\system32\VSFilter.dll
2008-06-11 11:32 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Miranda
2008-06-11 11:30 --------- d-----w C:\Programme\Miranda IM
2008-06-10 13:37 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-06-09 18:42 --------- d--h--w C:\Programme\microsoft
2008-06-08 20:48 --------- d-----w C:\Programme\EA SPORTS
2008-06-07 11:11 --------- d-----w C:\Programme\Samsung
2008-06-03 13:15 3,584 ----a-w C:\WINDOWS\system32\ic32.dll
2008-06-03 13:15 18,944 ----a-w C:\WINDOWS\system32\wk32.dll
2008-06-01 11:55 --------- d-----w C:\Programme\Quizmaker
2008-05-30 12:53 --------- d-----w C:\Programme\BIMP Lite
2008-05-29 13:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-05-25 16:29 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-05-25 16:29 --------- d-----w C:\Programme\Windows Live
2008-05-25 16:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-05-23 07:32 --------- d--h--r C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SecuROM
2008-05-22 19:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-05-22 12:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-05-22 11:26 --------- d-----w C:\Programme\Java
2008-05-22 11:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-22 10:21 --------- d-----w C:\Programme\Picasa2
2008-05-22 10:21 --------- d-----w C:\Programme\Google
2008-05-22 07:42 --------- d-----w C:\Programme\Canon
2008-05-22 07:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon
2008-05-22 07:38 --------- d-----w C:\Programme\ScanSoft
2008-05-22 07:38 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-05-22 07:38 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ScanSoft
2008-05-22 07:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
2008-05-22 07:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2008-05-22 07:29 --------- d-----w C:\Programme\Paint.NET
2008-05-22 07:25 --------- d-----w C:\Programme\MSXML 6.0
2008-05-22 07:12 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-22 07:09 --------- d-----w C:\Programme\Avira
2008-05-22 07:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-21 19:48 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ Toolbar
2008-05-21 19:38 --------- d-----w C:\Programme\MSBuild
2008-05-21 19:38 --------- d-----w C:\Programme\Microsoft Works
2008-05-21 19:17 --------- d-----w C:\Programme\ICQ6
2008-05-21 18:59 --------- d-----w C:\Programme\DAEMON Tools
2008-05-21 18:58 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-05-21 13:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-21 13:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-21 10:34 --------- d-----w C:\Programme\SystemRequirementsLab
2008-05-21 09:39 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-21 09:24 --------- d-----w C:\Programme\Analog Devices
2008-05-21 07:57 --------- d-----w C:\Programme\microsoft frontpage
2008-05-21 07:56 --------- d-----w C:\Programme\Online-Dienste
2008-05-21 07:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29 165784]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2005-06-30 08:03 200704]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2005-07-04 07:29 69632]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 20:01 49152]
"MPTBox"="C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe" [2002-11-01 15:26 167936]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"lummap"="C:\WINDOWS\system32\toudo.exe" [2008-07-17 12:59 141824]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

S2 prncubyu5eyha;Canon BJ Memory Card Manager;C:\WINDOWS\system32\seroozel.exe [2008-07-17 12:59]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL miloulonnouk.exe
\Shell\explore\command - D:\miloulonnouk.exe
\Shell\find\command - D:\miloulonnouk.exe
\Shell\open\command - D:\miloulonnouk.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22D6EFF9-8449-445F-E64A-EF11D4FCC47E}]
C:\Programme\microsoft\microsoft.exe s
.
Inhalt des "geplante Tasks" Ordners
"2008-07-16 16:00:12 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 18:19:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-17 18:20:29
ComboFix-quarantined-files.txt 2008-07-17 16:20:22

9 Verzeichnis(se), 14,941,212,672 Bytes frei
13 Verzeichnis(se), 15,039,766,528 Bytes frei

194 --- E O F --- 2008-05-24 07:05:14

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\toudo.exe
C:\WINDOWS\system32\drivers\uzeznzew.sys
C:\WINDOWS\system32\seroozel.exe
C:\WINDOWS\system32\ActiveSkin.ocx
C:\UNWISE.EXE
C:\WINDOWS\ActiveSkin.INI
C:\WINDOWS\PhotoSnapViewer.INI



Folders to delete:
C:\Programme\Yahoo!
C:\Programme\Norton Security Scan
C:\OUT_MEDIA_FILES
C:\Programme\Alt WAV MP3 WMA OGG Converter
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL miloulonnouk.exe
\Shell\explore\command - D:\miloulonnouk.exe
\Shell\find\command - D:\miloulonnouk.exe
\Shell\open\command - D:\miloulonnouk.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"lummap"="C:\WINDOWS\system32\toudo.exe" [2008-07-17 12:59 141824]

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !


Dann startest du den Rechner im normalen Modus neu.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\sw20.exe
C:\WINDOWS\system32\sw24.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\toudo.exe" deleted successfully.
File "C:\WINDOWS\system32\drivers\uzeznzew.sys" deleted successfully.
File "C:\WINDOWS\system32\seroozel.exe" deleted successfully.
File "C:\WINDOWS\system32\ActiveSkin.ocx" deleted successfully.
File "C:\UNWISE.EXE" deleted successfully.
File "C:\WINDOWS\ActiveSkin.INI" deleted successfully.
File "C:\WINDOWS\PhotoSnapViewer.INI" deleted successfully.
Folder "C:\Programme\Yahoo!" deleted successfully.
Folder "C:\Programme\Norton Security Scan" deleted successfully.
Folder "C:\OUT_MEDIA_FILES" deleted successfully.
Folder "C:\Programme\Alt WAV MP3 WMA OGG Converter" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL miloulonnouk.exe
\Shell\explore\command - D:\miloulonnouk.exe
\Shell\find\command - D:\miloulonnouk.exe
\Shell\open\command - D:\miloulonnouk.exe

Die fett geschrieben Pfande kann ich leider nicht finden könntest du sie mir vielleicht so ausführlich wie z.B. [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]
diesen Pfad erklären.
Sorry, das ich eine Laie am PC bin

Besten Dank im Voraus!

Hast du diese Pfade gelöscht?

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"lummap"="C:\WINDOWS\system32\toudo.exe"

Suche am besten einfach nochmal über die Suchfunktion in regedit nach toudo.exe und D:\miloulonnouk.exe und lösche die Schlüssel in denen die Dateien erwähnt werden.

den ersten Pfad hab ich schon gelöscht!!!

Zitat:

Zitat von Splace

den ersten Pfad hab ich schon gelöscht!!!

Hab jetzt beide gelöscht.

Neue Analyse

Datei miloulonnouk.exe empfangen 2008.07.18 13:08:23 (CET)
Status: Beendet
Ergebnis: 15/33 (45.45%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.0.68 2008.07.18 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.18 W32/Downldr2.DBPO
Avast 4.8.1195.0 2008.07.18 Win32:Rootkit-gen
AVG 8.0.0.130 2008.07.18 SHeur.BVYX
BitDefender 7.2 2008.07.18 -
CAT-QuickHeal 9.50 2008.07.17 -
ClamAV 0.93.1 2008.07.18 -
DrWeb 4.44.0.09170 2008.07.18 -
eSafe 7.0.17.0 2008.07.17 Suspicious File
eTrust-Vet 31.6.5965 2008.07.18 Win32/Cotmonger.GE
Ewido 4.0 2008.07.18 -
F-Prot 4.4.4.56 2008.07.18 W32/Downldr2.DBPO
F-Secure 7.60.13501.0 2008.07.18 Trojan-Downloader.Win32.Agent.wig
Fortinet 3.14.0.0 2008.07.18 -
GData 2.0.7306.1023 2008.07.18 Trojan-Downloader.Win32.Agent.wig
Ikarus T3.1.1.34.0 2008.07.18 Backdoor.Win32.Oderoor.D
Kaspersky 7.0.0.125 2008.07.18 Trojan-Downloader.Win32.Agent.wig
McAfee 5341 2008.07.18 -
Microsoft 1.3704 2008.07.18 Backdoor:Win32/Oderoor.gen!D
NOD32v2 3278 2008.07.18 -
Norman 5.80.02 2008.07.17 -
Panda 9.0.0.4 2008.07.17 -
Prevx1 V2 2008.07.18 Malicious Software
Rising 20.53.42.00 2008.07.18 -
Sophos 4.31.0 2008.07.18 -
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.18 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.18 PAK_Generic.001
VBA32 3.12.8.0 2008.07.17 -
VirusBuster 4.5.11.0 2008.07.17 -
Webwasher-Gateway 6.6.2 2008.07.18 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 141824 bytes
MD5...: 0b70550c8311315df42d8b61fe2da29f
SHA1..: 7e3c26053af59622c7baec910d0725e79a49450f
SHA256: e942a960d054f94a76f3b45d412dab56f7ffff236eeac579ae3b493e16b84484
SHA512: e7ca5d70310ebe1f05ed9899fc4de05c6e2c9d2a2d3f22c619be497e92be27a4
69462bda545db726aba1f531e7f7e0b9822a7f9763c32f7196dbb05489dbbceb
PEiD..: UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4296a0
timedatestamp.....: 0x46da3ccc (Sun Sep 02 04:32:12 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x23000 0x22400 7.99 31565d01c8e05ff0bc0868e08a3c35d9
UPX2 0x2b000 0x1000 0x200 2.55 0f495d0666e5000d27b244492b7b1d97

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> GDI32.dll: Polygon
> USER32.dll: FindWindowExA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9D8D0498005AC57B2AB10236DD798A0051568309

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
D:\miloulonnouk.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "D:\miloulonnouk.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Virus ist weg!!!
Ich lass das System jetzt nochmal mit Antivir überprüfen!
OK?

Ja, aber bitte konfiguriere es vorher aggresiv, update die Signaturen und führe den Scan im abgesicherten Modus durch.

Danke für die Hilfe und den Großenaufwand den ihr betrieben habt!
Echt super
DANKE!!!
Warum soll ich den Scan im abgesicherten Modus ablaufen lassen?

Zitat:

Warum soll ich den Scan im abgesicherten Modus ablaufen lassen?

Weil da nur absolut nötige Treiber geladen werden und so die Malware nicht mitgeladen wird. Daher kann sie sich auch nicht verstecken.

So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich