Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
hilfe bei logfile

hilfe bei logfile


Log-Analyse und Auswertung: hilfe bei logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 27.07.2008, 15:50   #1
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


hallo zusammen

habe mir vor zwei tagen einen virus eingefangen, den ich mittels verschiedenen forenbeiträgen bekämpft habe. habe schon cc cleaner, smitfraudfix, cureit und spybot laufen, suchen und löschen lassen.

beim aktuellen hijackthis-file hat es aber noch ein paar einträge, von denen ich nicht weiss, was sie sind, resp. ich den verdacht habe, sie könnten schädlich sein.

über eine rückmeldung von einem fachmann/einer fachfrau würde ich mich sehr freuen.

herzlichen dank, adrian

-------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:24, on 27.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: fdkowvbp - {72585F60-1D5F-4B66-8806-53E3973D64B5} - C:\WINDOWS\fdkowvbp.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [747d91f2] rundll32.exe "C:\WINDOWS\system32\ryyllehj.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA7859] command /c del "C:\WINDOWS\SYSTEM32\byXPGAtu.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3593] cmd /c del "C:\WINDOWS\SYSTEM32\byXPGAtu.dll"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programme\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programme\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
O9 - Extra button: Gnuf Poker - {A99C8F70-4D5B-482c-8854-05BC0BB8B182} - C:\Programme\Gnuf\Poker\MPPoker.exe
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - h**ps://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - h**p://www.officeupdate.com/productupdates/content/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177532086874
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1184592383640
O16 - DPF: {AB4DFFDE-F9DC-4331-89DA-90E346540D59} (futureLAB ImageUploader) - h**p://upload.snapmania.com/helpers/fLImageUploader.cab]Login
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - h**p://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - h**ps://gnuf.microgaming.com/gnuf/FlashAX2.cab
O21 - SSODL: eqvwamkl - {7FE8C66D-54D4-48B2-BF9D-C06400285A7E} - (no file)
O21 - SSODL: wnslvxtf - {970B3106-A095-4C3E-85E1-F24259943FDC} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec Client Security\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe

--
End of file - 12162 bytes

Alt 27.07.2008, 18:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hilfe bei logfile - Ausrufezeichen

hilfe bei logfile


Hallo

Da sind eine Reihe krummer Einträge:

Code:
ATTFilter
O3 - Toolbar: fdkowvbp - {72585F60-1D5F-4B66-8806-53E3973D64B5} - C:\WINDOWS\fdkowvbp.dll (file missing)
O4 - HKLM\..\Run: [747d91f2] rundll32.exe "C:\WINDOWS\system32\ryyllehj.dll",b
O21 - SSODL: eqvwamkl - {7FE8C66D-54D4-48B2-BF9D-C06400285A7E} - (no file)
Unbekannt
O21 - SSODL: wnslvxtf - {970B3106-A095-4C3E-85E1-F24259943FDC} - (no file)
Fixen mit hijackthis.

Code:
ATTFilter
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
Den bitte nicht fixen!! Mach bitte die handgrabberlsp.dll ausfindig (wird wohl in system32 liegen) und werte sie bei virustotal.com aus. Ergebnisse posten.

Das Entfernen geht z.B. mit dem Spezialtool LSPfix:
Anhaken : "I know what Im doing"--Remove
- und loesche die handgrabberlsp.dll (evtl musst du die dll von links nach rechts bringen)

Mach danach bitte einen Durchlauf mit DSS (siehe Signatur) und Malwarebytes Antimalware. Poste die Logfiles mit Codetags umschlossen!
__________________

__________________
Alt 28.07.2008, 08:20   #3
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


erstmal herzlichen dank für die schnelle antwort.

habe noch zwei fragen:

1) um diese handgrabberlsp.dll auf virustotal.com auswerten zu lassen, müsste ich ja meinen pc wieder mit dem internet verbinden. ist das empfehlenswert? habe angst, dass sich dann wieder neue programme und viren neu laden, die ich jetzt bereits durch die erwähnten schädlingsbekämpfungs-tools vom system entfernt habe. im moment schreibe ich vom laptop aus. kann ich die datei auf eine cd brennen und vom laptop aus checken lassen oder besteht dann gefahr für den laptop?

2) was bedeutet "dei dll von links nach rechts bringen"?

besten dank!
adrian
__________________
Alt 28.07.2008, 08:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hilfe bei logfile - Icon32

hilfe bei logfile


1.) Mach es ruhig vom versifften PC aus. Evtl. müssen noch weitere Dateien ausgewertet werden und da isses sehr umständlich jedesmal die Dateien zu übertragen. Vom Laptop aus geht das aber ohne Probleme. Wenn Du nun unbedingt immer gleich ne CD brennen willst...
Paß aber auf beiausführbaren Dateien, die unter keinen Umständen vom Laptop aus öffnen.

2.) das siehst Du wenn Du das Programm geöffnet hast. Du hast bei lspfix zwei Teilfenster (Keep und Remove), der Sinn sollte klar sein.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.07.2008, 12:46   #5
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


- ok, die vier punkte habe ich mit HijackThis gefixt.

ergebnis von virustotal über die datei handgrabberlsp.dll (die warscheinlich was mit poker zu tun hat, aber wozu sie genau dient oder von wo sie stammt habe ich keine ahnung)

Code:
ATTFilter
Datei HandGrabberLSP.dll empfangen 2008.07.28 13:25:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 0/35 (0%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
 Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.7.26.0 2008.07.28 - 
AntiVir 7.8.1.12 2008.07.28 - 
Authentium 5.1.0.4 2008.07.28 - 
Avast 4.8.1195.0 2008.07.27 - 
AVG 8.0.0.130 2008.07.28 - 
BitDefender 7.2 2008.07.28 - 
CAT-QuickHeal 9.50 2008.07.25 - 
ClamAV 0.93.1 2008.07.28 - 
DrWeb 4.44.0.09170 2008.07.28 - 
eSafe 7.0.17.0 2008.07.27 - 
eTrust-Vet 31.6.5983 2008.07.26 - 
Ewido 4.0 2008.07.28 - 
F-Prot 4.4.4.56 2008.07.28 - 
F-Secure 7.60.13501.0 2008.07.28 - 
Fortinet 3.14.0.0 2008.07.26 - 
GData 2.0.7306.1023 2008.07.28 - 
Ikarus T3.1.1.34.0 2008.07.28 - 
Kaspersky 7.0.0.125 2008.07.28 - 
McAfee 5347 2008.07.25 - 
Microsoft 1.3704 2008.07.28 - 
NOD32v2 3302 2008.07.28 - 
Norman 5.80.02 2008.07.25 - 
Panda 9.0.0.4 2008.07.28 - 
PCTools 4.4.2.0 2008.07.27 - 
Prevx1 V2 2008.07.28 - 
Rising 20.55.02.00 2008.07.28 - 
Sophos 4.31.0 2008.07.28 - 
Sunbelt 3.1.1536.1 2008.07.25 - 
Symantec 10 2008.07.28 - 
TheHacker 6.2.96.389 2008.07.25 - 
TrendMicro 8.700.0.1004 2008.07.28 - 
VBA32 3.12.8.1 2008.07.27 - 
ViRobot 2008.7.26.1311 2008.07.28 - 
VirusBuster 4.5.11.0 2008.07.27 - 
Webwasher-Gateway 6.6.2 2008.07.28 - 
weitere Informationen 
File size: 73728 bytes 
MD5...: 5c3740c87cd82108b15c9f91e7231fd3 
SHA1..: 44fe3eb69bcd322b3132112b30ab8c519a7797b5 
SHA256: 2d0d8d8a97b516f38af7290abf08f0885a12a140f7e2762de29be34f990b3c2f 
SHA512: a94ee8a33bc852e3beee975c32bda74e52ec03c660b09a5e81376ba5fbdc3602
1ce983d67dae1c201d645f2f6dd23c9d0f7e73fbc15a5aabc6f90ff137967040 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000592c
timedatestamp.....: 0x45dc9077 (Wed Feb 21 18:33:27 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x95b4 0xa000 6.32 c60fb003b50d0c1fbfe8f544364704d4
.rdata 0xb000 0x2bb2 0x3000 5.01 41483d82caf38968c1feed40dae65cad
.data 0xe000 0x1d3c 0x1000 1.57 dcea3d8f27093de49bc86dc91b248919
.rsrc 0x10000 0x360 0x1000 0.90 f71326e252a0167f2289ddafb0a1c717
.reloc 0x11000 0x147e 0x2000 3.62 975cc02519e478a0b77a9ed8e5dacd6d

( 5 imports ) 
> WS2_32.dll: WSCGetProviderPath, -, WSCEnumProtocols, -, WPUCompleteOverlappedRequest, -
> DNSAPI.dll: DnsQuery_A, DnsRecordListFree
> KERNEL32.dll: LCMapStringW, LCMapStringA, HeapSize, CloseHandle, OutputDebugStringA, LeaveCriticalSection, SleepEx, CreateThread, EnterCriticalSection, HeapAlloc, WaitForMultipleObjects, PostQueuedCompletionStatus, ReleaseSemaphore, HeapFree, DeleteCriticalSection, ResetEvent, ExitThread, WaitForSingleObjectEx, GetQueuedCompletionStatus, GetLastError, CreateSemaphoreA, GetSystemInfo, CreateIoCompletionPort, GlobalAlloc, GlobalFree, TlsSetValue, TlsGetValue, WaitForSingleObject, WideCharToMultiByte, HeapDestroy, FreeLibrary, CreateFileA, TlsFree, TlsAlloc, GetModuleFileNameA, Sleep, WriteFile, GetProcAddress, LoadLibraryA, LoadLibraryW, ExpandEnvironmentStringsW, HeapCreate, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetSystemTimeAsFileTime, VirtualProtect, VirtualQuery, InterlockedExchange, HeapReAlloc, VirtualAlloc, GetOEMCP, InitializeCriticalSection, GetCurrentThreadId, GetCommandLineA, GetVersionExA, SetLastError, GetModuleHandleA, ExitProcess, TerminateProcess, GetCurrentProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, VirtualFree, UnhandledExceptionFilter, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetCPInfo, GetLocaleInfoA, RtlUnwind, GetACP
> USER32.dll: IsWindow, wsprintfA, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, DispatchMessageA, TranslateMessage, DefWindowProcA, DestroyWindow, GetMessageA
> GDI32.dll: GetStockObject

( 2 exports ) 
DllMain, WSPStartup


-> entfernen oder nicht?


Alt 28.07.2008, 12:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hilfe bei logfile - Icon32

hilfe bei logfile


Hm, das scheint zu nem Pokerspiel zu gehören. Handgrabber hört sich imho aber nicht ganz koscher an. Pokerst Du online?
__________________
--> hilfe bei logfile

Alt 28.07.2008, 18:03   #7
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


ja, warum?

soll ich jetzt lspfix noch laufen lassen oder nicht?

hier noch die anderen beiden logs (dss und mbam)

Alt 28.07.2008, 18:04   #8
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by rv on 2008-07-28 13:49:29
Computer is in Normal Mode.

-- System Restore ----------

System Restore is disabled; attempting to re-enable...success.


-- Last 1 Restore Point(s) --
1: 2008-07-28 11:49:32 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as rv.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:04, on 28.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\rv\Desktop\dss.exe
C:\PROGRA~1\HIJACK~1\rv.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128
O2 - BHO: (no name) - {040BA7F9-CDC9-4F2A-BAFD-5B13501B2DAD} - C:\WINDOWS\system32\byXPGAtu.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5F2227CF-F5AE-4F79-93D6-406588A26C55} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {94690A43-5C93-4064-B331-E9F59F4D019A} - C:\WINDOWS\system32\vtUnlIaa.dll
O2 - BHO: {5b76551d-f444-7df9-5974-2f0845bbd72c} - {c27dbb54-80f2-4795-9fd7-444fd15567b5} - C:\WINDOWS\system32\luxsfg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programme\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programme\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
O9 - Extra button: Gnuf Poker - {A99C8F70-4D5B-482c-8854-05BC0BB8B182} - C:\Programme\Gnuf\Poker\MPPoker.exe
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O10 - Unknown file in Winsock LSP: handgrabberlsp.dll
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://www.officeupdate.com/productupdates/content/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177532086874
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1184592383640
O16 - DPF: {AB4DFFDE-F9DC-4331-89DA-90E346540D59} (futureLAB ImageUploader) - http://upload.snapmania.com/helpers/fLImageUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://gnuf.microgaming.com/gnuf/FlashAX2.cab
O20 - Winlogon Notify: byXPGAtu - C:\WINDOWS\SYSTEM32\byXPGAtu.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec Client Security\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe

--
End of file - 12628 bytes

Alt 28.07.2008, 18:05   #9
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


der zweite teil:


Code:
ATTFilter
-- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) --------------------

backup-20080725-182646-206 O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
backup-20080725-182646-289 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-183949-123 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-184124-849 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-185629-517 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-185645-216 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-185715-608 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-192009-585 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-192353-517 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080725-195403-943 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080726-103801-114 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
backup-20080726-103801-145 O17 - HKLM\System\CS1\Services\Tcpip\..\{D55F399A-F8D9-433F-8E24-404643A7927C}: NameServer = 172.17.2.9,172.17.2.10
backup-20080726-103801-393 O17 - HKLM\System\CCS\Services\Tcpip\..\{FE533FE4-CEE6-48AE-9403-D26A28B07EDC}: NameServer = 172.17.2.9,172.17.2.10
backup-20080726-103801-811 O17 - HKLM\System\CCS\Services\Tcpip\..\{D55F399A-F8D9-433F-8E24-404643A7927C}: NameServer = 172.17.2.9,172.17.2.10
backup-20080726-103801-968 O17 - HKLM\System\CS2\Services\Tcpip\..\{D55F399A-F8D9-433F-8E24-404643A7927C}: NameServer = 172.17.2.9,172.17.2.10
backup-20080726-115254-546 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
backup-20080728-113003-768 O21 - SSODL: eqvwamkl - {7FE8C66D-54D4-48B2-BF9D-C06400285A7E} - (no file)
backup-20080728-113003-845 O21 - SSODL: wnslvxtf - {970B3106-A095-4C3E-85E1-F24259943FDC} - (no file)
backup-20080728-113003-943 O3 - Toolbar: fdkowvbp - {72585F60-1D5F-4B66-8806-53E3973D64B5} - C:\WINDOWS\fdkowvbp.dll (file missing)
backup-20080728-113003-988 O4 - HKLM\..\Run: [747d91f2] rundll32.exe "C:\WINDOWS\system32\ryyllehj.dll",b

-- File Associations -----------------------------------------------------------

.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 GhPciScan (GhostPciScanner) - c:\programme\symantec\norton ghost 2003\ghpciscan.sys <Not Verified; Symantec Corporation; Symantec Ghost PCI Scanner>
R1 OMCI - c:\windows\system32\drivers\omci.sys <Not Verified; Dell Computer Corporation; OMCI Driver>
R3 GPWADrv (Service for L6 GuitarPort Driver (WDM)) - c:\windows\system32\drivers\gpwadrv.sys <Not Verified; Line 6; GuitarPort>
R3 L6DP - c:\windows\system32\drivers\l6dp.sys <Not Verified; Line 6; Line 6 Device Proxy>
R3 WD_FireWire_HID (WD FireWire Pseudo-HID driver) - c:\windows\system32\drivers\wdfwhid.sys <Not Verified; Western Digital Technologies; WD External Storage>

S0 Winio63 - c:\windows\system32\drivers\winio63.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 GhostStartService - c:\programme\symantec\norton ghost 2003\ghoststartservice.exe <Not Verified; Symantec Corporation; Norton Ghost Start Service>
R3 FLEXnet Licensing Service - "c:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)>
R3 NMIndexingService - "c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe" <Not Verified; Nero AG; Nero Home>

S3 NBService - c:\programme\nero\nero 7\nero backitup\nbservice.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\8025DD2BD100
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\8025DD2BD100
Service: NIC1394


-- Scheduled Tasks -------------------------------------------------------------

2008-07-26 20:08:28       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-06-28 and 2008-07-28 -----------------------------

2008-07-26 17:16:16         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-26 16:28:42      3038 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-26 16:04:48         0 d-------- C:\Programme\CCleaner
2008-07-26 11:45:39    116864 --a------ C:\WINDOWS\system32\luxsfg.dll
2008-07-26 11:45:39    116864 --a------ C:\WINDOWS\system32\hfefcrjm.dll
2008-07-26 11:41:32     95360 --a------ C:\WINDOWS\system32\ryyllehj.dll
2008-07-25 17:44:20  92501790 --a------ C:\SYM_REGISTRY_BACKUP.reg
2008-07-25 14:52:42    116352 --a------ C:\WINDOWS\system32\cxnjrerc.dll
2008-07-25 14:52:42    116352 --a------ C:\WINDOWS\system32\cogzqu.dll
2008-07-25 14:50:52    392331 --ahs---- C:\WINDOWS\system32\aaIlnUtv.ini2
2008-07-25 14:50:46    323584 --a------ C:\WINDOWS\system32\vtUnlIaa.dll
2008-07-25 14:41:03     16384 --a------ C:\WINDOWS\system32\WinCtrl32.dll
2008-07-25 14:40:57     33152 -----n--- C:\WINDOWS\system32\byXPGAtu.dll
2008-07-25 14:40:17     86016 --a------ C:\WINDOWS\grswptdl.exe
2008-07-25 14:29:41         0 d-------- C:\Programme\Ontrack
2008-07-25 14:29:05         0 d-------- C:\Programme\EasyRecovery Professional Trial
2008-07-13 09:29:29         0 d-------- C:\Programme\Google
2008-07-11 16:19:39         0 d-------- C:\WINDOWS\system32\FlashAX2
2008-07-10 15:47:31   1929216 --a------ C:\WINDOWS\system32\cdintf250.dll <Not Verified; Amyuni Technologies
http://www.amyuni.com; Amyuni Common Driver Interface>
2008-07-10 15:47:28         0 --a------ C:\WINDOWS\system32\ssprs.dll
2008-07-10 15:47:28         0 --a------ C:\WINDOWS\system32\serauth2.dll
2008-07-10 15:47:28         0 --a------ C:\WINDOWS\system32\serauth1.dll
2008-07-10 15:47:28         0 --a------ C:\WINDOWS\system32\nsprs.dll
2008-07-10 15:47:28      1024 --a------ C:\WINDOWS\system32\clauth2.dll
2008-07-10 15:47:28      1024 --a------ C:\WINDOWS\system32\clauth1.dll
2008-07-10 15:42:25         0 d-------- C:\Programme\SPSS
2008-07-10 15:41:57      1025 --a------ C:\WINDOWS\system32\sysprs7.dll
2008-07-10 15:41:57       205 --a------ C:\WINDOWS\system32\lsprst7.dll
2008-06-29 05:56:17         0 d-------- C:\Programme\EmpirePokerMaster


-- Find3M Report ---------------------------------------------------------------

2008-07-28 11:26:59         0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-28 10:28:49        40 --a------ C:\WINDOWS\system32\profile.dat
2008-07-27 13:37:44         0 d-------- C:\Programme\PacificPoker
2008-07-26 17:53:17         0 d-------- C:\Dokumente und Einstellungen\rv\Anwendungsdaten\TmpRecentIcons
2008-07-26 11:41:27         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-25 06:23:50         0 d-------- C:\Programme\Poker Tracker V2
2008-07-25 05:50:44         0 d-------- C:\Programme\PokerStars
2008-07-25 05:24:07         0 d-------- C:\Programme\No23 Recorder
2008-07-23 19:08:25         0 d-------- C:\Programme\ZKB Onba
2008-07-21 05:41:35         0 d-------- C:\Programme\Titan Poker
2008-07-16 17:22:28         0 d-------- C:\Dokumente und Einstellungen\rv\Anwendungsdaten\Canon
2008-07-16 04:58:54         0 d-------- C:\Programme\PartyGaming
2008-07-13 16:59:59         0 d-------- C:\Dokumente und Einstellungen\rv\Anwendungsdaten\Google
2008-07-13 09:29:15         0 d-------- C:\Programme\Java
2008-07-11 16:45:22         0 d-------- C:\Programme\Full Tilt Poker
2008-07-05 12:44:16         0 d-------- C:\Dokumente und Einstellungen\rv\Anwendungsdaten\Microgaming
2008-06-27 14:20:42         0 d-------- C:\Programme\Cake Poker
2008-06-20 17:18:01         0 d-------- C:\Programme\Sonoma Wire Works
2008-06-17 15:26:38         0 d-------- C:\Programme\Apple Software Update
2008-06-10 20:17:16    167936 --a------ C:\WINDOWS\system32\L6GPAsio.dll <Not Verified; Line 6; >


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{040BA7F9-CDC9-4F2A-BAFD-5B13501B2DAD}]
25.07.2008 14:40	33152	---------	C:\WINDOWS\system32\byXPGAtu.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5F2227CF-F5AE-4F79-93D6-406588A26C55}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94690A43-5C93-4064-B331-E9F59F4D019A}]
25.07.2008 14:50	323584	--a------	C:\WINDOWS\system32\vtUnlIaa.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c27dbb54-80f2-4795-9fd7-444fd15567b5}]
26.07.2008 11:45	116864	--a------	C:\WINDOWS\system32\luxsfg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [29.10.2004 16:50]
"nwiz"="nwiz.exe" [29.10.2004 16:50 C:\WINDOWS\SYSTEM32\nwiz.exe]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [11.01.2008 20:54]
"@"="" []
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [19.07.2006 19:26]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe" [27.11.2006 15:24]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [01.05.2007 16:08]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [12.01.2006 15:40]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [29.10.2004 16:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.2008 04:27]
"WD Button Manager"="WDBtnMgr.exe" [10.05.2007 01:44 C:\WINDOWS\SYSTEM32\WDBtnMgr.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [12.12.2007 12:34]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [28.03.2008 23:37]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [30.03.2008 10:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 09:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [15.01.2007 16:14]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07.07.2008 09:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"Spybot - Search & Destroy"="C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

C:\Dokumente und Einstellungen\rv\Startmen\Programme\Autostart\
DESKTOP.INI [31.08.2001 15:46:40] 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [15.08.2002 14:28:07]
DESKTOP.INI [31.08.2001 15:46:40] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{040BA7F9-CDC9-4F2A-BAFD-5B13501B2DAD}"= C:\WINDOWS\system32\byXPGAtu.dll [25.07.2008 14:40 33152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXPGAtu] 
byXPGAtu.dll 25.07.2008 14:40 33152 C:\WINDOWS\SYSTEM32\byXPGAtu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32] 
WinCtrl32.dll 26.07.2008 20:15 16384 C:\WINDOWS\SYSTEM32\WinCtrl32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtUnlIaa

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winci27.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windi17.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winhm74.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winio63.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winkp85.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winlr51.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winqx63.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winta27.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winub17.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyf17.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyf40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe




-- End of Deckard's System Scanner: finished at 2008-07-28 13:52:20 ------------

Alt 28.07.2008, 18:06   #10
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


und der rest


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1000
Windows 5.1.2600 Service Pack 2

18:47:22 28.07.2008
mbam-log-7-28-2008 (18-47-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 130258
Laufzeit: 49 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\SYSTEM32\ryyllehj.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\vtUnlIaa.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\byXPGAtu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\luxsfg.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\WinCtrl32.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94690a43-5c93-4064-b331-e9f59f4d019a} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{94690a43-5c93-4064-b331-e9f59f4d019a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c27dbb54-80f2-4795-9fd7-444fd15567b5} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c27dbb54-80f2-4795-9fd7-444fd15567b5} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{040ba7f9-cdc9-4f2a-bafd-5b13501b2dad} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{040ba7f9-cdc9-4f2a-bafd-5b13501b2dad} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxpgatu (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fdkowvbp.bwfa (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fdkowvbp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{040ba7f9-cdc9-4f2a-bafd-5b13501b2dad} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtunliaa -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtunliaa  -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\SYSTEM32\vtUnlIaa.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\aaIlnUtv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\aaIlnUtv.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\luxsfg.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\ryyllehj.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\jhellyyr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\byXPGAtu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\cxnjrerc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\hfefcrjm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\cogzqu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\WinCtrl32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\rv\Anwendungsdaten\TmpRecentIcons\antivirus-2008pro.lnk (Rogue.Link) -> Quarantined and deleted successfully.

wäre froh um weitere schritte/hinweise.
gruss
adrian

Alt 29.07.2008, 12:58   #11
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


bitte um weitere hilfe/anweisungen!
danke

Alt 29.07.2008, 13:17   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hilfe bei logfile - Cool

hilfe bei logfile


Zitat:
Zitat von cropment Beitrag anzeigen
ja, warum?

soll ich jetzt lspfix noch laufen lassen oder nicht?
Wenn Du diesem Handgrabber-Dingsbums vertraust...
Die anderen Logs schau ich mir eben mal an.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.07.2008, 13:32   #13
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


habe den handgrapper nun doch mit lspfix gefixt. vertrauen habe ich im moment nämlich in gar nichts...

ok, dann warte ich auf deine rückmeldung bezüglich den anderen logs.

Alt 29.07.2008, 13:36   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hilfe bei logfile - Cool

hilfe bei logfile


Du übertreibst aber mitm Pokern, findest nicht??

Code:
ATTFilter
2008-07-27 13:37:44         0 d-------- C:\Programme\PacificPoker
2008-07-25 06:23:50         0 d-------- C:\Programme\Poker Tracker V2
2008-07-25 05:50:44         0 d-------- C:\Programme\PokerStars
2008-07-21 05:41:35         0 d-------- C:\Programme\Titan Poker
2008-07-16 04:58:54         0 d-------- C:\Programme\PartyGaming
2008-07-11 16:45:22         0 d-------- C:\Programme\Full Tilt Poker
Dann müssen wir noch einige Dateien löschen. Anscheinend hat Malwarebytes schon einiges gelöscht, ich will da aber sicher gehen. Besorg Dir den Avenger und benutze ihn wie in der verlinkten Anleitung angegeben, kopiere aber diesen Text ins Textfeld vom Avenger:

Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\byXPGAtu.dll
C:\WINDOWS\system32\vtUnlIaa.dll
C:\WINDOWS\system32\luxsfg.dll
C:\WINDOWS\SYSTEM32\byXPGAtu.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\system32\ssprs.dll
C:\WINDOWS\system32\serauth2.dll
C:\WINDOWS\system32\serauth1.dll
C:\WINDOWS\system32\nsprs.dll
C:\WINDOWS\system32\clauth2.dll
C:\WINDOWS\system32\clauth1.dll
C:\WINDOWS\system32\luxsfg.dll
C:\WINDOWS\system32\hfefcrjm.dll
C:\WINDOWS\system32\ryyllehj.dll
C:\WINDOWS\system32\cxnjrerc.dll
C:\WINDOWS\system32\cogzqu.dll
C:\WINDOWS\system32\aaIlnUtv.ini2
C:\WINDOWS\system32\vtUnlIaa.dll
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\byXPGAtu.dll
C:\WINDOWS\grswptdl.exe

drivers to delete:
Winci27
Windi17
Winhm74
Winio63
Winkp85
Winlr51
Winqx63
Winta27
Winub17
Winyf17
Winyf40
Vergiß nicht nach dem Reboot das Logfile zu posten. Fixe anschließend auch noch (wenn noch vorhanden) mit HijackThis diese Einträge:

Code:
ATTFilter
O2 - BHO: (no name) - {040BA7F9-CDC9-4F2A-BAFD-5B13501B2DAD} - C:\WINDOWS\system32\byXPGAtu.dll
O2 - BHO: (no name) - {5F2227CF-F5AE-4F79-93D6-406588A26C55} - (no file)
O2 - BHO: (no name) - {94690A43-5C93-4064-B331-E9F59F4D019A} - C:\WINDOWS\system32\vtUnlIaa.dll
O2 - BHO: {5b76551d-f444-7df9-5974-2f0845bbd72c} - {c27dbb54-80f2-4795-9fd7-444fd15567b5} - C:\WINDOWS\system32\luxsfg.dll
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O20 - Winlogon Notify: byXPGAtu - C:\WINDOWS\SYSTEM32\byXPGAtu.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Mach danach einen neuen Durchlauf mit DSS und poste die Logs.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.07.2008, 14:26   #15
cropment
 
hilfe bei logfile - Standard

hilfe bei logfile


Zitat:
Zitat von root24 Beitrag anzeigen
Du übertreibst aber mitm Pokern, findest nicht??

Code:
ATTFilter
2008-07-27 13:37:44         0 d-------- C:\Programme\PacificPoker
2008-07-25 06:23:50         0 d-------- C:\Programme\Poker Tracker V2
2008-07-25 05:50:44         0 d-------- C:\Programme\PokerStars
2008-07-21 05:41:35         0 d-------- C:\Programme\Titan Poker
2008-07-16 04:58:54         0 d-------- C:\Programme\PartyGaming
2008-07-11 16:45:22         0 d-------- C:\Programme\Full Tilt Poker

das sind noch lange nicht alle räume, bei denen ich bis jetzt spielte...

Antwort
Seite 1 von 2 1 2

Themen zu hilfe bei logfile
adobe, antivirus, cc cleaner, dll, drivers, explorer, firewall, hijack, hkus\s-1-5-18, internet, internet explorer, konvertieren, logfile, löschen, microsoft, nvidia, object, pdf, pdf-datei, programme, rundll, security, software, suche, symantec, system, unknown file in winsock lsp, virus, virus eingefangen, windows, windows xp


« Webseiten laden nicht | virus in explorer.exe brauche hilfe! »


Ähnliche Themen: hilfe bei logfile


  1. Logfile Hilfe
    Mülltonne - 06.01.2009 (1)
  2. Hilfe bei logfile
    Log-Analyse und Auswertung - 30.07.2008 (4)
  3. Hilfe mit logfile
    Log-Analyse und Auswertung - 04.03.2008 (3)
  4. Logfile auswertung - Hilfe
    Log-Analyse und Auswertung - 03.01.2008 (1)
  5. hilfe bei logfile
    Log-Analyse und Auswertung - 08.10.2007 (1)
  6. Hilfe bei Logfile-Auswertung
    Log-Analyse und Auswertung - 18.09.2007 (13)
  7. Hilfe bei LOGFILE...Spy?
    Mülltonne - 08.09.2006 (3)
  8. Hilfe bei logfile
    Log-Analyse und Auswertung - 04.09.2006 (4)
  9. Hilfe!Mein Logfile....
    Log-Analyse und Auswertung - 19.08.2006 (6)
  10. Hilfe bei der LogFile
    Mülltonne - 27.05.2006 (3)
  11. Hilfe bei Hj Logfile
    Log-Analyse und Auswertung - 04.12.2005 (1)
  12. Hilfe bei Logfile
    Log-Analyse und Auswertung - 11.10.2005 (2)
  13. Hilfe mit HJT-Logfile
    Log-Analyse und Auswertung - 26.09.2005 (2)
  14. mein logfile Hilfe
    Log-Analyse und Auswertung - 06.04.2005 (16)
  15. Brauche Hilfe! Logfile
    Log-Analyse und Auswertung - 05.04.2005 (17)
  16. Hilfe!!! Hijackthis Logfile
    Log-Analyse und Auswertung - 01.04.2005 (5)
  17. Hilfe - Logfile!!!
    Log-Analyse und Auswertung - 05.03.2005 (18)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema hilfe bei logfile - hallo zusammen habe mir vor zwei tagen einen virus eingefangen, den ich mittels verschiedenen forenbeiträgen bekämpft habe. habe schon cc cleaner, smitfraudfix, cureit und spybot laufen, suchen und löschen lassen. - hilfe bei logfile...
Archiv
Du betrachtest: hilfe bei logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131