| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner wirklich weg oder nicht?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.09.2008, 16:05
| #1 |
| |  Trojaner wirklich weg oder nicht? Guten Tag an die Community Ich bin neu hier und dies ist mein erster Post. Ich lese schon seit ca. einer Woche mit und habe mir bisher fast immer mit Googel etc selber helfen können, aber nun bin ich an einem Punkt angelangt, an dem ich ohne fachmännischen Rat aufgeschmissen bin. Das Erklären kann etwas dauern. Ich bin ganz und gar kein Experte was PC´s angeht, alles was ich weiß, habe ich aus diesem Board. Am Mittwoch hatte ich meinen PC formatieren lassen und bekam ihn mit einer Vollversion von Bit Defender wieder. Am Freitag lud ich mir versehentlich Zlob runter, das sich als Codec ausgab. Meine ersten Schritte waren mir Malewarebytes und Spybot zu laden und alles zu scannen und dann zu fixen. Ich dachte dann alles soweit gelöscht zu haben, als Sonntag 2 mal die Meldung von Bit Def. Kam das der Virus Zlob auf meinem PC geblockt wurde, aber mein PC sicher sei.(Bild 1) Ich führte daraufhin die detailgetreue Anweisung dieses Boardes zur entfernung duch http://www.trojaner-board.de/30411-a...-von-zlob.html Die logfiles habe ich auch beide noch. Auf Wunsch kann ich sie posten. Dann lud ich mir Spyhunter um ganz sicher zu gehen, das alles weg ist, aber selbst Spyhunter fand nach der Säuberung durch Smitfraud immernoch einen Registry Eintrag, welchen ich dann gelöscht habe.(Bild 2) Danach fand ich weder mit Malewarebytes, Spybot, Spyhunter oder Bit Defender noch irgendwas, was auf Zlob hindeuten würde und meine PC Auslastung, die immer bei 80-100% geschwebt hatte ist seit dem auch wieder normal. So, die einzige Frage, die mich beschäftigt, wie kann ich sichergehen das auch wirklich alles weg ist? Keine 100%ige Garantie, die kann ja aufgrund der kompläxität von Zlob nicht gegeben werden, aber eine gewisse Sicherheit muss ich mir doch verschaffen können. Entschuldigt, das mein erster Beitrag gleich so ein Riesentext wurde, aber ich wollte alles sehr genau erklären, wie es gewünscht wird. Für jegliche Hilfe bedanke ich mich schon im Vorraus. Mfg SMoG4Life |
|
09.09.2008, 16:17
| #2 |
| /// TB-Ausbilder     | Trojaner wirklich weg oder nicht? Hi,
__________________Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. Die Meldung von BitDefender ist nicht sehr bedenklich. SpyHunter ist insgesamt ein eher dubioses Program... auch kann ich mit deren Meldungen nicht viel anfangen. Die Berichte von Smitfraudfix und Malwarebytes würden mich jedoch interessieren. lg myrtille
__________________ |
|
09.09.2008, 16:47
| #3 |
| | Trojaner wirklich weg oder nicht? Hallo myrtille
__________________Das Logfile von Malewarebytes habe ich leider nicht mehr, ich habe mittlerweile malewarebytes und Spybot deinstalliert, da mir geraten wurde, nicht zuviele Schutzprogramme gleichzeitig laufen zu haben, daher habe ich momentan neben dem kostenpflichtigen Bit Def. nur noch Spyhunter. Aber die Logs von Smitfraud habe ich noch sowie die beiden erwünschten Logs von RSIT. Log.txt: Logfile of random's system information tool (written by random/random) Run by xxx at 2008-09-09 17:32:26 Microsoft Windows XP Professional Service Pack 2 System drive C: has 132 GB (87%) free of 153 GB Total RAM: 2047 MB (76% free) HijackThis download failed Registry dump [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] &Yahoo! Toolbar Helper - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll [2008-05-15 817936] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-09-04 370296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - BitDefender Toolbar - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll [2008-09-02 86016] {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll [2008-05-15 817936] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2008-06-12 958712] {D0943516-5076-4020-A3B5-AEFAF26AB263} - Veoh Browser Plug-in - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll [2008-08-28 352256] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "High Definition Audio Property Page Shortcut"=C:\WINDOWS\system32\HDAShCut.exe [2004-10-27 61952] "SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2005-05-18 925696] "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2005-07-26 716800] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848] "nwiz"=C:\WINDOWS\system32\nwiz.exe [2006-08-11 1519616] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016] "BDAgent"=C:\Programme\BitDefender\BitDefender 2008\bdagent.exe [2008-09-02 368640] "BitDefender Antiphishing Helper"=C:\Programme\BitDefender\BitDefender 2008\IEShow.exe [2008-09-02 61440] "DAEMON Tools-1033"=C:\Programme\D-Tools\daemon.exe [2004-08-22 81920] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-09-04 185896] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Yahoo! Pager"=C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE [2007-08-30 4670704] "Veoh"=C:\Programme\Veoh Networks\Veoh\VeohClient.exe [2008-08-28 3660848] ""= [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2006-02-28 240128] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client" "C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Pro_Evolution_Soccer_2008-FLT\program files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe"="C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Pro_Evolution_Soccer_2008-FLT\program files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008" "C:\Dokumente und Einstellungen\xxx\Desktop\PES2008.exe"="C:\Dokumente und Einstellungen\xxx\Desktop\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008" "C:\Programme\aspch\ASpCh.exe"="C:\Programme\aspch\ASpCh.exe:*  isabled:AntiSpyCheck""C:\Programme\KONAMI\Pro Evolution Soccer 2008\PES2008.exe"="C:\Programme\KONAMI\Pro Evolution Soccer 2008\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" File associations .reg - open - regedit.exe "%1" %* List of files/folders created in the last three months 2008-09-09 17:32:26 ----D---- C:\rsit 2008-09-09 17:32:26 ----D---- C:\Programme\trend micro 2008-09-08 21:27:14 ----D---- C:\Programme\Enigma Software Group 2008-09-08 20:40:37 ----A---- C:\WINDOWS\ntbtlog.txt 2008-09-08 20:31:01 ----A---- C:\WINDOWS\system32\tmp.txt 2008-09-08 20:30:56 ----A---- C:\rapport.txt 2008-09-07 22:03:15 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-09-07 22:03:14 ----D---- C:\WINDOWS\system32\Kaspersky Lab 2008-09-07 21:23:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-09-06 10:48:51 ----RHD---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SecuROM 2008-09-06 10:48:48 ----A---- C:\WINDOWS\system32\CmdLineExt.dll 2008-09-06 08:44:31 ----D---- C:\WINDOWS\system32\appmgmt 2008-09-06 07:23:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2008-09-06 06:46:43 ----A---- C:\WINDOWS\system32\xactengine2_2.dll 2008-09-06 06:46:42 ----A---- C:\WINDOWS\system32\x3daudio1_0.dll 2008-09-06 06:46:41 ----A---- C:\WINDOWS\system32\xinput1_1.dll 2008-09-06 06:46:37 ----A---- C:\WINDOWS\system32\d3dx9_30.dll 2008-09-05 23:59:49 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes 2008-09-05 23:59:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-05 23:37:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-05 18:42:50 ----A---- C:\WINDOWS\system32\MRT.exe 2008-09-05 09:31:38 ----D---- C:\WINDOWS\system32\CatRoot_bak 2008-09-04 23:30:14 ----D---- C:\Programme\Gemeinsame Dateien\xing shared 2008-09-04 23:29:55 ----A---- C:\WINDOWS\system32\rmoc3260.dll 2008-09-04 23:28:45 ----A---- C:\WINDOWS\system32\pndx5032.dll 2008-09-04 23:28:45 ----A---- C:\WINDOWS\system32\pndx5016.dll 2008-09-04 23:28:42 ----A---- C:\WINDOWS\system32\pncrt.dll 2008-09-04 23:28:25 ----D---- C:\Programme\Gemeinsame Dateien\Real 2008-09-04 23:27:55 ----D---- C:\Programme\Real 2008-09-04 23:24:38 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Real 2008-09-04 23:14:54 ----D---- C:\Programme\VLCPortable 2008-09-04 20:47:39 ----D---- C:\Programme\Veoh Networks 2008-09-04 20:46:34 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$ 2008-09-04 07:14:19 ----D---- C:\Programme\ICQ6Toolbar 2008-09-04 07:14:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2008-09-04 07:12:24 ----D---- C:\Programme\ICQ6 2008-09-04 03:02:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$ 2008-09-04 03:02:42 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$ 2008-09-04 03:02:33 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$ 2008-09-04 03:02:24 ----HDC---- C:\WINDOWS\$NtUninstallKB953839$ 2008-09-04 03:02:16 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$ 2008-09-04 03:02:07 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$ 2008-09-04 03:01:59 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$ 2008-09-04 03:01:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$ 2008-09-04 03:01:40 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$ 2008-09-04 03:01:31 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$ 2008-09-04 03:01:11 ----HDC---- C:\WINDOWS\$NtUninstallKB953838$ 2008-09-04 03:00:56 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$ 2008-09-04 03:00:42 ----HDC---- C:\WINDOWS\$NtUninstallKB950749$ 2008-09-04 03:00:27 ----HDC---- C:\WINDOWS\$NtUninstallKB944338-v2$ 2008-09-04 02:16:48 ----D---- C:\divx info.txt: info.txt logfile of random's system information tool 2008-09-09 17:32:50 Uninstall list -->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE -->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf AC3Filter (remove only)-->C:\Programme\AC3Filter\uninstall.exe Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe BitDefender Internet Security 2008-->MsiExec.exe /I{139412E5-09C2-463A-8B1C-26AEB8655BA7} DAEMON Tools-->MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0} DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN High Definition Audio Driver Package - KB888111-->C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Kaspersky Online Scanner-->C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe Mozilla Firefox (3.0.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI Pro Evolution Soccer 2008-->C:\Programme\InstallShield Installation Information\{2FDFD600-7338-4738-90D5-FC4ACA08DC36}\setup.exe -runfromtemp -l0x0407 RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7 -removeonly SpyHunter-->"C:\Programme\Enigma Software Group\SpyHunter\Uninstall.exe" "C:\Programme\Enigma Software Group\SpyHunter\install.log" -u Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" VeohTV BETA-->C:\Programme\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\setup.exe -runfromtemp -l0x0409 Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe Yahoo! Extras-->C:\PROGRA~1\Yahoo!\Common\unyext.exe Yahoo! Install Manager-->C:\WINDOWS\system32\regsvr32 /u C:\PROGRA~1\Yahoo!\Common\YINSTH~1.DLL Yahoo! Internet Mail-->C:\WINDOWS\system32\regsvr32 /u /s C:\PROGRA~1\Yahoo!\Common\ymmapi.dll Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE Yu-Gi-Oh! ONLINE 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{00B93E18-7F40-4DA9-8156-8340936DCD2F}\Setup.exe" -l0x7 Security center information AV: Bitdefender Antivirus FW: Bitdefender Firewall Environment variables "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 10, GenuineIntel "PROCESSOR_REVISION"=040a "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- Außerdem die Files von Smitfraudfix: SmitFraudFix v2.346 Scan done at 20:30:56,06, 08.09.2008 Run from C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Download Zwischenspeicher\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\BitDefender\BitDefender 2008\vsserv.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\BitDefender\BitDefender 2008\bdagent.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Veoh Networks\Veoh\VeohClient.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\xxx~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix !!!Attention, following keys are not inevitably infected!!! AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CS2\Services\Tcpip\..\{F963F117-130B-415D-8024-9C839F3C611C}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Das 2. Log, SmitFraudFix v2.346 Scan done at 20:43:21,25, 08.09.2008 Run from C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Download Zwischenspeicher\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Ich hoffe, das ich alles zu deiner Zufriedenheit ausgeführt habe. Vielen Dank auch für deine Hilfe^^ Geändert von [SMoG]4Life (09.09.2008 um 16:52 Uhr) |
|
09.09.2008, 17:00
| #4 |
| /// TB-Ausbilder | Trojaner wirklich weg oder nicht? Hi, HijackThis download failed Ich hab ganz vergessen zu vergessen, dass RSIT versucht Hijakcthis herunterzuladen und auszuführen. Da das jetzt nicht geklappt hat, würde ich dich bitten HijackThis so herunterzuladen und auszuführen und mir das Log nachzureichen.  lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
09.09.2008, 17:15
| #5 |
| | Trojaner wirklich weg oder nicht? Habe ich gemacht. Hier das Logfile. Ich kann daraus nur einen Haufen Text mit Zahlen erkennen, aber für euch ist das sicherlich sehr aufschlussreich. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:10:54, on 09.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe C:\Programme\BitDefender\BitDefender 2008\vsserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\BitDefender\BitDefender 2008\bdagent.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Veoh Networks\Veoh\VeohClient.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Download Zwischenspeicher\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-online.de/ R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe -- End of file - 5334 bytes |
|
09.09.2008, 17:20
| #6 |
| /// TB-Ausbilder | Trojaner wirklich weg oder nicht? Hi, die Listen sagen mir was für Programme auf deinem Rechner laufen und welche Programme gestartet werden, ohne dass du sie ausführst. Es ist allerdings nicht ungewöhnliches in den Logs zu sehen. Als letzte Kontrolle bitte noch folgendes abarbeiten: Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
lg myrtille
__________________ --> Trojaner wirklich weg oder nicht? |
|
09.09.2008, 18:45
| #7 |
| | Trojaner wirklich weg oder nicht? Hallo myrtille Es hat etwas gedauert, aber ich habe alle 3 Scans ausgeführt. Hier die Ergebnisse: GMER-Scan: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-09-09 18:50:48 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF75BD818] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF75BD7D0] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF75B1A20] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF75B22A8] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF75BD910] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF75BD794] SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenProcess [0xB6656B4C] SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenThread [0xB6656C3A] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF75B22C8] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF75BD866] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF75BD0B0] SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateProcess [0xB6656AB0] ---- Kernel code sections - GMER 1.0.14 ---- .text ntoskrnl.exe!ZwYieldExecution + 133 804E4FF4 2 Bytes [ 20, 1A ] ? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\WINDOWS\system32\wuauclt.exe[144] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes [ 47, E4, 24, 84 ] .text C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes [ 47, E4, 80, 84 ] .text C:\WINDOWS\System32\alg.exe[868] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes [ 47, E4, F4, 83 ] .text C:\WINDOWS\system32\winlogon.exe[960] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes [ 47, E4, 2B, 84 ] .text C:\WINDOWS\system32\services.exe[1004] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes [ 47, E4, F7, 83 ] .text ... .text C:\Dokumente und Einstellungen\xxx\Desktop\gmer.exe[3344] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ] ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [63602B3E] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [63602A5B] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [63602441] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [63602AA2] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [63602B3E] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [63602A5B] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [63602441] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [63602AA2] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AnimateWindow] [63601740] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenuEx] [636015EF] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcA] [6360208F] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetSysColor] [63601FC4] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcW] [63602065] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenu] [636015C8] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [63602A5B] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [63602AA2] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [63602441] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [63602B3E] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA] [63602AE9] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [63602AE9] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [63602B3E] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [63602AA2] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [63602A5B] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [63602441] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcA] [6360208F] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcW] [63602065] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!GetSysColor] [63601FC4] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenu] [636015C8] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) IAT C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe[292] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenuEx] [636015EF] C:\Programme\Yahoo!\Shared\YbSkin2.dll (Yahoo! Skinning Object/Yahoo! Inc.) ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 89BB22D8 Device \FileSystem\Fastfat \FatCdrom 8987F978 AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL) AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL) Device \Driver\Cdrom \Device\CdRom0 89949228 Device \FileSystem\Rdbss \Device\FsWrap 89A699E8 Device \Driver\Cdrom \Device\CdRom1 89949228 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 898A1848 Device \Driver\atapi \Device\Ide\IdePort0 898A1848 Device \Driver\atapi \Device\Ide\IdePort1 898A1848 Device \Driver\atapi \Device\Ide\IdePort2 898A1848 Device \Driver\atapi \Device\Ide\IdePort3 898A1848 Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e 898A1848 Device \FileSystem\Srv \Device\LanmanServer 8975BFB0 AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL) AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL) Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89835700 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89835700 Device \FileSystem\Npfs \Device\NamedPipe 8991E0D8 Device \FileSystem\Msfs \Device\Mailslot 899350E8 Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 89C20890 Device \Driver\d347prt \Device\Scsi\d347prt1 89C20890 Device \FileSystem\Fastfat \Fat 8987F978 AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 89951408 Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 89951408 Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 89951408 Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 89951408 Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 89951408 Device \FileSystem\Cdfs \Cdfs 8990EF10 ---- Modules - GMER 1.0.14 ---- Module _________ F7473000-F748B000 (98304 bytes) ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ???;?0???<?:?;???????.??????????????? "??;??????????????Speedport_W_700V?.???????????????????????????????????????????????????-???T????????t?????255.255.255.0????????????????????????????*???"?*?*?*?*???*?????*?*?*?4?*?0?4?;?;?;?;?;?;?,???????;?????????????????s?;?????????????? ?????-?????*?;?;?,??? ???????;???????????;??????????N?0C?????????????;??????s:??LegacyDriver?;????N??;???6????D\C:??{8ECC055D-047F-11D1-A537-0000F8753ED1}??06??? ??;???7??????\???gmer?N???4?;?;?;?;?;ro??_srv06152D481220970460??\??\C:\WINDOWS\TEMP\httproxy_srv0613FC181220970460??\??\C:\WINDOWS\TEMP\httproxy_srv0 61494B01220970460??\??\C:\WINDOWS\TEMP\httproxy_srv06152D481220970460??\??\C:\WINDOWS\TEMP\httproxy_srv0612CAE81220970459??\??\C:\WINDOWS\TEMP\httprox ycc_tmp06178FA81220970461??\??\C:\WINDOWS\TEMP\httproxycc_tmp06178FA81220970461??\??\C:\WINDOWS\TEMP\httproxy_srv0618C0D81220970461??\??\C:\WINDOWS\TE MP\httproxy_srv061959701220970461??\??\C:\WINDOWS\TEMP\httproxy_srv0619F2081220970461??\??\C:\WINDOWS\TEMP\httproxycc_tmp061A8AA012209 Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40 ---- EOF - GMER 1.0.14 ---- Catchme-Scan: catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http:/ /www.gmer.net Rootkit scan 2008-09-09 18:54:48 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40] scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Rootkitrevealer-Scan HKU\S-1-5-21-1482476501-1958367476-1177238915-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 06.09.2008 10:48 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAC* 29.08.2008 22:45 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 29.08.2008 22:45 0 bytes Key name contains embedded nulls (*) HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 06.09.2008 18:42 0 bytes Hidden from Windows API. C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 09.09.2008 19:00 64.00 KB Visible in Windows API, but not in MFT or directory index. So, für mich sieht das alles ganz ok aus, aber da könnte sonst was stehen, ich würde den Unterschied wohl nicht merken. Aber ich danke dir nochmal für deine Hilfe und hoffe, das diese 3 Scans nun entgülltig Grund zur Entwarnung geben. Mfg SMoG4Life |
|
09.09.2008, 18:50
| #8 |
| /// TB-Ausbilder | Trojaner wirklich weg oder nicht? Hi auch die Logs scheinen sauber. Das heißt du kannst die ganzen Programme, die wir benutzt haben, wieder löschen. Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst. Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht. Dann sollten auch die Meldungen von Bitdefender weg sein. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
09.09.2008, 18:58
| #9 |
| | Trojaner wirklich weg oder nicht? Das werde ich tun. Da bin ich sehr erleichtert. Vielen Dank^^ EDIT: Da habe ich doch beim Löschen und deinstallieren der Programme noch das hier gefunden. Das Scannergebniss von Spybot. Das wurde also alles gefunden und entfernt. Schade das das Malwarebits Log nicht mehr da ist, da wäre aufgelistet gewesen, um welche Bedrohung es sich genau gehandelt hat. Aber was zählt ist nur, das alles weg ist. Geändert von [SMoG]4Life (09.09.2008 um 19:17 Uhr) |
|
10.09.2008, 15:15
| #10 |
| /// TB-Ausbilder | Trojaner wirklich weg oder nicht? Hi, seh dein Edit grad erst: Die gelöschten Einträge sind Cookies und an sich nicht wirklich böse. Zusätzlich ist noch ein "veränderter" Registryeintrag gefunden (und behoben) wurden. Die Malwarebyteslogs wären in der Tat interessant gewesen. Schau vielleicht mal hier: C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes ob es da nicht zufällig nen Ordner "Logs" gibt. Falls dich das noch interessiert. Das Log sollte aber eigentlich an den Tatsachen nicht viel ändern. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
12.09.2008, 02:22
| #11 |
| | Trojaner wirklich weg oder nicht? Vielen Dank für den Tipp. Da habe ich das Log tatsächlich gefunden. Ich füge es ein. Aber ich habe vorher noch eine kleine Frage. Wenn nun wie zb oben auf Bild 1 die Meldung von Bit Def. kommt, das ein Virus geblockt wurde, muss ich mir erstmal keine Sorgen machen, oder? Ich lade sehr viel bei Serienjunkies und anderen ähnlichen Seiten und gestern hatte ich beim entpacken eines Archivs wieder so eine Meldung. Bit hat Virus auf PC festgestellt aber geblockt. PC ist sicher. Halt den Standartspruch. Habe dann das betreffende Archiv sofort geschreddert und alles mehrfach gescannt. Alles Sauber. Meine Frage also, was ich zukünftig im Falle einer solchen Warnmeldung zu tun habe, oder tun sollte. Hier das Mbam-Log mit den Infizierungen, als letzte Info^^ Code:
ATTFilter Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1118
Windows 5.1.2600 Service Pack 2
06.09.2008 00:08:19
mbam-log-2008-09-06 (00-08-19).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 37200
Laufzeit: 4 minute(s), 58 second(s)
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8
Infizierte Speicherprozesse:
C:\Programme\Applications\iebtm.exe (Trojan.Zlob) -> Unloaded process successfully.
C:\Programme\Applications\iebtmm.exe (Trojan.Zlob) -> Unloaded process successfully.
Infizierte Speichermodule:
C:\WINDOWS\system32\sjrggq.dll (Trojan.Zlob) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{d3b82107-f8fa-4ef3-8066-136e22872d4e} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\threatwarning.warningbho (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e1fab6bd-4a34-47ce-82af-50b16a6be77e} (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e1fab6bd-4a34-47ce-82af-50b16a6be77e} (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\threatwarning.warningbho.1 (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0bd44ab1-76a7-4e05-92f4-4b065fe72bd6} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0bd44ab1-76a7-4e05-92f4-4b065fe72bd6} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\aspch (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\aspch (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\aspch (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Safety Alert (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IEBrowse Tool (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Warning Center (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{d3b82107-f8fa-4ef3-8066-136e22872d4e} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aspch (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\start (Trojan.Zlob) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Programme\aspch (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\sjrggq.dll (Trojan.Zlob.H) -> Delete on reboot.
C:\Programme\aspch\ThreatWarning.dll (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
C:\Programme\Applications\iebt.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Programme\aspch\uninst.exe (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
C:\Programme\Applications\iebtm.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Programme\Applications\iebtmm.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpyCheck 2.1.lnk (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Startmenü\AntiSpyCheck 2.1.lnk (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
Geändert von [SMoG]4Life (12.09.2008 um 02:32 Uhr) |
|
12.09.2008, 02:26
| #12 |
| /// TB-Ausbilder | Trojaner wirklich weg oder nicht? Hi, prinzipiell wird dich Bitdefender nicht umsonst aufschrecken. Wenn es beim Archiv entpacken, hast du wahrscheinlich Glück gehabt. Wenn du die Datei bereits ausgeführt hattest, würd ich mir eher Sorgen machen. Aber wenn du auf der Seite so regelmäßig Meldungen kriegst, solltest du dir vielleicht Gedanken über die Integrität der Seite machen!?  lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
| Themen zu Trojaner wirklich weg oder nicht? |
| 80-100, 80-100%, alles weg, auslastung, bild, bit defender, defender, entfernung, formatieren, frage, fraud, geblockt, gelöscht, guten, helfen, laden, logfiles, meldung, neu, registry, runter, scan, scannen, sicherheit, smitfraud, spybot, trojaner, virus, zlob |
Linear-Darstellung
