Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hjacklog/virustotal log - immernoch problem

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.09.2008, 22:26   #1
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



hallo

will auf keinen ärger stoßen, aber ich sehe mich gezwungen nochmal einen thread aufzumachen, mein erster ist in der mülltonne gelandet obwohl das problem nicht gelöst war, ich denk mal das hängt damit zusammen dass ich verwarnt wurde weil ich vergessen habe die systemdaten nach regel 5 zu posten

deswegen folgen nach diesem langen zitat weitere angabem, sowie der noch ausstehende bericht des virustotalscans, der mir als erste maßnahme empfohlen wurde

hier also nochmal mein problem!

Zitat:
hallo
mein schwesterchen hats mal wieder gepackt, einen link zu einem dubiosen video geöffnet, runtergeladen und ab dafür
der internetexplorer sowie der moziallfirefox haben jetzt probleme seiten zu laden, bleiben oft beim laden bei einem about blank

und beim klicken eines links gelangt man manchmal zu völlig anderen seiten, die man nicht aufgerufen hat... und in der seitenladebalkenanzeige steht sehr oft lightask.com
sobald dieses lightask.com in dem balken erscheint kann man sicher sein auf ein about blank zu stoßen

was noch sehr auffällig ist, ingesamt sind beide browser sehr langsam geworden
hier ist der hijack log den ich mal gemacht hab, ich weiß aber nicht damit umzugehen
ich hoffe ich hab alle regeln beachtet, sowie links in ** umgewandelt


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:34, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerVCR II\Agent.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TinyProxy\TinyProxy.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www2.partyface.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = h**p=127.0.0.1:8181
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807. 1746\swg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {1E81FACF-EBF3-4724-91E2-0BAA64B9735A} - h**p://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - h**p://shizmoo.com/activex/web665.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64938B28-B822-453F-8942-E9DD15E1A1C5}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DHCP-Client (Dhcp) - Unknown owner - C:\Programme\TinyProxy\TinyProxy.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 11599 bytes



vielen dank für die hilfe, und nicht böse sein falls ich was falsch gemacht hab, bin ja neu hier


theoretisch hat meine schwester auch noch den link zu diesem beknackten video aber den wollte ich aus sicherheitsgründen hier nicht posten, könnte mir aber halt schon vorstellen dass er beim finden des problems helfen kann


achso weitere maßnahmen die ich noch durchgeführt habe, sind spybot search and destroy, spyware doctor und ad aware durchlaufen zu lassen ohne die entscheidene spyware/virus zu entfernen

gruß fliege

weitere angaben

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu

Betriebssystem : Windows Xp Home Edition
wortgetreue Wiedergabe von Fehlermeldungen: leider keine Fehlermeldungen nur Symptome die mich auf einen Virus/Spyware schließen lassen
d.h.
--> langsames surfen im internetexplorer / mozilla firefox
--> sehr oft about blank seiten, nach öffnen einer internetseite die auf anderen pc's einwandfrei funktioniert
--> beim klicken einer URL wird man sehr oft auf völlig andere seiten weitergeleitet
--> in der navigationsleiste steht oft lightask.com auch wenn man dies nirgendswo eingegeben hat und unbekannt ist, wenn diese lightask.com erscheint kann man sich sicher sein dass man auf ein about blank stossen wird


mehr angaben kann ich leider als laie nicht machen!

___________________________


so hier der bericht von virustotal
hat auch fleißig was gefunden!

Zitat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.23.1 2008.09.23 -
AntiVir 7.8.1.34 2008.09.23 -
Authentium 5.1.0.4 2008.09.23 -
Avast 4.8.1195.0 2008.09.23 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.23 -
BitDefender 7.2 2008.09.23 -
CAT-QuickHeal 9.50 2008.09.23 -
ClamAV 0.93.1 2008.09.23 -
DrWeb 4.44.0.09170 2008.09.23 Trojan.Corruptor.46
eSafe 7.0.17.0 2008.09.23 Suspicious File
eTrust-Vet 31.6.6101 2008.09.23 -
Ewido 4.0 2008.09.23 -
F-Prot 4.4.4.56 2008.09.23 -
F-Secure 8.0.14332.0 2008.09.23 -
Fortinet 3.113.0.0 2008.09.23 -
GData 19 2008.09.23 Win32:Trojan-gen {Other}
Ikarus T3.1.1.34.0 2008.09.23 -
K7AntiVirus 7.10.469 2008.09.23 -
Kaspersky 7.0.0.125 2008.09.23 -
McAfee 5390 2008.09.23 -
Microsoft 1.3903 2008.09.23 -
NOD32v2 3466 2008.09.23 -
Norman 5.80.02 2008.09.23 -
Panda 9.0.0.4 2008.09.23 -
PCTools 4.4.2.0 2008.09.23 -
Prevx1 V2 2008.09.23 -
Rising 20.63.12.00 2008.09.23 -
Sophos 4.33.0 2008.09.23 Mal/Heuri-D
Sunbelt 3.1.1662.1 2008.09.23 -
Symantec 10 2008.09.23 Backdoor.Trojan
TheHacker 6.3.0.9.091 2008.09.23 -
TrendMicro 8.700.0.1004 2008.09.23 PAK_Generic.001
VBA32 3.12.8.5 2008.09.23 -
ViRobot 2008.9.23.1389 2008.09.23 -
VirusBuster 4.5.11.0 2008.09.23 -
Webwasher-Gateway 6.6.2 2008.09.23 -
weitere Informationen
File size: 11520 bytes
MD5...: 27b5781c1a4bdf6e9a21232a2d126932
SHA1..: 5af520708d1f13803ae7d807310cc3d2dba18ce7
SHA256: f1a5d41e6959a755884d5efa9225dd6784238354b7f54379e87dc8e5a447cdbf
SHA512: 34f6e789e180cd89be39d188e524f5b65f2326b9e09731310e127173ac70bad6
ce9ad4e6c7c655336b8051c6da6c986774cab3fa35e8cb854b2b53c436d4152a
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x407440
timedatestamp.....: 0x48d2559f (Thu Sep 18 13:20:31 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x4000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x5000 0x3000 0x2600 7.85 635b0949fd871b0f6737489564706773
UPX2 0x8000 0x1000 0x200 3.47 b52ea6c77f1ad050340c377d5a2deab7

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: SetServiceStatus
> MSVCRT.dll: time
> ole32.dll: OleRun
> OLEAUT32.dll: -
> USER32.dll: wvsprintfA
> WS2_32.dll: -

( 0 exports )
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

danke fürs erneute drüberschauen, ich wusste leider auch nicht wie ich den bericht besser posten kann, weil da ja eine tabelle drinsteckt, gegenenfalls kann ich den bericht auch als word dokument nochmal hochladen

entscheidend ist ja aber bestimmt
Zitat:
Avast 4.8.1195.0 2008.09.23 Win32:Trojan-gen {Other}
DrWeb 4.44.0.09170 2008.09.23 Trojan.Corruptor.46
eSafe 7.0.17.0 2008.09.23 Suspicious File
GData 19 2008.09.23 Win32:Trojan-gen {Other}
da wir ja jetzt die datei die den fehler wahrscheinlich verursacht gefunden haben,

kann mir jetzt vielleicht jemand im nächsten schritt erklären was ich damit mache

welches virenprogramm ich draufhetze usw.


ps: ich hab tinyproxy mal über den taskmanager geschlossen .. folge war, internet total ausfall an diesem einen pc, alle anderen pc's können noch ins internet.. hoffe das war jetzt nicht doof
naja pc ist aus ich warte auf weiter lösungsvorschläge die ich dann 1 zu 1 umsetze =)

unendlichen dank fliege!! =)

Geändert von badfliege (23.09.2008 um 22:42 Uhr)

Alt 23.09.2008, 23:33   #2
Mellosun
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



Moin,

Wieso ist noch kein SP3 bei dir Installiert? Sollten wir bereinigen, anschließend (nach bereinigung) nachholen!

Code:
ATTFilter
Symantec 10 2008.09.23 Backdoor.Trojan
         

Hört sich nicht gut an, auch wenn die Meldung von Symantec kommt....

Mach mal folgendes:


1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
5.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 24.09.2008, 16:07   #3
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



......................
__________________

Geändert von badfliege (24.09.2008 um 16:12 Uhr) Grund: mist doppelt gepostet -.-

Alt 24.09.2008, 16:10   #4
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



hallo, ich bins nochmal

zu der Frage wieso kein SP3 installiert ist, meine Schwester hat wirklich keine Ahnung von Computern!
Wenn ich den Virus los bin dank eurer Hilfe kannst du dich drauf verlassen, dass ich ihr ein ordentliches Antivirenprogramm und das SP3 draufmache.

Meinst du denn es besteht die Chance den Virus da wegzubekommen? .. deine reaktion auf die Symantec Meldung war ja alles andere als optimistisch..

Zitat:
1.) Deaktiviere die Systemwiederherstellung
erledigt!

Zitat:
2.) Führe dieses MBR-Tool aus und poste die Ausgabe
MBR-Tool ausgeführt hier die Ausgabe -->

Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Zitat:
3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten
Blacklight Logfile ergibt -->
Code:
ATTFilter
09/24/08 16:41:03 [Info]: BlackLight Engine 1.0.70 initialized
09/24/08 16:41:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/24/08 16:41:03 [Note]: 7019 4
09/24/08 16:41:03 [Note]: 7005 0
09/24/08 16:41:08 [Note]: 7006 0
09/24/08 16:41:08 [Note]: 7011 1308
09/24/08 16:41:08 [Note]: 7035 0
09/24/08 16:41:08 [Note]: 7026 0
09/24/08 16:41:08 [Note]: 7026 0
09/24/08 16:41:12 [Note]: FSRAW library version 1.7.1024
09/24/08 16:53:25 [Note]: 7007 0
         
Malwarebytes Antimalware ergibt -->
beim Update kam eine Fehlermeldung, dass ein Update nicht möglich ist, ich solle prüfen ob die Firewall alles zulässt usw. jedoch hat meine Schwester auch keine Firewall, selbst die Windows Firewall ist deaktiviert

hier der logfile..

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 2

24.09.2008 16:59:43
mbam-log-2008-09-24 (16-59-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44038
Laufzeit: 3 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
         
Zitat:
5.) Mach auch ein Filelisting mit diesem script:
das filelisting findet ihr hier

http://www.file-upload.net/download-...sting.txt.html





Combo Fix ist das letzte was ich in Angriff nehmen wollte, weil es so bedrohlich rot geschrieben ist :S
aber wenn ich mich an deine anweisungen halte klappt das bestimmt

danke für deine mühen

julian

Alt 24.09.2008, 17:05   #5
Mellosun
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



Zitat:
Zitat von badfliege Beitrag anzeigen
Wenn ich den Virus los bin dank eurer Hilfe kannst du dich drauf verlassen, dass ich ihr ein ordentliches Antivirenprogramm und das SP3 draufmache.
Das ist ein Anfang....mehr aber auch nicht! Die größte Gefahr sitzt immer 30 cm vor dem Bildschirm!

Zitat:
Zitat von badfliege Beitrag anzeigen
Meinst du denn es besteht die Chance den Virus da wegzubekommen? .. deine reaktion auf die Symantec Meldung war ja alles andere als optimistisch..
Den Virus schon, nur das was er eventuell angestellt hat wohl nicht!


Zitat:
Zitat von badfliege Beitrag anzeigen
Malwarebytes Antimalware ergibt -->
beim Update kam eine Fehlermeldung, dass ein Update nicht möglich ist, ich solle prüfen ob die Firewall alles zulässt usw. jedoch hat meine Schwester auch keine Firewall, selbst die Windows Firewall ist deaktiviert

Ohne aktuelle Datenbank ist es sinnlos einen Scan zu machen!


Zitat:
Zitat von badfliege Beitrag anzeigen
Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 2
Malwarebytes ist aktuell bei Datenbank Version 1202...also schon wesentlich weiter als die Version mit der gescant wurde!

Führe bitte Combofix aus und versuche dannach Malwarebytes zu Updaten.....
Sollte das gelingen, bitte einen FULL Scan und Log Posten!

Aber wäre es mein Rechner, würde ich Neuaufsetzen! Wäre mir nach dem Befall viel zu unsicher!


Alt 24.09.2008, 17:17   #6
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



das ist mir auch klar, ich habs meiner schwester diesmal aber wirklich zu verstehen gegeben dass sie vorsichtiger sein MUSS und erwachsener mit dem Inet umgehen muss... ich hab noch nie einen virus gehabt, jedenfalls keinen bemerkbaren, wenn man nur ein bisschen aufpasst kommt man doch auch ohne gut klar =)

Was hat der Virus denn eventuell schon angestellt? :S
Wenn der Virus weg ist, müsste doch alles ok sein oder? was können den mögliche folgen sein?

das es ohne aktuelle datenbank sinnlos ist war mir auch klar, deshalb hab ich es ja überhaupt nur erwähnt ^^
ich versuch dann gleich combo fix laufen zu lassen und dann nochmal das update zu machen

und mach dann auch den full scan

achso und was Neuaufsetzen angeht, das hatte ich eh vor, ich wollte nur vorher auch mal was lernen dass ich nicht immer hier hingerannt kommen muss und vielleicht auch mal irgendwem helfen kann beim Neuaufsetzen halt ich mich dann auch an deine anleitung !


so ich mach in 30 mins das combo fix dingens und dann postei ch nochmalwas


im nächsten schritt nennst du mir dann sicher mördervirenkillerprogramme oder?

vlg julian

Alt 24.09.2008, 17:31   #7
Mellosun
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



Zitat:
Zitat von badfliege Beitrag anzeigen
das ist mir auch klar, ich habs meiner schwester diesmal aber wirklich zu verstehen gegeben dass sie vorsichtiger sein MUSS und erwachsener mit dem Inet umgehen muss... ich hab noch nie einen virus gehabt, jedenfalls keinen bemerkbaren, wenn man nur ein bisschen aufpasst kommt man doch auch ohne gut klar =)
Misstrauen ist das beste was es gibt! Nicht überall klicken wo es blinkt und immer daran denken, das es nichts umsonst gibt!

Zitat:
Zitat von badfliege Beitrag anzeigen
Was hat der Virus denn eventuell schon angestellt? :S
Wenn der Virus weg ist, müsste doch alles ok sein oder? was können den mögliche folgen sein?
Also da es sich, wahrscheinlich, um einen Backdoor handelt kann so ziemlich alles an dem System geändert worden sein! Möglich, das der Rechner garnicht mehr Deiner Schwester gehört sondern dem Typ der den Backdoor geschrieben hat! Möglich sind viele dinge......Der Rechner wird für Spam Missbraucht, in einem Bootnetz eingebunden, zur Verbreitung Pornografischer Inhalte genutzt usw. Das kann alles sein, muss aber nicht! Backdoors haben die Eigenschaft, dritten (also jemand anderen) Zugang zum Rechner zu verschaffen ohne das du es merkst! Und genau das ist das Problem.....man weiß nicht, wie er das gemacht hat und welche Dateien er manipuliert hat!


Zitat:
Zitat von badfliege Beitrag anzeigen
im nächsten schritt nennst du mir dann sicher mördervirenkillerprogramme oder?
Es gibt kein Programm, das jeden Virus erkennt und Blockiert! Solange du (Ihr) das nicht begreift müsst Ihr noch viel lernen! Das Problem der Programme: Sie täuschen dem Anwender Sicherheit vor und der Anweder glaubt das auch und überlegt nicht, was er im Netz anklickt/runterlädt und ausführt! Ich zum Beispiel nutze kein Virenprogramm....und das seit über 2 Jahren und hab nicht einen Virus auf dem Rechner! Wieso? Weil ich weiß wie man sich im Netz verhält und zu 99,8% die Viren dem User seine hilfe brauchen um auf das System zu kommen!

Gruß

Alt 24.09.2008, 17:46   #8
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



ich stimmt dir in allen punkten zu, du musst wissen ich bin einer von deiner sorte ^^

ich hab auch kein virenprogramm und hatte wie gesagt nie einen virus weil ich mich auch gut im internet auskenne und eben sehr misstrauisch geworden bin

und ich hab d a s virenkillerprogramm nur ironisch angesprochen weil wir ja bis jetzt viel analysierungsarbeit gemacht haben, diese ganzen logfiles galten doch nur zum finden des virus und ich dachte halt jetzt dass du mir ein programm nennst mit dem man den entdeckten virus gezielt bekämpfen kann

ich mach jetzt mal combo fix und poste die ergebnisse

Alt 24.09.2008, 18:18   #9
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



so combofix ist durch, internet geht noch =)

Code:
ATTFilter
ComboFix 08-09-22.06 - Leonie 2008-09-24 18:56:35.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.238 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Leonie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Leonie\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-24 bis 2008-09-24  ))))))))))))))))))))))))))))))
.

2008-09-24 18:50 . 2008-09-24 18:50	<DIR>	d--------	C:\Programme\CCleaner
2008-09-24 18:37 . 2008-09-24 18:37	<DIR>	d--------	C:\Programme\Lavalys
2008-09-24 16:54 . 2008-09-24 16:54	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-24 16:54 . 2008-09-24 16:54	<DIR>	d--------	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Malwarebytes
2008-09-24 16:54 . 2008-09-24 16:54	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-24 16:54 . 2008-09-08 00:11	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-24 16:54 . 2008-09-08 00:11	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-22 17:31 . 2008-09-22 17:31	<DIR>	d--------	C:\Programme\Trend Micro
2008-09-20 21:22 . 2008-09-20 21:22	<DIR>	d--------	C:\Programme\TinyProxy
2008-09-20 21:21 . 2008-09-20 21:21	1	--a------	C:\WINDOWS\fmark2.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 15:56	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-24 14:32	---------	d-----w	C:\Programme\ICQToolbar
2008-09-22 13:44	---------	d-----w	C:\Programme\ICQ6
2008-09-21 20:10	---------	d-----w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Skype
2008-09-21 20:03	---------	d-----w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\skypePM
2008-09-11 11:45	---------	d-----w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\WEB.DE
2008-08-05 17:36	171,618	----a-w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\mdb.bin
2008-01-12 19:34	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-04-25 18:14	3,330	----a-w	C:\Dokumente und Einstellungen\Leonie\CachedXtraz.bin
2005-06-07 12:02	43,688	----a-w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-03 09:06	163,328	--sha-r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Agent"="C:\Programme\Medion\PowerVCR II\Agent.exe" [2002-05-21 94208]
"Remote_Agent"="C:\Programme\Medion\PowerVCR II\RemoteAgent.exe" [2002-05-21 32768]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 5562368]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2003-05-14 26112]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 86016]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-12-25 356352]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"SoundMan"="SOUNDMAN.EXE" [2003-01-20 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-04-01 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\vio\dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= ulmp3acm.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"\\\\JULIAN\\Battlefront\\GameData\\Battlefront.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-27 45376]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2006-11-21 34816]
R2 DHCP-Client (Dhcp) ;DHCP-Client (Dhcp) ;C:\Programme\TinyProxy\TinyProxy.exe [2008-09-20 11520]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [ ]
S3 gsplittm;gsplittm;C:\DOKUME~1\Leonie\LOKALE~1\Temp\gsplittm.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{27173A27-28E8-06CE-0400-070207060100}]
C:\WINDOWS\system32\server2.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Spyware Doctor - (no file)
Notify-slbipsch - C:\WINDOWS\system32\slbipsch.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Mozilla\Firefox\Profiles\wcepxch6.Basketball\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.web.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 19:01:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\WINDOWS\TEMP\mc21.tmp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-24 19:09:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-24 17:09:07

Vor Suchlauf: 15 Verzeichnis(se), 24.602.619.904 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 24,520,990,720 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

151
         

so jetzt versuch ich nochmal das update

Alt 24.09.2008, 22:18   #10
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



ja ehm das update hat geklappt

hier jetzt der logfile

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1202
Windows 5.1.2600 Service Pack 2

24.09.2008 20:49:37
mbam-log-2008-09-24 (20-49-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 146732
Laufzeit: 1 hour(s), 15 aminute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
         

wie gehts jetzt weiter, der virus ist ja immernoch da, bis jetzt wurd ja nur analysiert wenn ich das richtig sehe?

Alt 25.09.2008, 06:04   #11
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



und bevor ich windows neu aufsetze, was soll ich mit der virus datei tinyproxy.exe machen? einfach drauflassen? :S

Alt 27.09.2008, 09:02   #12
badfliege
 
hjacklog/virustotal log  - immernoch problem - Standard

hjacklog/virustotal log - immernoch problem



huhu? noch da mellosun? ^^

ich würd gern wissen was ich jetzt machen soll :S

Antwort

Themen zu hjacklog/virustotal log - immernoch problem
ad aware, add-on, antivir, aus sicherheitsgründen, avira, bho, bonjour, browser, crypter, dhcp-client, excel, google, helfen, hijack, hijackthis, hkus\s-1-5-18, home, hängt, internet explorer, langsam, maßnahme, monitor, mozilla, object, pc tools spyware doctor, problem, rundll, sehr langsam, sicherheitsgründe, sicherheitsgründen, software, spyware, taskmanager, toolbars, uleadburninghelper, urlsearchhook, virus, windows, windows xp




Ähnliche Themen: hjacklog/virustotal log - immernoch problem


  1. Virustotal.com - Datenschutz?
    Diskussionsforum - 14.10.2014 (10)
  2. Immernoch ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 18.05.2014 (27)
  3. MBR.exe von gmer bei virustotal
    Antiviren-, Firewall- und andere Schutzprogramme - 05.11.2013 (2)
  4. MBAM ist nun bei Virustotal
    Antiviren-, Firewall- und andere Schutzprogramme - 02.12.2012 (3)
  5. Trojaner gefunden & gelöscht, aber problem immernoch da!
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (40)
  6. Firefox 3.6 und Virustotal
    Diskussionsforum - 18.04.2010 (3)
  7. HjackLog auswerten.
    Log-Analyse und Auswertung - 18.09.2009 (4)
  8. Ich habe einen Virus!Hjacklog dabei
    Log-Analyse und Auswertung - 08.05.2009 (0)
  9. Immernoch Hilfe MBR.exe...
    Mülltonne - 13.11.2008 (0)
  10. Virustotal Ergebnis...
    Mülltonne - 30.09.2007 (1)
  11. Virustotal Scan
    Log-Analyse und Auswertung - 21.09.2007 (1)
  12. Immernoch Trojaner
    Mülltonne - 05.09.2007 (9)
  13. Alexa related & co. immernoch auf'm Pc???
    Log-Analyse und Auswertung - 07.04.2007 (4)
  14. Killbox und Virustotal.com
    Antiviren-, Firewall- und andere Schutzprogramme - 21.05.2006 (7)
  15. immernoch Probleme......
    Log-Analyse und Auswertung - 09.09.2004 (4)

Zum Thema hjacklog/virustotal log - immernoch problem - hallo will auf keinen ärger stoßen, aber ich sehe mich gezwungen nochmal einen thread aufzumachen, mein erster ist in der mülltonne gelandet obwohl das problem nicht gelöst war, ich denk - hjacklog/virustotal log - immernoch problem...
Archiv
Du betrachtest: hjacklog/virustotal log - immernoch problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.