| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen"....Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.10.2008, 10:57
| #1 |
 |  Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hallo, hab seit gestern ein Problem mit: 1.trojan-spy.win32.greenscreen 2.Trojan-Clicker.Win32Tiny.h 3.Trojan-Downloader.Win32.Agent.bq 4.Trojan-Spy.Win32.Keylogger.aa 5.Trojan-Spy.HTML.Bankfraud.dq Ich hab jetzt auch schon HiJack this angewendet. Ich hoffe es ist alles richtig gemacht! Code:
ATTFilter Logfile of Trend Micro Hija**This v2.0.2
Scan saved at 11:32:16, on 10.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\brastk.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\spgbijgb.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [winutildb] C:\WINDOWS\system32\spgbijgb.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: comdbadm - {73D0635E-0B2F-7247-33FF-02C10A20279A} - C:\Programme\chcedyf\comdbadm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 7992 bytes
Liebe Grüße Fako |
|
10.10.2008, 18:29
| #2 | |
  | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hallo und
__________________ lass bitte diese Dateien Zitat:
oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Überprüfe dein System ebenfalls mit Smitfraudfix (Option 1) SmitFraudFix deaktiviere dazu bitte den Hintergrundwächter deines Antivirenprogramms da es sonst zu einem Fehlalarm kommt, poste nach dem scan bitte den rapport.txt hierher. MFG
__________________ |
|
11.10.2008, 11:54
| #3 |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hey,
__________________ich hab ejtzt einfach mal alles kopiert, hofef es ist nicht schlimm Code:
ATTFilter AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.10 -
Authentium 5.1.0.4 2008.10.11 -
Avast 4.8.1248.0 2008.10.10 Win32:PureMorph
AVG 8.0.0.161 2008.10.10 -
BitDefender 7.2 2008.10.11 -
CAT-QuickHeal 9.50 2008.10.11 Win32.Trojan.Obfuscated.gx.3
ClamAV 0.93.1 2008.10.11 -
DrWeb 4.44.0.09170 2008.10.11 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6141 2008.10.10 -
Ewido 4.0 2008.10.11 -
F-Prot 4.4.4.56 2008.10.10 -
F-Secure 8.0.14332.0 2008.10.11 -
Fortinet 3.113.0.0 2008.10.11 W32/PolySmall.BP!tr
GData 19 2008.10.11 Win32:PureMorph
Ikarus T3.1.1.34.0 2008.10.11 -
K7AntiVirus 7.10.490 2008.10.10 -
Kaspersky 7.0.0.125 2008.10.11 -
McAfee 5403 2008.10.11 FakeAlert-BD
Microsoft 1.4005 2008.10.11 Trojan:Win32/Busky.EI
NOD32 3514 2008.10.11 a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.11 -
PCTools 4.4.2.0 2008.10.10 -
Prevx1 V2 2008.10.11 -
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.10 -
Sophos 4.34.0 2008.10.11 Mal/EncPk-DG
Sunbelt 3.1.1715.1 2008.10.11 -
Symantec 10 2008.10.11 Packed.Generic.182
TheHacker 6.3.1.0.106 2008.10.10 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.10 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.10 -
weitere Informationen
File size: 73728 bytes
MD5...: 4d6b2e60344780e9a2176ad0f0834456
SHA1..: 0cb989ba7e0be5d9634c6b7c604ebad7d50faca7
SHA256: 5f095fc87f6804338d50b87de0490d64d48f6b45be6d091e8224ad049f008f2c
SHA512: 2d240c8c668accc3efcd9ce2640f30fa3285f1aeb4d9b35df37351f9d79de827
f8b137ee20cb73796acfe2dea3187f69c9fb79558212b702a8621d4f6375f8ae
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40994a
timedatestamp.....: 0x48ee2b4c (Thu Oct 09 16:03:24 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.wmdvvsl 0x1000 0xeb54 0xf000 6.50 ee6207b99f462dda5e4b9a577cf39105
.lrdlioo 0x10000 0x5b4 0x1000 2.49 a0a91178e993f7054826471b805dd4d3
.ociqj 0x11000 0x5a24 0x1000 0.70 8e4a3667f506789863b1c9b7631a4006
( 2 imports )
> KERNEL32.dll: GetVersion, VirtualFree, WaitForSingleObject, FreeLibrary, WriteFile, LoadLibraryA, WideCharToMultiByte, GetSystemTime, TerminateThread, QueryDosDeviceW, SetThreadPriority, CloseHandle, FindResourceW, LoadResource, FindFirstFileW, GetCurrentProcessId, GetUserDefaultLangID, GetCurrentThread, GetFileAttributesExW, lstrcpyW, WaitForMultipleObjects, GetProcAddress, GetCurrentThreadId, GetPrivateProfileStringW, FindNextChangeNotification, FindFirstChangeNotificationW, MultiByteToWideChar, GlobalUnlock, CreateProcessW, lstrlenW
> USER32.dll: GetClassNameW, RegisterClassExW, DispatchMessageW, CreateWindowExW, GetKeyState, WindowFromPoint, LoadCursorW, SetWindowPos, GetCursorPos, ReleaseDC, DefWindowProcW, GetMessageW, AppendMenuW, PostQuitMessage, MessageBoxW, SendMessageW, CreatePopupMenu, SetWindowTextW, IsWindow, TranslateMessage, RegisterWindowMessageW, LoadImageW
( 0 exports )
Code:
ATTFilter SmitFraudFix v2.358
Scan done at 12:53:32,26, 11.10.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\spgbijgb.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
hosts file corrupted !
127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Peter\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: D-Link AirPlus G+ DWL-G520+ Wireless PCI Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
LG Fako |
|
11.10.2008, 14:17
| #4 | |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hallo du hast wohl nur eine Datei der drei auswerten lassen oder kam bei allen das selbe Ergebnis  ?Lass bitte zuerst Malwarebytes dein System bereinigen und anschließend lass Combofix dein System untersuchen Zitat:
MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
11.10.2008, 15:51
| #5 |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Sorry :P das ist jettz von dem ersten. Das andere war von dem zweiten die 3. datei findet der nicht  Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.11 -
Authentium 5.1.0.4 2008.10.11 -
Avast 4.8.1248.0 2008.10.10 Win32:Lighty
AVG 8.0.0.161 2008.10.10 Downloader.Generic7.AXLP
BitDefender 7.2 2008.10.11 -
CAT-QuickHeal 9.50 2008.10.11 -
ClamAV 0.93.1 2008.10.11 -
DrWeb 4.44.0.09170 2008.10.11 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6141 2008.10.10 -
Ewido 4.0 2008.10.11 -
F-Prot 4.4.4.56 2008.10.10 -
F-Secure 8.0.14332.0 2008.10.11 Suspicious:W32/Malware!Gemini
Fortinet 3.113.0.0 2008.10.11 -
GData 19 2008.10.11 Win32:Lighty
Ikarus T3.1.1.34.0 2008.10.11 Virus.Win32.Lighty
K7AntiVirus 7.10.491 2008.10.11 -
Kaspersky 7.0.0.125 2008.10.11 -
McAfee 5403 2008.10.11 -
Microsoft 1.4005 2008.10.11 TrojanDownloader:Win32/Renos
NOD32 3515 2008.10.11 a variant of Win32/TrojanDownloader.FakeAlert.LG
Norman 5.80.02 2008.10.10 W32/Lighty.D
Panda 9.0.0.4 2008.10.11 -
PCTools 4.4.2.0 2008.10.11 -
Prevx1 V2 2008.10.11 Cloaked Malware
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.11 -
Sophos 4.34.0 2008.10.11 -
Sunbelt 3.1.1715.1 2008.10.11 -
Symantec 10 2008.10.11 -
TheHacker 6.3.1.0.106 2008.10.10 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.10 OScope.Downloader.Braviax.3
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.11 Trojan.DR.Renos.ATB
weitere Informationen
File size: 9728 bytes
MD5...: 2669a713f96a2533c91cd59c4fc79fc4
SHA1..: b0080bc76a15c6a1b41535be9529a4ae324765d1
SHA256: 34b3efbc2658152fed6564682806674a987c28574d17bf741181b86b97e1998e
SHA512: 31879af1c40807a12434ebedf9448532fa2c61bdb05b522c6dbee426f63521b2
c0302a2f1ff008ba4562ab85ba15aeb569a37ffd7ad96bc1a89799ea9bd43306
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4000 0x200 4.89 34bd25994ec81ad385c92bb46805cd7e
.data 0x5000 0x3000 0x2000 7.50 6c43ac81f586120d4d00a1ad3594a5cc
.rdata 0x8000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 3 imports )
> KERNEL32.DLL: CancelDeviceWakeupRequest, CreateTapePartition, DeleteFileA, ExitProcess, GetCurrentDirectoryW, GetProcessHeap, GetTapeParameters, GetThreadContext, GetVolumeInformationW, GlobalCompact, HeapCreate, HeapFree, HeapValidate, HeapWalk, LoadResource, ReadFileEx, ResetWriteWatch, SleepEx, TerminateThread, WaitCommEvent, lstrcat, lstrcatA
> USER32.DLL: AdjustWindowRectEx, BroadcastSystemMessageA, CharToOemBuffA, DdeGetLastError, DefMDIChildProcW, DeleteMenu, DrawAnimatedRects, DrawCaptionTempA, DrawCaptionTempW, DrawIconEx, GetKBCodePage, GetShellWindow, GetThreadDesktop, IMPGetIMEW, IntersectRect, LockWindowUpdate, MapVirtualKeyExA, RegisterSystemThread, RegisterWindowMessageW, RemovePropW, SendIMEMessageExW, SetDebugErrorLevel, SetMenu, SetWindowRgn, ShowScrollBar, UnhookWinEvent, ValidateRgn
> GDI32.DLL: AnimatePalette, ColorMatchToTarget, CopyMetaFileW, CreateMetaFileW, CreateScalableFontResourceA, CreateScalableFontResourceW, GetAspectRatioFilterEx, GetColorAdjustment, GetEnhMetaFileHeader, GetEnhMetaFileW, GetKerningPairsW, GetMetaRgn, GetPixelFormat, GetTextFaceW, RealizePalette, ResetDCW, SetICMMode, SetPixel, SetViewportOrgEx, SwapBuffers
( 0 exports )
Hier ist das Ergebnis von Malwarebytes. Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1255
Windows 5.1.2600 Service Pack 2
11.10.2008 16:53:28
mbam-log-2008-10-11 (16-53-28).txt
Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 90539
Laufzeit: 49 minute(s), 12 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{73D0635E-0B2F-7247-33FF-02C10A20279A} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\comdbadm (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winutildb (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\chcedyf\comdbadm.dll (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spgbijgb.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
LG Fako  |
|
11.10.2008, 17:22
| #6 | |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hallo Zitat:
MFG
__________________ --> Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... |
|
12.10.2008, 00:14
| #7 |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hey, Sorry ich bin anscheinend einfach zu dumm, auf der Mircosoft-Seite diese doofe Konsole downzuloaden -.- und ne CD hab ich nicht mehr.... und ohne gehts ja nicht. Auf dem Link find ich die Konsole nicht.... LG Fako |
|
12.10.2008, 06:53
| #8 | ||
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hallo Zitat:
Zitat:
Poste die Logs hierher und berichte bitte. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
12.10.2008, 10:58
| #9 |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Guten Morgen Woher soll ich den COde haben? LG Fako |
|
12.10.2008, 11:18
| #10 | |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Moin Zitat:
 .Solltest du auch den Aktivierungscode nicht haben, so handelt es sich wohl um eine illegale Version von WinXP (spekulier  ) und man kann dir nur raten besorge dir eine legale Version (kaufen) oder steige auf ein freies Betriebssystem um z.B. Linux...Downloads ? Wiki ? ubuntuusers.de Prost
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
12.10.2008, 11:44
| #11 |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Moin, natürlcih hab ich eine legale Version, hab mal ein bissl gesucht und son aufkleber mit nem Produktkey gefunden und einer anderen Nummer, auf dem Kleber steht "Proof of License Certificate of Authenticity drauf. meinst du den? LG fako |
|
12.10.2008, 12:52
| #12 | |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hallo Zitat:
Ich kam nur auf illegale Version, weil diese Art Patienten oftmals behaupten die CD verlegt zu haben  , also Sorry an dieser Stelle .Fahre mit Combofix und anschließend mit HijackThis Ford , dann sehen wir weiter.MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
12.10.2008, 18:30
| #13 |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... So hier ist der Combo Log: Code:
ATTFilter ComboFix 08-10-11.04 - Peter 2008-10-12 19:23:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1598 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Peter\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.
2008-10-12 00:52 . 2008-10-12 00:52 <DIR> d-------- C:\Programme\CCleaner
2008-10-11 15:54 . 2008-10-11 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Malwarebytes
2008-10-11 15:53 . 2008-10-11 15:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-11 15:53 . 2008-10-11 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-11 15:53 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-11 15:53 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-11 12:53 . 2008-10-11 12:53 3,140 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-10 16:16 . 2008-10-12 12:05 959 --a------ C:\rollback.ini
2008-10-10 14:49 . 2008-10-10 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\MailFrontier
2008-10-10 14:44 . 2008-10-12 19:25 2,127,136 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-10 14:44 . 2008-10-12 14:03 30,428 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-10 14:15 . 2008-10-10 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-10-10 14:15 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-10-10 14:15 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-10-10 14:15 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-10-10 14:15 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-10-10 14:15 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-10-10 14:15 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-10-10 14:15 . 2008-10-10 17:02 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-10-10 14:14 . 2008-10-10 14:14 <DIR> d-------- C:\Programme\Zone Labs
2008-10-10 14:13 . 2008-10-12 19:11 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-10-10 11:31 . 2008-10-10 11:31 <DIR> d-------- C:\Programme\Trend Micro
2008-10-10 11:19 . 2008-10-10 11:19 <DIR> d-------- C:\Programme\Lavasoft
2008-10-10 11:19 . 2008-10-10 11:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 11:19 . 2008-10-10 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 02:29 . 2008-10-10 02:29 91 --a------ C:\WINDOWS\wininit.ini
2008-10-10 02:09 . 2008-10-10 02:11 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-10 02:09 . 2008-10-12 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 02:03 . 2008-10-10 13:55 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-10 01:25 . 2008-10-11 10:44 <DIR> d-------- C:\Programme\chcedyf
2008-10-10 01:25 . 2008-10-11 01:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\glwfghgr
2008-10-09 17:22 . 2008-10-11 11:48 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-30 14:37 . 2008-09-30 14:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-30 14:37 . 2008-09-30 14:37 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-20 15:48 . 2008-09-20 15:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-09-20 15:48 . 2008-09-20 15:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-09-20 15:48 . 2008-09-20 15:48 <DIR> d-------- C:\Program Files
2008-09-18 02:41 . 2008-09-18 02:41 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 17:14 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Xfire
2008-10-11 23:26 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\teamspeak2
2008-10-11 14:53 --------- d-----w C:\Programme\ICQToolbar
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-10-09 23:25 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ICQ Toolbar
2008-10-09 15:21 --------- d-----w C:\Programme\Xfire
2008-10-03 13:51 --------- d-----w C:\Programme\KONAMI
2008-10-03 13:28 --------- d-----w C:\Programme\EuroPoker
2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-09-29 10:17 --------- d-----w C:\Programme\ICQ6
2008-09-12 12:27 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\gtk-2.0
2008-09-11 21:22 --------- d-----w C:\Programme\GIMP-2.0
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-03 16:30 --------- d-----w C:\Programme\CamStudio
2008-08-19 21:05 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\McLoad
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-08-16 19:23 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Nokia
2008-08-16 18:25 --------- d-----w C:\Programme\PC Connectivity Solution
2008-08-16 18:25 --------- d-----w C:\Programme\Nokia
2008-08-16 18:25 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-08-16 18:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-08-16 18:25 --------- d-----w C:\Programme\DIFX
2008-08-16 18:25 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\PC Suite
2008-08-16 18:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-08-16 18:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2004-08-20 17:09 62,865 ----a-w C:\WINDOWS\inf\IM\odysseyIM3.sys
2004-08-20 17:09 45,056 ----a-w C:\WINDOWS\inf\IM\imdinst.exe
2004-08-20 17:09 12,739 ----a-w C:\WINDOWS\inf\IM\odNetInstall.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-25 94208]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
"Google Update"="C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-02 133104]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 7561216]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-28 266497]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-06-14 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-06-05 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 155648]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-20 185896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"nwiz"="nwiz.exe" [2006-03-09 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
C:\Dokumente und Einstellungen\Peter\Startmen\Programme\Autostart\
Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-09-18 3089232]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
D-Link AirPlus G+ Wireless Adapter Utility.lnk - C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE [2008-05-29 671744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R3 cm102u32;C-Media CM6501 Like Sound Interface;C:\WINDOWS\system32\drivers\c6501.sys [2006-09-05 1419968]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2004-05-21 283392]
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-10-12 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-02 22:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-C6501Sound - c6501.cpl
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Mozilla\Firefox\Profiles\th9zc4x5.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 19:24:42
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 19:27:30
ComboFix-quarantined-files.txt 2008-10-12 17:27:16
Vor Suchlauf: 9 Verzeichnis(se), 126.456.184.832 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 126,456,442,880 Bytes frei
178 --- E O F --- 2008-10-11 09:39:58
Hijackthis findet nur eventuelle gefährdungen: 1. C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe 2. C:\Programme\PC Connectivity Solution\ServiceLayer.exe Da sagt er das sie laut der datenbank an eine anderen stelllt zu findne sind LG Fako Geändert von Fako (12.10.2008 um 18:43 Uhr) |
|
12.10.2008, 22:38
| #14 | ||
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Hallo Zitat:
Zitat:
 ...Poste bitte das Log hierher. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
12.10.2008, 22:58
| #15 |
| | Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... Bitteschön  Code:
ATTFilter Logfile of Trend Micro Hi jackThis v2.0.2
Scan saved at 23:57:23, on 12.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 7314 bytes
|
|
| Themen zu Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... |
| ad-aware, antivir, antivirus, avira, computer, excel, firefox, google, google update, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mehrere, mozilla, object, problem, rojaner gefunden, rundll, security, software, solution, spyware, system, trojaner, trojaner gefunden, urlsearchhook, windows, windows xp |
Linear-Darstellung
