|
Log-Analyse und Auswertung: tojouc.exe und wufammimmy.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.10.2008, 13:37 | #1 |
| tojouc.exe und wufammimmy.exe Hallo Leute, habe ein großes Problem seit heute morgen. Ich kann bestimmte Einträge im hijack.this nicht löschen, die Dinger sind unter O4 und O23 im HijackThis aufgetaucht, und zwar wufammimmy.exe und tojouc.exe. Weiterhin schafft es SpybotS&D nicht, die Datei "msvcrt.dll" zu untersuchen, da tauchen dann Dinger wie "Baciami, TangoDialer und LocatorBar" auf! Bitte helft mir, was soll ich tun? AntiVir wird beim Startup auch nicht mehr geladen (wird wohl verhindert), hier der Log von HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:09:42, on 30.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\WINDOWS\SOUNDMAN.EXE M:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\TRIXX\TRIXX.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\tojouc.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe c:\programme\antivir personaledition classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe M:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TRIXX] "C:\Programme\TRIXX\TRIXX.exe" -s O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunServices: [jyquibof] C:\WINDOWS\system32\wufammimmy.exe O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9A1875E7-618A-4589-98C6-A4A601DE7D2B}: NameServer = 192.168.1.1 O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - M:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: TVersityMediaServer - Unknown owner - M:\Programme\TVersity\Media Server\MediaServer.exe O23 - Service: Websense CPM Report Scheduler (up6uqnay9i2jqon) - Unknown owner - C:\WINDOWS\system32\tojouc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6499 bytes
__________________ The stars know the answer, but what was the question? |
30.10.2008, 16:09 | #2 |
| tojouc.exe und wufammimmy.exe Moin,
__________________Lade zuerst diese 3 Dateien bei VirusTotal hoch und poste die Ergebnisse. Code:
ATTFilter C:\WINDOWS\system32\wufammimmy.exe C:\WINDOWS\system32\tojouc.exe Scanne dann deinen PC mit Malwarebytes Anti-Malware und poste ebenfalls das Logfile. MfG Chuck0r
__________________ |
30.10.2008, 17:51 | #3 |
| tojouc.exe und wufammimmy.exe tojouc.exe habe ich schon gelöscht seitdem geht AntiVir wieder, hier das Ergebnis von wufammimmy.exe
__________________Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.30.1 2008.10.30 - AntiVir 7.9.0.10 2008.10.30 BDS/Agent.rtg Authentium 5.1.0.4 2008.10.30 - Avast 4.8.1248.0 2008.10.30 - AVG 8.0.0.161 2008.10.30 Worm/Generic_r.BF BitDefender 7.2 2008.10.30 - CAT-QuickHeal 9.50 2008.10.29 - ClamAV 0.93.1 2008.10.30 - DrWeb 4.44.0.09170 2008.10.30 - eSafe 7.0.17.0 2008.10.30 Suspicious File eTrust-Vet 31.6.6180 2008.10.29 - Ewido 4.0 2008.10.30 - F-Prot 4.4.4.56 2008.10.29 - F-Secure 8.0.14332.0 2008.10.30 - Fortinet 3.117.0.0 2008.10.28 - GData 19 2008.10.30 - Ikarus T3.1.1.44.0 2008.10.30 Backdoor.Win32.Oderoor.D K7AntiVirus 7.10.512 2008.10.30 - Kaspersky 7.0.0.125 2008.10.30 - McAfee 5418 2008.10.30 - Microsoft 1.4005 2008.10.30 - NOD32 3570 2008.10.30 a variant of Win32/Meslice.A Norman 5.80.02 2008.10.30 - Panda 9.0.0.4 2008.10.29 - PCTools 4.4.2.0 2008.10.30 - Prevx1 V2 2008.10.30 Malicious Software Rising 21.01.32.00 2008.10.30 - SecureWeb-Gateway 6.7.6 2008.10.30 Trojan.Backdoor.Agent.rtg Sophos 4.35.0 2008.10.30 Mal/EncPk-CK Sunbelt 3.1.1764.1 2008.10.29 - Symantec 10 2008.10.30 - TheHacker 6.3.1.1.134 2008.10.30 - TrendMicro 8.700.0.1004 2008.10.30 - VBA32 3.12.8.9 2008.10.30 - ViRobot 2008.10.30.1445 2008.10.30 - VirusBuster 4.5.11.0 2008.10.30 - weitere Informationen File size: 198656 bytes MD5...: 6457db429fec2391d9149a1cb84f0c77 SHA1..: f24f2c2f36a7ee5e19220c064cef6ac1f12654dd SHA256: 84a957e134fe25c9a563e1d4710dd5f53677ee7d02d22652bb2a0e986911fb6e SHA512: d5af327f7264b35bc73049c207a15793e67c24229115301f815b5128c4a09138 90ef2bd6ace0c4626e2cad3a371c58d8b4ad49c4c809bfcd4bf392b8cd32091a PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (60.3%) Win32 Executable Generic (16.8%) Win32 Dynamic Link Library (generic) (14.9%) Generic Win/DOS Executable (3.9%) DOS Executable Generic (3.9%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x447d4f timedatestamp.....: 0x467a551e (Thu Jun 21 10:38:22 2007) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3d3f 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x5000 0xa82 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .data 0x6000 0x17ebc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .UPX0 0x1e000 0xe985 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .UPX1 0x2d000 0x30307 0x30400 7.84 8c3969ca817e65296ffb99ecb2f8465e ( 4 imports ) > KERNEL32.dll: GetPrivateProfileStringA, OpenEventW, OutputDebugStringA, GetModuleHandleA, HeapUnlock, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, WriteConsoleW, GlobalAlloc, EscapeCommFunction, SetComputerNameW, SetMailslotInfo, MoveFileExA, LocalUnlock, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, GetLastError, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, GetStringTypeW > USER32.dll: SetScrollPos, GetSysColor, UnhookWindowsHook > GDI32.dll: SetGraphicsMode, CreateFontA, PolyTextOutW, SelectClipRgn, ResetDCA, PlgBlt, SetDIBitsToDevice > KERNEL32.dll: VirtualProtect ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C0DD859B00EB727608F8038DEBB9450024EDE707 ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. Scan another file VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service
__________________ |
30.10.2008, 19:45 | #5 |
| tojouc.exe und wufammimmy.exe Hier das Logfile von Malwarebytes (hat zwei Objekte in der Registry gefunden): Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1340 Windows 5.1.2600 Service Pack 3 30.10.2008 20:37:25 mbam-log-2008-10-30 (20-36-52).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|L:\|M:\|S:\|) Durchsuchte Objekte: 288543 Laufzeit: 2 hour(s), 40 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\MediaLoads (Adware.Medload) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden)
__________________ The stars know the answer, but what was the question? Geändert von Morlin (30.10.2008 um 20:40 Uhr) |
30.10.2008, 22:14 | #6 | |
| tojouc.exe und wufammimmy.exeZitat:
Wie du siehst wird er auch nicht von Malwarebytes erkannt. Jetzt einfach eine Datei löschen wird wohl nicht reichen. MfG Chuck0r
__________________ --> tojouc.exe und wufammimmy.exe |
31.10.2008, 08:15 | #7 | |
| tojouc.exe und wufammimmy.exe Malwarebytes hat doch zwei Registrierungsschlüssel erkannt! Außerdem hat AntiVir (nach einem Update) den Trojaner gefunden und gekillt! Zitat:
__________________ The stars know the answer, but what was the question? |
31.10.2008, 14:18 | #8 |
| tojouc.exe und wufammimmy.exe Moin, Muss aber nicht heißen, dass das alles war. Backdoor-Trojaner sollte man nicht unterschätzen. Auch wenn nichts mehr im HiJackThis-Logfile zu finden ist kann der Trojaner immer noch da sein. Les dir doch mal meinen Link durch: Klick Du kannst den PC natürlich auch so lassen. Ist deine Sache. MfG Chuck0r |
31.10.2008, 16:24 | #9 |
| tojouc.exe und wufammimmy.exe Reicht es denn WINDOWS platt zu machen? Die 2. Festplatte kann ich doch unverändert lassen oder?
__________________ The stars know the answer, but what was the question? |
31.10.2008, 16:54 | #10 | |
| tojouc.exe und wufammimmy.exeZitat:
MfG Chuck0r |
Themen zu tojouc.exe und wufammimmy.exe |
.dll, adobe, antivir, avira, bho, canon, dateien, excel, explorer, firefox, hijackthis, hkus\s-1-5-18, hotkey, icq, internet, internet explorer, log, löschen, microsoft, mozilla, object, pdf, problem, programme, system, windows, windows xp, windows xp sp3, xp sp3 |