1. Datei

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.11.1.0	2008.10.31	-
AntiVir	7.9.0.10	2008.10.31	-
Authentium	5.1.0.4	2008.10.31	-
Avast	4.8.1248.0	2008.10.31	-
AVG	8.0.0.161	2008.10.31	-
BitDefender	7.2	2008.10.31	-
CAT-QuickHeal	9.50	2008.10.31	-
ClamAV	0.94.1	2008.10.31	-
DrWeb	4.44.0.09170	2008.10.31	-
eSafe	7.0.17.0	2008.10.30	-
eTrust-Vet	31.6.6184	2008.10.31	-
Ewido	4.0	2008.10.31	-
F-Prot	4.4.4.56	2008.10.31	-
F-Secure	8.0.14332.0	2008.10.31	Suspicious:W32/UltimateRAT.21!Gemini
Fortinet	3.117.0.0	2008.10.31	-
GData	19	2008.10.31	-
Ikarus	T3.1.1.44.0	2008.10.31	-
K7AntiVirus	7.10.513	2008.10.31	-
Kaspersky	7.0.0.125	2008.10.31	-
McAfee	5419	2008.10.31	-
Microsoft	1.4005	2008.10.31	TrojanDownloader:Win32/Dabew
NOD32	3575	2008.10.31	-
Norman	5.80.02	2008.10.31	-
Panda	9.0.0.4	2008.10.31	Suspicious file
PCTools	4.4.2.0	2008.10.31	-
Prevx1	V2	2008.10.31	Fraudulent Security Program
Rising	21.01.42.00	2008.10.31	-
SecureWeb-Gateway	6.7.6	2008.10.31	-
Sophos	4.35.0	2008.10.31	-
Sunbelt	3.1.1767.2	2008.10.31	-
Symantec	10	2008.10.31	-
TheHacker	6.3.1.1.135	2008.10.31	-
TrendMicro	8.700.0.1004	2008.10.31	-
VBA32	3.12.8.9	2008.10.30	-
ViRobot	2008.10.31.1446	2008.10.31	-
VirusBuster	4.5.11.0	2008.10.31	-
weitere Informationen
File size: 100352 bytes
MD5...: ecb01538701840902f25159d401b00f4
SHA1..: c4f8a9ed9115100524fc10e4a12a058d71ea0d7a
SHA256: 50c1392d42de8336b666b9243ed257112b35dbd8f09018b8808af2c2c32f79ad
SHA512: adff3cc84a6704b060358bfb95845853dfdac3d57eeadb1ae2811888c8d75d06
ed300211b53883c6fc79fe43f10c618e556104579d2c15a139c98c69d12ef64f
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x405ea4
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x6d8c 0x6e00 7.31 7c5d2599dfc5c5de35a167e1f078861e
DATA 0x8000 0xad0c 0xae00 6.25 97842ec0f6b64c6f6db13e775afabc08
BSS 0x13000 0xa45 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x14000 0x9d2 0xa00 4.64 730782252460a62355438c3f80d139cf
.tls 0x15000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x16000 0x18 0x200 0.21 edbc3e5536a5fe87f44333e41c2f7759
.reloc 0x17000 0xa50 0xc00 6.26 4c695930e300345b9e28221a173c163e
.rsrc 0x18000 0x5000 0x5000 6.18 c75a1fde1799dd2354cfc20e75b9ae75

( 10 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegDeleteValueA, RegCloseKey
> kernel32.dll: lstrlenA, lstrcpyA, lstrcmpiA, lstrcatA, WriteFile, WinExec, VirtualProtect, Sleep, LoadLibraryA, HeapFree, HeapAlloc, GetTickCount, GetProcessHeap, GetProcAddress, GetModuleHandleA, GetLastError, GetEnvironmentVariableA, FreeLibrary, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, CreateFileA, CloseHandle
> gdi32.dll: TextOutA, StretchBlt, SetTextColor, SetBkMode, SetBkColor, SelectObject, MoveToEx, LineTo, DeleteObject, DeleteDC, CreateSolidBrush, CreatePen, CreateFontIndirectA, CreateCompatibleDC, BitBlt
> user32.dll: CreateWindowExA, UnregisterClassA, TranslateMessage, SystemParametersInfoA, ShowWindow, SetWindowPos, SetCursor, SendMessageA, ScreenToClient, RegisterClassA, PostQuitMessage, PeekMessageA, LoadImageA, LoadIconA, LoadCursorA, KillTimer, GetWindowLongA, GetSysColor, GetCursorPos, EndPaint, DrawIcon, DispatchMessageA, DestroyWindow, DefWindowProcA, BringWindowToTop, BeginPaint
> shell32.dll: ShellExecuteA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=59937ED800677093882901B06FA5D4004F0E1806
packers (F-Prot): embedded
         

2. Datei

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.11.1.0	2008.10.31	Win-Trojan/Bookedspace.139264
AntiVir	7.9.0.10	2008.10.31	ADSPY/BookedSpace.A
Authentium	5.1.0.4	2008.10.31	W32/Adware.GFC
Avast	4.8.1248.0	2008.10.31	Win32:Adware-gen
AVG	8.0.0.161	2008.10.31	Generic.BDG
BitDefender	7.2	2008.10.31	Application.Bookedspace.E
CAT-QuickHeal	9.50	2008.10.31	AdvWare.BookedSpace.a (Not a Virus)
ClamAV	0.94.1	2008.10.31	-
DrWeb	4.44.0.09170	2008.10.31	DLOADER.Trojan
eSafe	7.0.17.0	2008.10.30	-
eTrust-Vet	31.6.6184	2008.10.31	-
Ewido	4.0	2008.10.31	Adware.BookedSpace
F-Prot	4.4.4.56	2008.10.31	W32/Adware.GFC
F-Secure	8.0.14332.0	2008.10.31	AdWare.Win32.BookedSpace.a
Fortinet	3.117.0.0	2008.10.31	Adware/Bkdspace
GData	19	2008.10.31	Application.Bookedspace.E
Ikarus	T3.1.1.44.0	2008.10.31	not-a-virus:AdWare.Win32.BookedSpace.a
K7AntiVirus	7.10.513	2008.10.31	Non-Virus:AdWare.Win32.BookedSpace.a
Kaspersky	7.0.0.125	2008.10.31	not-a-virus:AdWare.Win32.BookedSpace.a
McAfee	5419	2008.10.31	potentially unwanted program Adware-BkdSpace
Microsoft	1.4005	2008.10.31	Adware:Win32/BookedSpace
NOD32	3575	2008.10.31	Win32/Adware.BkdSpace
Norman	5.80.02	2008.10.31	W32/BookedSpace.G
Panda	9.0.0.4	2008.10.31	Adware/BookedSpace
Prevx1	V2	2008.10.31	Malicious Software
Rising	21.01.42.00	2008.10.31	Adware.BookedSpace.b
SecureWeb-Gateway	6.7.6	2008.10.31	Ad-Spyware.BookedSpace.A
Sophos	4.35.0	2008.10.31	-
Sunbelt	3.1.1767.2	2008.10.31	BookedSpace
Symantec	10	2008.10.31	Adware.Bookedspace
TheHacker	6.3.1.1.135	2008.10.31	Adware/BookedSpace.a
TrendMicro	8.700.0.1004	2008.10.31	-
VBA32	3.12.8.9	2008.10.30	AdWare.BookedSpace.a
ViRobot	2008.10.31.1446	2008.10.31	-
VirusBuster	4.5.11.0	2008.10.31	Adware.BookedSpace.Z
weitere Informationen
File size: 139264 bytes
MD5...: e2bde544846f6530d9c9d8d9aa65aeb8
SHA1..: ebaaafd2dd2198c8c8495234a061a3d255119a7a
SHA256: c5f28ca54cb10284de0da560a6770eb46e7bfb9a42bd15c7db8624e598c9fc7a
SHA512: ba53fc84ff1805bcca5dcd7ede327c01f0b4a3cde6653af34e0780cbf558a0f0
336e5fd95e92693606c95239788857b23d951b85bda4cd7f0972efd571c9a8e7
PEiD..: -
TrID..: File type identification
DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100112ca
timedatestamp.....: 0x3f41bf26 (Tue Aug 19 06:09:42 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17f09 0x18000 6.59 fbf397dc6eb0dcb71f03c286199c2ece
.rdata 0x19000 0x36fb 0x4000 4.70 b7609442b34ea07e223a03bc146f75e5
.data 0x1d000 0x3344 0x2000 3.50 523679a26c17a99eb5352ae3405ada53
.rsrc 0x21000 0xef8 0x1000 3.95 b5423bbdc00ed2e13ef6d6a536f99cb6
.reloc 0x22000 0x1e4e 0x2000 4.73 17ed5a4e446db3c144255b1c97032bfe

( 8 imports )
> WININET.dll: InternetOpenA, InternetOpenUrlA, InternetCloseHandle, InternetReadFile, InternetSetOptionA
> KERNEL32.dll: SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, DeleteCriticalSection, EnterCriticalSection, InitializeCriticalSection, MultiByteToWideChar, lstrlenA, GetLastError, GetModuleFileNameA, lstrcatA, lstrcpyA, WideCharToMultiByte, lstrlenW, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, LockResource, FindResourceExA, GetShortPathNameA, lstrcpynA, WaitForSingleObject, ReleaseMutex, CloseHandle, DeleteFileA, CreateProcessA, GetTempPathA, GetTempFileNameA, GetWindowsDirectoryA, GetEnvironmentVariableA, CreateFileA, WriteFile, SetEndOfFile, LoadLibraryA, RtlUnwind, lstrcmpiA, IsDBCSLeadByte, FreeLibrary, RaiseException, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, CreateMutexA, SetFilePointer, VirtualQuery, GetSystemInfo, VirtualProtect, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetStringTypeW, GetStringTypeA, LCMapStringW, FlushFileBuffers, SetStdHandle, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, GetSystemTimeAsFileTime, GetCurrentThreadId, TlsSetValue, GetCommandLineA, ExitProcess, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCurrentProcess, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, GetOEMCP, GetCPInfo, TlsFree, SetLastError, TlsGetValue, TlsAlloc, LCMapStringA, ReadFile
> USER32.dll: CharNextA
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegQueryInfoKeyA, RegDeleteKeyA, RegEnumKeyExA, RegDeleteValueA, RegCloseKey, RegSetValueExA, RegCreateKeyExA
> SHELL32.dll: SHGetFileInfoA
> ole32.dll: CoCreateInstance, StringFromGUID2, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateGuid, StringFromCLSID, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathFindExtensionA

( 6 exports )
DllCanUnloadNow, DllGetClassObject, DllMain, DllRegisterServer, DllRun, DllUnregisterServer
         

Dachte ich es mir. Beides ist Malware.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe
C:\WINDOWS\bs3.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
• Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ich hoffe das bringts erstmal. Ich muss erstmal ins Bett.

Code: Alles auswählenAufklappen

ATTFilter

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Fri Oct 31 23:13:41 2008

23:13:41: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Fri Oct 31 23:13:57 2008

23:13:57: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe" deleted successfully.
File "C:\WINDOWS\bs3.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:27, on 31.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL Manager\DslMgrSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX 3 BETA 4\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Total Commander\TOTALCMD.EXE
D:\Felix\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\8a2f93426d4163721f5c882a773f8fb3\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DAFC43E-0BBE-4BE1-8D1F-0F6041B91965}: NameServer = 217.237.149.205 217.237.151.51
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe

--
End of file - 5356 bytes
         

Guten morgen,

ich hab egrad meinen rechner hochgefahrn un da kam dann beim start die meldung "RUNDLL32.exe konnte nicht geladen werden.Es konnte nicht gefunden werden".
diese Datei is in meim auto Strat menu drin.

1. Was bedeutet diese Datei?
2. Ist es schlimm, wenn sie nicht gefunden werden konnte, bzw. was bedeutet das für mich?

Das Fenster mit dem Trjoan-keylogger.win32.fung ist auch nicht wieder aufgetaucht...puuuh zum glück. Ich kann damit jetzt auch wieder auf meine windows firewall zugreifen.

Trotzdem kann ich etwas dagegen tun, was mit so etwas nicht wieder passiert d.h. Vorkehrungen treffen??

Kannst du mir eventuell ein gutes Antivirus programm empfehlen. Ich benutze derzeit Steganos von 2006. Ich finde das programm nur sehr bescheiden, weil es immer ewig brauch mit laden am anfang un das früher bei zone alarm nicht so war...?


Danke nochmal für die Hilfe von gestern, warst echt mein retter..

Hallo,

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"
         

Diese Einträge bitte mit HijackThis fixen. Wie das geht, entnimmst Du der Anleitung.

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup
         

Hast Du in der Zwischenzeit dieses Programm SpyNoMore installiert? Es taucht erst jetzt im Logfile auf!

Zitat:

"RUNDLL32.exe konnte nicht geladen werden.Es konnte nicht gefunden werden".
diese Datei is in meim auto Strat menu drin.

Das passiert, weil noch ein Autostart-Eintrag vom Schädling vorhanden ist, wenn Du die o.g. Einträge fixt, sollte die Meldung nicht mehr auftauchen.

Zitat:

Trotzdem kann ich etwas dagegen tun, was mit so etwas nicht wieder passiert d.h. Vorkehrungen treffen??

Ja. Diesen Artikel vollständig lesen, begreifen und umsetzen. Frag ruhig nach, wenn etwas unklar ist.

Zitat:

Kannst du mir eventuell ein gutes Antivirus programm empfehlen. Ich benutze derzeit Steganos von 2006. Ich finde das programm nur sehr bescheiden, weil es immer ewig brauch mit laden am anfang un das früher bei zone alarm nicht so war...?

Du brauchst weder ZoneAlarm () noch dieses Steganos-Zeugs- ein einfacher Virenscanner wie z.B. AntiVir oder AVG Free (kostenlos für Privatanwender) plus Windows-Firewall reicht dicke aus. Wenn Du oben verlinkten Artikel liest, weißt Du auch warum.

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\mjkmsk.dll
         

Werte diese Datei bitte nochmal bei Virustotal aus und poste die Ergebnisse.
Du solltest übrigens auch zusehen, dass Du möglichst bald das SP3 für Windows XP sowie die Folgeupdates installierst!

Zitat:

Zitat von Partynixe21

sry... bin bill durcheinanner gekomm..

was is seppdepp fürn typ??

ach nur son Typ der unqualifiziert helfen wollte!
Tut mir leid dass meine Anleitung so einfach war.

ciao

Zitat:

Zitat von Seppdepp

ach nur son Typ der unqualifiziert helfen wollte!
Tut mir leid dass meine Anleitung so einfach war.

ciao

Deine Anleitung war in diesem Fall auch richtig.
Ich mach aber absichtlich weitergehende Analysen, also in jedem Falle es komplizierter als dem ersten Anschein nötig, weil erfahrungsgemäß die Malware heute nicht mehr so primitiv ist wie sie vor einigen Jahren noch war. Und häufig findet man noch weitere "schlummernde" Dateien. Einfach nur einen Task beenden und die korrespondierende Datei löschen reicht idR schon lange nicht mehr allein aus.

Zitat:

Zitat von root24

Deine Anleitung war in diesem Fall auch richtig.
Ich mach aber absichtlich weitergehende Analysen, also in jedem Falle es komplizierter als dem ersten Anschein nötig, weil erfahrungsgemäß die Malware heute nicht mehr so primitiv ist wie sie vor einigen Jahren noch war. Und häufig findet man noch weitere "schlummernde" Dateien. Einfach nur einen Task beenden und die korrespondierende Datei löschen reicht idR schon lange nicht mehr allein aus.

Das mit der weitergehenden Analyse hab ich schon kapiert - hab die empfohlen Links mal angeschaut. Horror --- jedes Mal bei Infekt das System platt machen, welch Aussicht!!! Also ich brauch zwei Tage bis alle patches und Anwendungen so wieder laufen wie vorher, da drückt man sich schon ganz gerne drum und nimmt ein gewisses Risiko in Kauf.

Ich kam mir jedenfalls so vor als wäre ich in euer nettes Zweierpläuschchen reingeplatzt (huch was ist das fürn Typ), dann vielleicht doch Beratung per pm??

Nix für ungut...

Grußß der S...Depp

Zitat:

Das mit der weitergehenden Analyse hab ich schon kapiert - hab die empfohlen Links mal angeschaut. Horror ---

Es gibt überhaupt keinen Grund sich künstlich aufzuregen. Entspann Dich.

Zitat:

Horror --- jedes Mal bei Infekt das System platt machen, welch Aussicht!!!

Naja, manch einer muss leider garantiert ein sauberes System haben. In Firmennetzwerken z.B. wäre das der Fall. IdR hat man dort aber über ein Systemimage schnell ein Client wiederhergestellt, falls es doch zum Befall gekommen sein sollte.

Zitat:

Also ich brauch zwei Tage bis alle patches und Anwendungen so wieder laufen wie vorher, da drückt man sich schon ganz gerne drum und nimmt ein gewisses Risiko in Kauf.

Wie gesagt. Möglichkeiten gibts immer. Statt neu aufsetzen kann man sich auch vorher ein Image erstellen und bei bedarf wieder zurückspielen. Ansonsten hat man meist eben Pech gehabt. An für sich ist man ja auch selbst Schuld, dass das System die Pest hat.

Oder aber eben, man nimmt eine recht aufwändige Bereinigung in Kauf und ich hoffe diesen Aufwand sieht man in meiner Anleitung.

Zitat:

Ich kam mir jedenfalls so vor als wäre ich in euer nettes Zweierpläuschchen reingeplatzt (huch was ist das fürn Typ), dann vielleicht doch Beratung per pm??

Es klang schon ein wenig unqualifiziert, v.a. deswegen weil es in den allerseltensten Fällen ausreicht, nur nach Deiner Methode vorzugehen.
Außerdem verunsichert es auch den TO, wenn auf einmal jmd. anders was dazwischenruft, mach mal lieber dies und das, ... kannst Du verstehen oder?

Zitat:

Nix für ungut...

Dito...