|
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Obfuscated.vji.1 kommt immer wieder!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.11.2008, 14:14 | #1 |
| Trojaner TR/Obfuscated.vji.1 kommt immer wieder! Hallo Leute, habe seit ein paar Tagen das Problem, dass Antivir in unregelmäßigen Abständen von ca 30min ständig diesen Trojaner findet. Löschen/Quarantäne oder Zugriff verweigern brachte bisher keinen Erfolg. Da bereits ein anderer user in diesem Forum das gleiche Problem hatte, habe ich den ersten Ratschlag befolgt und die Systemwiederherstellung abgeschalten. Bei den infizierten Datein handelt es sich um C:\WINDOWS\system32\9846545561.CPX und C:\WINDOWS\system32\984654~2.CPX und C:\WINDOWS\SYSTEM32\11.CPX Ich poste auch gleich mal die HJT-Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:01:04, on 25.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Raptor-Gaming\RGM2\Panel.exe C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\abc\Desktop\Anderes\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/25b64428e572e36cdc05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128376338343 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218480120 O17 - HKLM\System\CCS\Services\Tcpip\..\{E54899DC-7123-4417-B36A-033079C78E45}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe -- End of file - 8237 bytes danke im voraus für eure hilfe Flou Geändert von Flou (25.11.2008 um 14:22 Uhr) |
25.11.2008, 14:18 | #2 |
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! Hi,
__________________arbeite bitte folgende zwei Punkte durch: 1.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) 2.) SDFix anwenden:
__________________ |
25.11.2008, 15:46 | #3 |
| Trojaner TR/Obfuscated.vji.1 kommt immer wieder! so hab jetz mal beide punkte ausgeführt
__________________combo fix log: Code:
ATTFilter ComboFix 08-11-24.03 - Florian 2008-11-25 14:48:06.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.189 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Florian\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\Mozilla Firefox\plugins\npclntax.dll c:\windows\smdat32m.sys c:\windows\system32\drivers\npf.sys c:\windows\system32\NCTAudioFile2.dll c:\windows\system32\NCTAudioPlayer2.dll c:\windows\system32\NCTAudioRecord2.dll c:\windows\system32\Packet.dll c:\windows\system32\pthreadVC.dll c:\windows\system32\WanPacket.dll c:\windows\system32\wpcap.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-10-25 bis 2008-11-25 )))))))))))))))))))))))))))))) . 2008-11-25 14:31 . 2008-11-25 14:31 <DIR> d-------- c:\programme\CCleaner 2008-11-25 01:10 . 2008-11-25 01:10 <DIR> d-------- c:\programme\MSXML 6.0 2008-11-25 01:05 . 2008-11-25 01:05 <DIR> d-------- c:\programme\MSXML 4.0 2008-11-24 22:48 . 2008-11-24 22:48 <DIR> d-------- c:\dokumente und einstellungen\Florian\Anwendungsdaten\Sony 2008-11-24 22:48 . 2008-11-24 22:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony 2008-11-24 19:16 . 2008-11-24 20:02 <DIR> d-------- c:\windows\system32\CatRoot_bak 2008-11-24 19:08 . 2008-06-14 18:57 273,024 --------- c:\windows\system32\dllcache\bthport.sys 2008-11-24 19:07 . 2008-08-28 11:04 333,056 --------- c:\windows\system32\dllcache\srv.sys 2008-11-24 19:07 . 2008-08-14 10:51 138,368 --------- c:\windows\system32\dllcache\afd.sys 2008-11-24 19:05 . 2008-08-14 14:42 2,182,656 --------- c:\windows\system32\dllcache\ntoskrnl.exe 2008-11-24 19:05 . 2008-08-14 14:42 2,138,624 --------- c:\windows\system32\dllcache\ntkrnlmp.exe 2008-11-24 19:05 . 2008-08-14 14:42 2,060,032 --------- c:\windows\system32\dllcache\ntkrnlpa.exe 2008-11-24 19:05 . 2008-08-14 14:42 2,018,304 --------- c:\windows\system32\dllcache\ntkrpamp.exe 2008-11-24 19:05 . 2008-09-15 16:37 1,846,144 --------- c:\windows\system32\dllcache\win32k.sys 2008-11-24 19:03 . 2008-10-24 12:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-24 19:02 . 2008-04-11 19:50 683,520 --------- c:\windows\system32\dllcache\inetcomm.dll 2008-11-24 19:02 . 2008-05-01 15:30 331,776 --------- c:\windows\system32\dllcache\msadce.dll 2008-11-24 19:01 . 2008-10-15 17:57 332,800 --------- c:\windows\system32\dllcache\netapi32.dll 2008-11-24 18:53 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui 2008-11-24 18:53 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2008-11-24 18:53 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2008-11-24 18:53 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui 2008-11-24 17:33 . 2008-11-24 17:33 <DIR> d-------- c:\programme\Sony 2008-11-24 17:31 . 2006-10-04 15:06 1,197,294 --------- c:\windows\system32\dllcache\sysmain.sdb 2008-11-24 17:31 . 2006-10-04 15:06 764,868 --------- c:\windows\system32\dllcache\apph_sp.sdb 2008-11-24 17:31 . 2006-10-04 15:06 217,118 --------- c:\windows\system32\dllcache\apphelp.sdb 2008-11-24 17:29 . 2008-11-24 22:46 <DIR> d-------- c:\windows\system32\drivers\UMDF 2008-11-24 17:18 . 2008-11-24 17:18 <DIR> d-------- c:\programme\Avanquest update 2008-11-24 17:18 . 2008-11-24 17:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software 2008-11-24 17:16 . 2008-11-24 17:33 <DIR> d-------- c:\programme\Sony Ericsson 2008-11-24 17:16 . 2008-11-24 17:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2008-11-18 22:25 . 2004-08-08 19:22 <DIR> d--hs---- C:\FOUND.000 2008-11-17 19:55 . 2008-11-17 20:10 <DIR> d-------- c:\programme\mp3DirectCut 2008-10-31 23:46 . 2008-11-25 14:52 88,566 --a------ c:\windows\system32\nvapps.xml 2008-10-31 23:45 . 2006-10-22 15:06 208,896 --a------ c:\windows\system32\NVUNINST.EXE 2008-10-31 23:45 . 2006-10-22 12:22 208,896 --a------ c:\windows\system32\nvudisp.exe 2008-10-31 23:45 . 2006-10-22 12:22 17,056 --a------ c:\windows\system32\nvdisp.nvu 2008-10-31 23:44 . 2008-10-31 23:44 <DIR> d-------- C:\NVIDIA 2008-10-31 23:34 . 2006-10-22 12:22 4,527,488 --a------ c:\windows\system32\nv4_disp.dll 2008-10-31 23:34 . 2006-10-22 12:22 4,527,488 --a------ c:\windows\system32\dllcache\nv4_disp.dll 2008-10-31 23:34 . 2006-10-22 12:22 3,994,624 --a------ c:\windows\system32\drivers\nv4_mini.sys 2008-10-31 23:34 . 2006-10-22 12:22 3,994,624 --a------ c:\windows\system32\dllcache\nv4_mini.sys 2008-10-31 23:32 . 2008-10-31 23:33 <DIR> d-------- c:\programme\Driver Cleaner Pro 2008-10-29 17:10 . 2008-10-29 17:23 <DIR> d-------- c:\dokumente und einstellungen\Florian\Anwendungsdaten\concept design 2008-10-29 17:10 . 2006-05-21 16:15 966,144 --a------ c:\windows\system32\NCTAudioInformation2.dll 2008-10-29 17:10 . 2006-05-21 16:15 634,880 --a------ c:\windows\system32\NCTAudioEditor2.dll 2008-10-29 17:10 . 2006-05-21 16:15 522,752 --a------ c:\windows\system32\NCTAudioTransform2.dll 2008-10-29 17:10 . 2006-05-21 16:15 237,568 --a------ c:\windows\system32\lame_enc.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-25 13:36 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-11-25 12:30 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-11-24 21:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-11-24 16:18 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-24 16:14 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared 2008-11-12 19:46 --------- d-----w c:\programme\TuneUp Utilities 2004 2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-18 12:53 --------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\ppstream 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-09-27 15:28 --------- d-----w c:\programme\ICQ6 2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys 2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\dllcache\msxml3.dll 2008-08-29 19:06 1,350,664 ----a-w c:\windows\system32\msxml6.dll 2007-04-02 14:25 47,439 ----a-w c:\programme\ScummVMmonkey2.s00 2007-04-02 13:41 46,202 ----a-w c:\programme\ScummVMmonkey2.c99 2007-04-02 13:03 48,643 ----a-w c:\programme\ScummVMmonkey2.s01 2003-12-18 21:48 21,696 ----a-w c:\dokumente und einstellungen\Florian\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-06-18 16:58 2,254,336 ----a-w c:\programme\Compuserve.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] "Raptor-Gaming M2"="c:\programme\Raptor-Gaming\RGM2\Panel.exe" [2005-04-28 249856] "SHARKOON STATION"="c:\programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe" [2004-11-11 327680] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-15 57344] "NVCLOCK"="nvclock.dll" [2002-08-29 c:\windows\system32\nvclock.dll] "nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoCommonGroups"= 0 (0x0) "NoSimpleStartMenu"= 0 (0x0) "NoFileAssociate"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "wave1"= 9846545561.CPX "vidc.ffds"= ffdshow.ax [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Florian^Startmenü^Programme^Autostart^Xfire.lnk] path=c:\dokumente und einstellungen\Florian\Startmenü\Programme\Autostart\Xfire.lnk backup=c:\windows\pss\Xfire.lnkStartup [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "42988:TCP"= 42988:TCP:emule1 "42998:UDP"= 42998:UDP:emule2 R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-03-05 22336] R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-03-05 45376] R1 SSHDRV76;SSHDRV76;\??\c:\windows\System32\drivers\SSHDRV76.sys [2004-08-15 53760] R2 accvssvc;AccSys WLAN Control Service;c:\programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-12-29 126976] R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [2004-09-12 61280] R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\DRIVERS\AVMCOWAN.sys [2003-11-19 53120] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2003-12-28 37568] R3 fxusbase;FRITZ!X USB;c:\windows\system32\DRIVERS\fxusbase.sys [2003-11-19 547840] R3 GMFilter Filter;GMFilter Filter;c:\windows\system32\Drivers\GMFilter.sys [2005-06-13 25088] R3 UALFDrv2;UALFDrv2;c:\windows\system32\DRIVERS\UALFDrv2.sys [2006-12-23 46280] R3 VGAUTI;VGAUTI;\??\c:\windows\system32\DRIVERS\VGAUTI.sys [2003-12-29 37880] S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys [] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS [2006-08-09 316928] S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys [] S4 cdawdm;CDAWDM;c:\windows\system32\DRIVERS\CDAWDM.sys [] S4 hpt3xx;hpt3xx; [] . Inhalt des "geplante Tasks" Ordners 2008-10-24 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-11-09 20:16] 2008-07-29 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57] . - - - - Entfernte verwaiste Registrierungseinträge - - - - Toolbar-{DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file) WebBrowser-{DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file) MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\default.iha\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.gmx.de FF -: plugin - c:\progra~1\MOZILL~1\plugins\np32dsw.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npclntax.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npnul32.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\NPOFFICE.DLL FF -: plugin - c:\progra~1\MOZILL~1\plugins\nppdf32.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin2.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin3.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin4.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin5.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin6.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin7.dll FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin8.dll FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava11.dll FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava12.dll FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava13.dll FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava14.dll FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava32.dll FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJPI142.dll FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPOJI610.dll FF -: plugin - c:\programme\QuickTime\Plugins\npqtplugin8.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-25 14:53:15 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\9846545561.CPX 115200 bytes executable c:\windows\system32\98465455621.cpx 352 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\ahead\InCD\InCDsrv.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\nvsvc32.exe c:\windows\system32\oodag.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\MsPMSPSv.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-25 14:57:38 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-25 13:57:35 Vor Suchlauf: 43 Verzeichnis(se), 34.706.333.696 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noguiboot /NoExecute=OptIn 246 --- E O F --- 2008-11-25 00:13:01 Code:
ATTFilter SDFix: Version 1.240 Run by Florian on 25.11.2008 at 15:26 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\system32\TFTP3360 - Deleted C:\WINDOWS\system32\hook.dll - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-25 15:34:21 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:61993404 "s2"=dword:56032263 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:7b,53,a9,b5,ce,64,d5,0b,65,81,3c,81,17,44,54,b9,35,92,d1,46,c9,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:7b,53,a9,b5,ce,64,d5,0b,65,81,3c,81,17,44,54,b9,35,92,d1,46,c9,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System] "OODEFRAG08.00.00.01WORKSTATION"="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" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}] "DisplayName"="Alcohol 120%" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:00000141 scanning hidden files ... C:\WINDOWS\system32\9846545561.CPX 115200 bytes executable C:\WINDOWS\system32\98465455621.cpx 352 bytes scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 2 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"="C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.1" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Wed 22 Oct 2008 949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll" Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Wed 22 Oct 2008 962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll" Mon 24 Nov 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Finished! |
25.11.2008, 15:47 | #4 |
| Trojaner TR/Obfuscated.vji.1 kommt immer wieder! und zu guter letzt die neue HJT logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:40:59, on 25.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Raptor-Gaming\RGM2\Panel.exe C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Dokumente und Einstellungen\abc\Desktop\Anderes\Downloads\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128376338343 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218480120 O17 - HKLM\System\CCS\Services\Tcpip\..\{E54899DC-7123-4417-B36A-033079C78E45}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe -- End of file - 7611 bytes |
25.11.2008, 16:07 | #5 | ||
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! Ich weiß, dass die Fehlermeldungen noch kommen. Zu den Logs: Zitat:
Dessen Registryeintrag: Zitat:
Ich würde dir raten, das System zu plätten und eine Neuinstallation des OS durchzuführen. Warum das ganze, kannst du in meiner Sig nachlesen, zum Thema Silentbanker. Zudem noch:
Wie kam es zur Infektion? Emailanhang geöffnet? Datei heruntergeladen und ausgeführt?
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
25.11.2008, 16:43 | #6 |
| Trojaner TR/Obfuscated.vji.1 kommt immer wieder! dacht ich mir fast schon... aber wird wohl das beste sein... lauf ich gefahr, das neu aufgesetzte system zu infizieren, wenn ich die musik und bilder rüberzieh oder sollt des kein problem sein!?! danke auf jeden fall für die hilfe |
25.11.2008, 16:45 | #7 | |
Trojaner TR/Obfuscated.vji.1 kommt immer wieder!Zitat:
Wenn du aber kein Risiko eingehen willst, kann ich dir eine Anleitung für linuxbasierende Datensicherung geben.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
25.11.2008, 16:48 | #8 |
| Trojaner TR/Obfuscated.vji.1 kommt immer wieder! ja wenns nich allzu kompliziert wird und ma des auch als laie versteht, sehr gerne |
25.11.2008, 16:49 | #9 |
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! Denke schon, hier bitte Knoppix Live-CD - Erstellen und Handhabung Live CD erstellen/brennen:
Von der Live CD aus booten:
Bedienung: Nun siehst Du den Knoppix Desktop. Deine Festplatten und zuvor angeschlossene Datenträger werden dort übrigens auch angezeigt. Dies sieht folgendermaßen aus: Dateien sichern: Durch einen Doppelklick auf die Icons kannst Du auf das entsprechende Medium zugreifen und deren beinhaltende Dateien verwalten. Per Drag&Drop verschiebst Du nun einfach die gewünschten Dateien von der Festplatte auf den gewünschten Datenträger: (Durch die Methode kannst du auch Mails, Firefoxeinstellungen, Addressbücher, Backups, etc. sichern.) Nach dem Sichern: Wenn Du deine Sicherung beendet hast, kannst du Knoppix verlassen, indem du auf das Knoppix-Symbol (Links in der Startleiste) gehst und auf "Abmelden" klickst. Hinweis: Sichere Dir alle persönlich wichtigen Daten! Nicht gesicherte Daten gehen beim Formatieren der Festplatten verloren. Daten können nicht auf der CD gesichert werden.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
Themen zu Trojaner TR/Obfuscated.vji.1 kommt immer wieder! |
adobe, antivir, avira, bho, canon, desktop, downloader, einstellungen, ellung, excel, explorer, firefox, handel, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, infizierte, internet, internet explorer, kommt immer wieder, mozilla, photoshop, problem, rundll, software, trojaner, windows, windows xp, wlan |