Google verlinkt auf falsche Seiten

tikn · 27.11.2008, 17:17

Hallo,
mein Problem wurde zwar hier im Board schon beschrieben, aber ich sitze schon den ganzen Tag an dem Problem und finde keine Lösung.

Mein Problem: Wenn ich bei Google auf einen Link klicke werde ich auf eine falsche Seite weitergeleitet.

Hab mit Antivir und HijackThis schon ein paar Trojaner und Viren entfernt. "Webhancer" konnte ich mit CleanUp entfernen, doch jetzt habe ich noch das Problem mit der falschen Verlinkung.

Hier das Logfile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:06:26, on 27.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hercules\WiFi Station\WifiStation.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
H:\programme\- zubehör & plug-ins -\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\dGltbw\command.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

cosinus · 27.11.2008, 19:38

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

tikn · 30.11.2008, 21:48

Frage: Was genau meinst Du mit "Links und privaten Infos"?

Ich habe versucht Deine Anleitung abzuarbeiten, doch es gab mehrere Probleme.

Über die Links aus Deiner Antwort bekomme ich Seiten Ladefehler (Verbindung fehlgeschlagen).
Wenn ich über Google eine Anfrage starte bekomme ich Ergebnisse. Wenn ich die Links kopiere und in die Adresszeile von Firefox kopiere komme ich auch auf die richtige Seite. Wenn ich jedoch Links von Programm-Herstellern kopiere bekomme ich auch Seiten-Ladefehler. Die meisten Programme konnte ich aber von anderen Seiten laden. MBRtool und Combofix hat mir ein Freund über Deine Links geladen und mir geschickt. Hab jetzt alle Programme, jedoch folgende Probleme:

- Blacklight lässt sich nicht installieren. Fehlermeldung: "Download failed: connecting to host".

- Malwarebytes Antimalware lässt sich nicht installieren. Nach dem Doppelklicken auf die Setup.exe passiert garnichts. Hab Version 1.28 und 1.30 ausprobiert. AntiVir-Guard war deaktiviert.

- Combofix läuft nicht. Beim Doppelklick auf die Combofix-Datei auf dem Desctop passiert garnichts.

Hier die Logfiles:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:47, on 30.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hercules\WiFi Station\WifiStation.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRAMME\STREAMRIPPER\wstreamripper.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
H:\dl\trojaner-board\1 - hijackthis\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: {954fb3ad-638c-20aa-a224-c2a181bd45bb} - {bb54db18-1a2c-422a-aa02-c836da3bf459} - C:\WINDOWS\system32\lgtgxf.dll
O2 - BHO: (no name) - {BF09E986-3B0C-4AF1-8689-592443DAECAE} - C:\WINDOWS\system32\qoMGXPJy.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKLM\..\Run: [a85542fa] rundll32.exe "C:\WINDOWS\system32\edpbnqhj.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: xxyxUkiF - xxyxUkiF.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\dGltbw\command.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5288 bytes

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Code:

ATTFilter

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"prunnet" = ""C:\WINDOWS\system32\prunnet.exe"" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"prunnet" = ""C:\WINDOWS\system32\prunnet.exe"" [null data]
"a85542fa" = "rundll32.exe "C:\WINDOWS\system32\edpbnqhj.dll",b" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{97ac393a-a525-4cd0-95cf-019b028cc7a4}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Peer2Peer-DE Toolbar"
                   \InProcServer32\(Default) = "C:\Programme\Peer2Peer-DE\tbPeer.dll" ["Conduit Ltd."]
{bb54db18-1a2c-422a-aa02-c836da3bf459}\(Default) = "{954fb3ad-638c-20aa-a224-c2a181bd45bb}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\lgtgxf.dll" [null data]
{c900b400-cdfe-11d3-976a-00e02913a9e0}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "WhIeHelperObj Class"
                   \InProcServer32\(Default) = "C:\Programme\webHancer\programs\whiehlpr.dll" ["webHancer Corporation"]
{D1CBBEA0-DA18-44BF-826D-BC37628B1141}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\qoMGXPJy.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{ABC70703-32AF-11d4-90C4-D483A70F4825}" = "CMenuExtender"
  -> {HKLM...CLSID} = "CMenuExtender"
                   \InProcServer32\(Default) = "C:\Programme\iColorFolder\CMExt.dll" ["Revenger inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
  -> {HKLM...CLSID} = "TuneUp Theme Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll" ["TuneUp Software"]
"{4838CD50-7E5D-4811-9B17-C47A85539F28}" = "TuneUp Disk Space Explorer Shell Extension"
  -> {HKLM...CLSID} = "TuneUp Disk Space Explorer Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll" ["TuneUp Software"]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\qoMGXPJy"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> xxyxUkiF\DLLName = "xxyxUkiF.dll" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll" ["TuneUp Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
CMenuExtender\(Default) = "{ABC70703-32AF-11d4-90C4-D483A70F4825}"
  -> {HKLM...CLSID} = "CMenuExtender"
                   \InProcServer32\(Default) = "C:\Programme\iColorFolder\CMExt.dll" ["Revenger inc."]
TuneUp Disk Space Explorer Shell Extension\(Default) = "{4838CD50-7E5D-4811-9B17-C47A85539F28}"
  -> {HKLM...CLSID} = "TuneUp Disk Space Explorer Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll" ["TuneUp Software"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll" ["TuneUp Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\timo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

BridgeCS3ImportMediaOnArrival\
"Provider" = "Adobe Bridge CS3"
"InvokeProgID" = "Adobe.adobebridge"
"InvokeVerb" = "launch"
HKLM\SOFTWARE\Classes\Adobe.adobebridge\shell\launch\command\(Default) = "C:\Programme\Adobe\Adobe Bridge CS3\bridgeproxy.exe -v %1" ["Adobe Systems, Inc."]

NeroAutoPlayEmptyCD\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "EmptyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\EmptyCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda://%1" ["the VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd://%1" ["the VideoLAN Team"]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

WinampPlayMediaOnArrival\
"Provider" = "Winamp"
"InvokeProgID" = "Winamp.File"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"]


Startup items in "timo" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"WiFi Station" -> shortcut to: "C:\Programme\Hercules\WiFi Station\WifiStation.exe -s" ["Hercules"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2009\OneClickStarter.exe /schedulestart" ["TuneUp Software GmbH"]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Computer, Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
"{97AC393A-A525-4CD0-95CF-019B028CC7A4}"
  -> {HKLM...CLSID} = "Peer2Peer-DE Toolbar"
                   \InProcServer32\(Default) = "C:\Programme\Peer2Peer-DE\tbPeer.dll" ["Conduit Ltd."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
"{97AC393A-A525-4CD0-95CF-019B028CC7A4}" = "Peer2Peer-DE Toolbar"
  -> {HKLM...CLSID} = "Peer2Peer-DE Toolbar"
                   \InProcServer32\(Default) = "C:\Programme\Peer2Peer-DE\tbPeer.dll" ["Conduit Ltd."]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{97ac393a-a525-4cd0-95cf-019b028cc7a4}" = (no title provided)
  -> {HKLM...CLSID} = "Peer2Peer-DE Toolbar"
                   \InProcServer32\(Default) = "C:\Programme\Peer2Peer-DE\tbPeer.dll" ["Conduit Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Computer, Inc."]
Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software"]}
TuneUp Program Statistics Service, TuneUp.ProgramStatisticsSvc, "C:\WINDOWS\System32\TUProgSt.exe" ["TuneUp Software"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]


---------- (launch time: 2008-11-30 20:10:13)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 84 seconds, including 18 seconds for message boxes)

cosinus · 30.11.2008, 22:31

Hallo

Das sieht nicht gut aus, aber ich hoffe nach dem Avenger kannst Du die Tools, die bisher nicht liefen, normal ausführen.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\prunnet.exe
C:\WINDOWS\system32\qoMGXPJy.dll
C:\WINDOWS\system32\edpbnqhj.dll
lgtgxf.dll

Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

folders to delete:
C:\Programme\Peer2Peer-DE

files to delete:
C:\WINDOWS\system32\prunnet.exe
C:\WINDOWS\system32\edpbnqhj.dll
C:\WINDOWS\system32\qoMGXPJy.dll

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bb54db18-1a2c-422a-aa02-c836da3bf459}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97ac393a-a525-4cd0-95cf-019b028cc7a4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D1CBBEA0-DA18-44BF-826D-BC37628B1141}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxUkiF

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | a85542fa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | prunnet

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Probier danach die Tools die nicht liefen bitte erneut durch.

tikn · 01.12.2008, 19:31

Da ich auf Virustotal.com nicht zugreifen kann habe die Dateien an meine Web.de-Adresse gemailt um sie von meinem Büro-Rechner aus auszuwerten. Als ich meine emails abrufen wollte habe ich festgestellt daß Web.de meinen Account gesperrt hat (wegen Virenverseuchter Email).

Kann ich die Dateien einfach auf einen USB-Stick und dann auf meinen Bürorechner ziehen ohne daß auch dieser von den Viren befallen wird?

cosinus · 01.12.2008, 19:34

Komplett gesperrt das Konto?

Für solche Zwecke sollte man malwaredateien packen und mit nem Kennwort versehen...

tikn · 01.12.2008, 22:14

Das Konto war komplett gesperrt. Musste zum freischalten für 2€/min. beim Kundenservice anrufen.

hier die logfiles:

Code:

ATTFilter

Datei edpbnqhj.dll empfangen 2008.12.01 21:02:01 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/37 (45.95%) 


Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.2.0	2008.12.01	-
AntiVir	7.9.0.36	2008.12.01	TR/Agent.arvn
Authentium	5.1.0.4	2008.12.01	-
Avast	4.8.1281.0	2008.12.01	-
AVG	8.0.0.199	2008.12.01	Vundo.BI
BitDefender	7.2	2008.12.01	Trojan.Vundo.Gen.4
CAT-QuickHeal	10.00	2008.12.01	-
ClamAV	0.94.1	2008.12.01	-
DrWeb	4.44.0.09170	2008.12.01	-
eSafe	7.0.17.0	2008.11.30	Suspicious File
eTrust-Vet	31.6.6234	2008.11.28	-
Ewido	4.0	2008.12.01	-
F-Prot	4.4.4.56	2008.12.01	-
F-Secure	8.0.14332.0	2008.12.01	Trojan.Win32.Agent.arvn
Fortinet	3.117.0.0	2008.12.01	W32/Agent.ARVN!tr
GData	19	2008.12.01	Trojan.Vundo.Gen.4
Ikarus	T3.1.1.45.0	2008.12.01	Trojan.Win32.Vundo
K7AntiVirus	7.10.539	2008.12.01	-
Kaspersky	7.0.0.125	2008.12.01	Trojan.Win32.Agent.arvn
McAfee	5451	2008.12.01	Vundo
McAfee+Artemis	5451	2008.12.01	Vundo
Microsoft	1.4104	2008.12.01	Trojan:Win32/Vundo.gen!R
NOD32	3654	2008.12.01	a variant of Win32/Adware.Virtumonde.NDK
Norman	5.80.02	2008.12.01	-
Panda	9.0.0.4	2008.12.01	Generic Trojan
PCTools	4.4.2.0	2008.12.01	-
Prevx1	V2	2008.12.01	-
Rising	21.06.02.00	2008.12.01	-
SecureWeb-Gateway	6.7.6	2008.12.01	Trojan.Agent.arvn
Sophos	4.36.0	2008.12.01	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.01	Packed.Generic.202
TheHacker	6.3.1.1.169	2008.11.29	-
TrendMicro	8.700.0.1004	2008.12.01	PAK_Generic.001
VBA32	3.12.8.9	2008.12.01	-
ViRobot	2008.12.1.1494	2008.12.01	-
VirusBuster	4.5.11.0	2008.12.01	-
weitere Informationen
File size: 70656 bytes
MD5...: 03e9de3a0af54e619514051d8c685dab
SHA1..: 2d74740cf8648b92fa3c2b2ec218b327c92e1f43
SHA256: 706c11b3cbc32edd0a7d968ad9761f3f5eee9fa61744175ef1c697c81f076f6b
SHA512: 94f9f4cb53db51433d5a58773530330b025afb0f5ea61d328f865992d0ba0cf6
6f198882850fa30de5dc53a68cf45ae373b20a049f9b71123d9033bdea1a2a33
ssdeep: 1536:nYwJaZy+OgCTNBUmLQXc3mSeE/FNTFiSm+KoozOpnoKujAfWbeAyR2FV9Qh
d52NW:vFQM3mSvFiSczwno/jsWG2FVOh72Nct9
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001584
timedatestamp.....: 0x8521e9b (Tue Jun 04 17:38:35 1974)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x6400 7.94 813021a076a4a2b5975569ad0ffd9750
.data 0x8000 0x1000 0x200 3.41 871ff2ce4b27b1403b68f35bd21f2446
.rdata 0x9000 0x1c000 0xa800 7.99 feaa71d374abff2185521290f5b9ec18
.rsrc 0x25000 0x1000 0x200 1.55 4ea5097f9fecfda0c6226e2339d42a83

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )
CWSandbox info: <a href=‘http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=03e9de3a0af54e619514051d8c685dab‘ target=‘_blank‘>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=03e9de3a0af54e619514051d8c685dab</a>

Code:

ATTFilter

Datei lgtgxf.dll empfangen 2008.12.01 21:10:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 15/37 (40.55%)




Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.2.0	2008.12.01	-
AntiVir	7.9.0.36	2008.12.01	TR/Vundo.G.4
Authentium	5.1.0.4	2008.12.01	-
Avast	4.8.1281.0	2008.12.01	-
AVG	8.0.0.199	2008.12.01	BHO.GNL
BitDefender	7.2	2008.12.01	Trojan.Vundo.Gen.4
CAT-QuickHeal	10.00	2008.12.01	-
ClamAV	0.94.1	2008.12.01	-
DrWeb	4.44.0.09170	2008.12.01	-
eSafe	7.0.17.0	2008.11.30	Suspicious File
eTrust-Vet	31.6.6234	2008.11.28	-
Ewido	4.0	2008.12.01	-
F-Prot	4.4.4.56	2008.12.01	-
F-Secure	8.0.14332.0	2008.12.01	-
Fortinet	3.117.0.0	2008.12.01	-
GData	19	2008.12.01	Trojan.Vundo.Gen.4
Ikarus	T3.1.1.45.0	2008.12.01	Trojan.Win32.Vundo
K7AntiVirus	7.10.539	2008.12.01	-
Kaspersky	7.0.0.125	2008.12.01	-
McAfee	5451	2008.12.01	Vundo
McAfee+Artemis	5451	2008.12.01	Vundo
Microsoft	1.4104	2008.12.01	Trojan:Win32/Vundo.gen!R
NOD32	3654	2008.12.01	a variant of Win32/Adware.Virtumonde.NDK
Norman	5.80.02	2008.12.01	-
Panda	9.0.0.4	2008.12.01	Spyware/Virtumonde
PCTools	4.4.2.0	2008.12.01	-
Prevx1	V2	2008.12.01	-
Rising	21.06.02.00	2008.12.01	-
SecureWeb-Gateway	6.7.6	2008.12.01	Trojan.Vundo.G.4
Sophos	4.36.0	2008.12.01	Mal/Generic-A
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.01	Trojan.Vundo
TheHacker	6.3.1.1.169	2008.11.29	-
TrendMicro	8.700.0.1004	2008.12.01	TROJ_VUNDO.AIO
VBA32	3.12.8.9	2008.12.01	-
ViRobot	2008.12.1.1494	2008.12.01	-
VirusBuster	4.5.11.0	2008.12.01	-
weitere Informationen
File size: 103936 bytes
MD5...: 23921f79952dc0c48bd77b32b62300b6
SHA1..: de5937b3e93256e16ddc6aeb0557a21b25ad8196
SHA256: 896f2de2eb2313605e8e8586cf0fb7dbde1cd4fde0e9481aaa528bf482ddefcd
SHA512: cb3393714c4fc5300d5e33a7e9aa30167f51fbf7b2d8c82da577b87cebbc4337
43c02ef8a0bc5ee1996293bc2d0bf4be5e5a6604ca42e62e76225105440434ec
ssdeep: 3072:N9emTLIHcI/mj15RqGByKB/M5aJqGnPiRN:hL0/mj1qAJ0/X
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001457
timedatestamp.....: 0x2e60c5bf (Sun Aug 28 17:13:35 1994)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13000 0x12a00 7.99 9a117bf9a7b7fa97accf4fe34471be06
.data 0x14000 0x1000 0x200 3.59 b6a394d0f4ad8780b90851bdfbd2b939
.rdata 0x15000 0x2b000 0x6400 7.97 8900cbd61293d935a4dc415cd1d6deb0
.rsrc 0x40000 0x1000 0x200 1.46 d6105944b66d6b20e067db85c7da9024

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )
CWSandbox info: <a href=‘http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=23921f79952dc0c48bd77b32b62300b6‘ target=‘_blank‘>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=23921f79952dc0c48bd77b32b62300b6</a>

Code:

ATTFilter

Datei prunnet.exe empfangen 2008.12.01 21:14:37 (CET)
Status: Beendet
Ergebnis: 23/37 (62.16%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.12.2.0 	2008.12.01 	-
AntiVir 	7.9.0.36 	2008.12.01 	TR/VB.gyz
Authentium 	5.1.0.4 	2008.12.01 	-
Avast 	4.8.1281.0 	2008.12.01 	Win32:Rootkit-gen
AVG 	8.0.0.199 	2008.12.01 	Generic12.PUE
BitDefender 	7.2 	2008.12.01 	Trojan.Generic.1166925
CAT-QuickHeal 	10.00 	2008.12.01 	Trojan.VB.gyz
ClamAV 	0.94.1 	2008.12.01 	-
DrWeb 	4.44.0.09170 	2008.12.01 	-
eSafe 	7.0.17.0 	2008.11.30 	Suspicious File
eTrust-Vet 	31.6.6234 	2008.11.28 	-
Ewido 	4.0 	2008.12.01 	-
F-Prot 	4.4.4.56 	2008.12.01 	-
F-Secure 	8.0.14332.0 	2008.12.01 	Trojan.Win32.VB.gyz
Fortinet 	3.117.0.0 	2008.12.01 	W32/VB.GYZ!tr
GData 	19 	2008.12.01 	Trojan.Generic.1166925
Ikarus 	T3.1.1.45.0 	2008.12.01 	Trojan-Downloader.Win32.Adload.ch
K7AntiVirus 	7.10.539 	2008.12.01 	-
Kaspersky 	7.0.0.125 	2008.12.01 	Trojan.Win32.VB.gyz
McAfee 	5451 	2008.12.01 	Generic.dx
McAfee+Artemis 	5451 	2008.12.01 	Generic.dx
Microsoft 	1.4104 	2008.12.01 	Trojan:Win32/Punad.A
NOD32 	3654 	2008.12.01 	probably unknown NewHeur_PE
Norman 	5.80.02 	2008.12.01 	W32/DLoader.LCHJ
Panda 	9.0.0.4 	2008.12.01 	-
PCTools 	4.4.2.0 	2008.12.01 	-
Prevx1 	V2 	2008.12.01 	Malicious Software
Rising 	21.06.02.00 	2008.12.01 	-
SecureWeb-Gateway 	6.7.6 	2008.12.01 	Trojan.VB.gyz
Sophos 	4.36.0 	2008.12.01 	Mal/Generic-A
Sunbelt 	3.1.1832.2 	2008.12.01 	Trojan.Win32.VB.gyz
Symantec 	10 	2008.12.01 	Downloader
TheHacker 	6.3.1.1.169 	2008.11.29 	-
TrendMicro 	8.700.0.1004 	2008.12.01 	-
VBA32 	3.12.8.9 	2008.12.01 	Trojan.Win32.VB.gyz
ViRobot 	2008.12.1.1494 	2008.12.01 	Trojan.Win32.VB.35840.B
VirusBuster 	4.5.11.0 	2008.12.01 	-
weitere Informationen
File size: 35840 bytes
MD5...: 42761af89cec2a7a65956b569edcf6ce
SHA1..: 4fa564dfc995ad66cf9636f8254724eace1efbf2
SHA256: 1189811f532f395e1f85876c64e9110c176c5913d674cc9692f8a3e7f45f43f9
SHA512: 15efe55de24d61c23d42d9c6a47314cca32f42e328c95bc3cf75be2c65902e15
9c42033ae9e97685e6c93f7c20c27023a7ea9f7c36bdb1f62effe4e45979d80c
ssdeep: 384:dXmZWlDvnIETf37G+GTa9Ko3OzjXhCfl5twJ7vJJEkQNnvQb/H3nLRIx7bFv
hBh6:RoW5vnbjGxT6KombcU7rgnvQjXqhvHu
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification
Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401134
timedatestamp.....: 0x4928cd59 (Sun Nov 23 03:26:17 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11000 0x3a00 7.98 df6c2290df7143bad6dd22a2291fa13c
.rsrc 0x12000 0x5000 0x5000 4.80 249a1cf44c41fa0cbddab3cf07443c0b

( 2 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> MSVBVM60.DLL: MethCallEngine

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=EB2500CC00F7CE128C8E002C79BEAB00F98AD21F
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle, PECompact
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=42761af89cec2a7a65956b569edcf6ce

Code:

ATTFilter

Datei qoMGXPJy.dll empfangen 2008.12.01 21:30:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 13/37 (35.14%)


Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.2.0	2008.12.01	-
AntiVir	7.9.0.36	2008.12.01	TR/Vundo.fxr.56
Authentium	5.1.0.4	2008.12.01	-
Avast	4.8.1281.0	2008.12.01	Win32:Trojan-gen {Other}
AVG	8.0.0.199	2008.12.01	Vundo.AT
BitDefender	7.2	2008.12.01	Trojan.Vundo.Gen.4
CAT-QuickHeal	10.00	2008.12.01	-
ClamAV	0.94.1	2008.12.01	-
DrWeb	4.44.0.09170	2008.12.01	Trojan.Fakealert.1500
eSafe	7.0.17.0	2008.11.30	-
eTrust-Vet	31.6.6234	2008.11.28	-
Ewido	4.0	2008.12.01	-
F-Prot	4.4.4.56	2008.12.01	-
F-Secure	8.0.14332.0	2008.12.01	-
Fortinet	3.117.0.0	2008.12.01	-
GData	19	2008.12.01	Trojan.Vundo.Gen.4
Ikarus	T3.1.1.45.0	2008.12.01	-
K7AntiVirus	7.10.539	2008.12.01	-
Kaspersky	7.0.0.125	2008.12.01	-
McAfee	5451	2008.12.01	-
McAfee+Artemis	5451	2008.12.01	-
Microsoft	1.4104	2008.12.01	Trojan:Win32/Vundo.gen!R
NOD32	3654	2008.12.01	a variant of Win32/Adware.Virtumonde.NDK
Norman	5.80.02	2008.12.01	W32/Virtumonde.AEBQ
Panda	9.0.0.4	2008.12.01	Spyware/Virtumonde
PCTools	4.4.2.0	2008.12.01	-
Prevx1	V2	2008.12.01	-
Rising	21.06.02.00	2008.12.01	Trojan.Win32.VUNDO.buh
SecureWeb-Gateway	6.7.6	2008.12.01	Trojan.Vundo.fxr.56
Sophos	4.36.0	2008.12.01	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.01	Packed.Generic.201
TheHacker	6.3.1.1.169	2008.11.29	-
TrendMicro	8.700.0.1004	2008.12.01	-
VBA32	3.12.8.9	2008.12.01	-
ViRobot	2008.12.1.1494	2008.12.01	-
VirusBuster	4.5.11.0	2008.12.01	-
weitere Informationen
File size: 245760 bytes
MD5...: 7c6585e2bf7bce64ab0be457c486c8e1
SHA1..: dd9f108ed641491bdc66ed622b00b0a9d59d929b
SHA256: d507f95857494e7a752add45712b7752929c07d72433901378889c6660aa4821
SHA512: 96d93a12a21fe046317e9053756dc8d301ab94397c67413ddaf13ca144825e14
b99c8856d090ef886adb434e63c3491cd95d8923824155d8aed3e8cceab4f7e9
ssdeep: 6144:LObHlaes0xzIjYrz/6sTjwdKsZkHouGNsFRn1zOP:LKHgP0xzt3/6yj0oLF
d1g
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000140b
timedatestamp.....: 0x1873d8ff (Sat Jan 01 05:02:55 1983)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x25000 0x24800 8.00 0b79433ef31723d9dbbf8fec2563b4b7
.data 0x26000 0x1000 0x200 3.64 604c28ab720019d53a38413c365dcc61
.rdata 0x27000 0x7d000 0x17200 7.99 689f3cce849b90c0af37032d8b8a4507

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv.sys" found!
ImagePath: \systemroot\system32\drivers\TDSSrfdc.sys
Start Type: 1 (System)

Rootkit scan completed.

Folder "C:\Programme\Peer2Peer-DE" deleted successfully.
File "C:\WINDOWS\system32\prunnet.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\edpbnqhj.dll" not found!
Deletion of file "C:\WINDOWS\system32\edpbnqhj.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\qoMGXPJy.dll" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bb54db18-1a2c-422a-aa02-c836da3bf459}" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97ac393a-a525-4cd0-95cf-019b028cc7a4}" deleted successfully.

Error: registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D1CBBEA0-DA18-44BF-826D-BC37628B1141}" not found!
Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D1CBBEA0-DA18-44BF-826D-BC37628B1141}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxUkiF" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|a85542fa" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|prunnet" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:09, on 01.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hercules\WiFi Station\WifiStation.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\timo\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2046651
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPeer.dll (file missing)
O2 - BHO: (no name) - {2AA4D05B-932F-456F-8D19-ADAC8ED1DA99} - C:\WINDOWS\system32\qoMGXPJy.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPeer.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\dGltbw\command.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5118 bytes

Ich werde jetzt gleich mal problieren ob die Tools laufen.

cosinus · 01.12.2008, 22:21

Hast Du den Avenger so eingestellt wie es auf dem Bild zu sehen war?!
Dann sollte er das gefundene Rootkit entfernen!

tikn · 01.12.2008, 22:23

Ups, sorry. Hab vergessen "Automatically disable any rootkits found" anzuklicken.

tikn · 02.12.2008, 00:05

blacklight läuft nicht. Google funktioniert wieder.

Hier die Logfiles von Anti-Malware und Combofix.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

01.12.2008 23:38:22
mbam-log-2008-12-01 (23-38-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|)
Durchsuchte Objekte: 213878
Laufzeit: 1 hour(s), 0 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\webHancer\Programs\whiehlpr.dll (Adware.Webhancer) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0} (Adware.Webhancer) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0} (Adware.Webhancer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c900b400-cdfe-11d3-976a-00e02913a9e0} (Adware.Webhancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c900b400-cdfe-11d3-976a-00e02913a9e0} (Adware.Webhancer) -> No action taken.
HKEY_CLASSES_ROOT\whiehelperobj.whiehelperobj.1 (Adware.WebHancer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (Trojan.HumourCanine) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} (Trojan.Downloader) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cnidbdli.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ildbdinc.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kclgfkob.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bokfglck.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lioicsfl.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lfscioil.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\svuttlte.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\etlttuvs.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wxgarfns.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\snfragxw.ini (Trojan.Vundo.H) -> No action taken.
C:\Programme\webHancer\Programs\whiehlpr.dll (Adware.Webhancer) -> No action taken.
C:\Programme\Conduit\Community Alerts\Alert.dll (Trojan.HumourCanine) -> No action taken.
C:\Dokumente und Einstellungen\timo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q90DGT4R\kb600179[1] (Trojan.Vundo.H) -> No action taken.
C:\Programme\Network Monitor\netmon.exe (Trojan.DNSChanger) -> No action taken.
C:\Programme\webHancer\Programs\webhdll.dll (Adware.Webhancer) -> No action taken.
C:\Programme\webHancer\Programs\whagent.exe (Adware.Webhancer) -> No action taken.
C:\Programme\webHancer\Programs\whinstaller.exe (Adware.Webhancer) -> No action taken.
C:\WINDOWS\dGltbw\asappsrv.dll (Adware.CommAd) -> No action taken.
C:\WINDOWS\system32\GI2\CRAFE913.exe (Adware.Webhancer) -> No action taken.
C:\WINDOWS\system32\vo2\LP2CG24.exe (Adware.ZenoSearch) -> No action taken.
C:\WINDOWS\system32\X\TAE3ar.exe (Trojan.Downloader) -> No action taken.

Code:

ATTFilter

ComboFix 08-12-01.01 - timo 2008-12-01 23:50:44.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1183 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\timo\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\NetMon
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
c:\programme\network monitor
c:\programme\webhancer
c:\programme\webhancer\Programs\license.txt
c:\programme\webhancer\Programs\readme.txt
c:\programme\webhancer\Programs\sporder.dll
c:\programme\webhancer\Programs\whagent.ini
c:\windows\dGltbw\
c:\windows\dGltbw\\x35QvT.vbs
c:\windows\system32\atmtd.dll
c:\windows\system32\atmtd.dll._
c:\windows\system32\bsbeqlkr.dll
c:\windows\system32\chonrdfh.dll
c:\windows\system32\cwuqzb.dll
c:\windows\system32\ddcdBrpp.dll
c:\windows\system32\Drivers\TDSSrfdc.sys
c:\windows\system32\gjstou.dll
c:\windows\system32\gside.exe
c:\windows\system32\jhqnbpde.ini
c:\windows\system32\jkkkKEWq.dll
c:\windows\system32\kshffsil.dll
c:\windows\system32\lgtgxf.dll
c:\windows\system32\mpossaky.dll
c:\windows\system32\msnav32.ax
c:\windows\system32\mzkyej.dll
c:\windows\system32\nnnmnklM.dll
c:\windows\system32\qevvjy.dll
c:\windows\system32\qnsssm.dll
c:\windows\system32\rcmkrwev.dll
c:\windows\system32\systeminfo.dll
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSkfvm.dll
c:\windows\system32\TDSSoctp.dll
c:\windows\system32\TDSSqogd.log
c:\windows\system32\TDSSurev.dll
c:\windows\system32\vjwienbh.dll
c:\windows\system32\winpfz33.sys
c:\windows\system32\xvcaknhs.dll
c:\windows\system32\yJPXGMoq.ini
c:\windows\system32\yJPXGMoq.ini2
c:\windows\system32\zxdnt3d.cfg
c:\windows\uninstall_nmon.vbs

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_TDSSSERV.SYS
-------\Service_cmdService
-------\Service_TDSSserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2008-11-01 bis 2008-12-01  ))))))))))))))))))))))))))))))
.

2008-12-01 22:34 . 2008-12-01 22:34	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-01 22:34 . 2008-12-01 22:34	<DIR>	d--------	c:\dokumente und einstellungen\timo\Anwendungsdaten\Malwarebytes
2008-12-01 22:34 . 2008-12-01 22:34	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-01 22:34 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-01 22:34 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-01 22:26 . 2008-12-01 22:26	135,168	--a------	C:\zip.exe
2008-12-01 22:26 . 2008-12-01 22:26	19,286	--a------	C:\cleanup.exe
2008-12-01 22:26 . 2008-12-01 22:26	574	--a------	C:\cleanup.bat
2008-12-01 22:26 . 2008-12-01 22:26	512	--a------	C:\backup.reg
2008-11-30 20:59 . 2008-08-06 14:06	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Vorlagen
2008-11-30 20:59 . 2008-08-06 14:16	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Startmenü
2008-11-30 20:59 . 2008-08-06 14:16	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-11-30 20:59 . 2008-08-06 14:16	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-11-30 20:59 . 2008-08-06 14:16	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Favoriten
2008-11-30 20:59 . 2008-08-06 14:16	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-11-30 20:59 . 2008-08-06 14:16	<DIR>	dr-h-----	c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-11-30 20:58 . 2008-11-30 20:59	<DIR>	d--------	c:\dokumente und einstellungen\Administrator
2008-11-30 20:31 . 2008-11-30 20:31	<DIR>	d--------	c:\programme\CCleaner
2008-11-30 19:46 . 2008-11-30 19:46	<DIR>	d--------	c:\programme\Conduit
2008-11-30 18:02 . 2008-11-30 18:02	<DIR>	d--------	c:\programme\Guitar Pro 5
2008-11-27 15:51 . 2008-11-27 15:51	<DIR>	d--------	c:\programme\CleanUp!
2008-11-25 08:16 . 2004-08-03 22:58	5,504	--a------	c:\windows\system32\drivers\MSTEE.sys
2008-11-25 08:16 . 2004-08-03 22:58	5,504	--a--c---	c:\windows\system32\dllcache\mstee.sys
2008-11-25 08:14 . 2001-08-17 14:05	351,616	--a------	c:\windows\system32\drivers\OVCodek2.sys
2008-11-24 03:25 . 2008-11-24 03:25	603,904	--a------	c:\windows\system32\TUProgSt.exe
2008-11-24 03:25 . 2008-11-12 16:44	27,904	--a------	c:\windows\system32\uxtuneup.dll
2008-11-24 03:24 . 2008-11-24 03:24	<DIR>	d--------	c:\programme\TuneUp Utilities 2009
2008-11-24 03:24 . 2008-11-24 03:24	<DIR>	d--------	c:\dokumente und einstellungen\timo\Anwendungsdaten\TuneUp Software
2008-11-24 03:24 . 2008-11-24 03:24	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-11-24 03:24 . 2008-11-24 03:24	362,240	--a------	c:\windows\system32\TuneUpDefragService.exe
2008-11-24 03:21 . 2008-11-24 03:21	<DIR>	d--hs----	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-11-24 02:59 . 2008-12-01 23:38	<DIR>	d--------	c:\windows\system32\X
2008-11-24 02:59 . 2008-12-01 23:38	<DIR>	d--------	c:\windows\system32\vo2
2008-11-24 02:59 . 2008-11-24 02:59	<DIR>	d--------	c:\windows\system32\qt2
2008-11-24 02:59 . 2008-12-01 23:38	<DIR>	d--------	c:\windows\system32\GI2
2008-11-24 02:58 . 2008-11-24 03:16	<DIR>	d--------	c:\dokumente und einstellungen\timo\Anwendungsdaten\NI.GSCNS
2008-11-24 02:50 . 2008-12-01 22:18	2,274	--a------	c:\windows\system32\TDSSdlpb.dll
2008-11-24 02:35 . 2008-11-24 02:58	115,016	--a------	c:\windows\system32\MSINET.OCX
2008-11-24 02:35 . 2008-11-24 02:58	29,184	--a------	c:\windows\system32\MSINET.oca
2008-11-24 02:35 . 2008-11-24 02:58	2,407	--a------	c:\windows\system32\MSINET.DEP
2008-11-24 02:28 . 2008-11-24 02:28	<DIR>	d--------	c:\windows\Sun
2008-11-19 23:17 . 2008-11-30 19:10	<DIR>	d--------	c:\dokumente und einstellungen\timo\Anwendungsdaten\skypePM
2008-11-19 23:17 . 2008-11-19 23:17	56	--ah-----	c:\windows\system32\ezsidmv.dat
2008-11-19 23:14 . 2008-11-30 19:38	<DIR>	d--------	c:\dokumente und einstellungen\timo\Anwendungsdaten\Skype
2008-11-19 23:13 . 2008-11-19 23:13	<DIR>	d--------	c:\programme\Skype
2008-11-19 23:13 . 2008-11-19 23:13	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Skype
2008-11-19 23:13 . 2008-11-19 23:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-04 16:39 . 2008-11-04 16:39	<DIR>	d--------	c:\dokumente und einstellungen\timo\Anwendungsdaten\Apple Computer
2008-11-04 16:11 . 2008-11-04 16:20	<DIR>	d--------	c:\dokumente und einstellungen\timo\BMM
2008-11-04 15:56 . 2008-11-04 15:56	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\brockhaus multimedia
2008-11-04 15:14 . 2008-11-04 15:14	<DIR>	d--------	c:\programme\QuickTime
2008-11-04 15:14 . 2008-11-04 15:14	<DIR>	d--------	c:\programme\Apple Software Update
2008-11-04 15:14 . 2008-11-04 15:14	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-04 14:51 . 2008-11-04 14:51	<DIR>	d--------	c:\programme\Brockhaus Multimedia
2008-11-04 14:45 . 2008-11-04 14:45	<DIR>	d--------	c:\programme\DAMN NFO Viewer

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 08:09	---------	d-----w	c:\programme\Soulseek
2008-11-27 14:30	---------	d-----w	c:\programme\Google
2008-11-25 07:45	---------	d-----w	c:\dokumente und einstellungen\timo\Anwendungsdaten\dvdcss
2008-11-03 18:08	---------	d-----w	c:\programme\Winamp
2008-10-29 22:21	---------	d-----w	c:\programme\DAEMON Tools
2008-10-25 18:07	---------	d-----w	c:\programme\Native Instruments
2008-10-25 17:30	---------	d-----w	c:\programme\Propellerhead
2008-10-25 17:02	---------	d-----w	c:\dokumente und einstellungen\timo\Anwendungsdaten\Propellerhead Software
2008-10-25 17:02	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Propellerhead Software
2008-10-20 16:23	---------	d-----w	c:\programme\AVSVideoConverter6
2008-10-17 23:52	---------	d-----w	c:\dokumente und einstellungen\timo\Anwendungsdaten\streamripper
2008-10-17 23:51	---------	d-----w	c:\programme\Streamripper
2008-10-16 00:41	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\X-Rite
2008-10-15 16:24	---------	d-----w	c:\programme\Java
2008-10-15 16:23	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-10-15 16:23	---------	d-----w	c:\programme\My Program
2008-10-15 16:23	---------	d-----w	c:\programme\Gemeinsame Dateien\Portrait Displays
2008-10-15 16:23	---------	d-----w	c:\programme\Gemeinsame Dateien\Java
2008-10-15 16:14	---------	d-----w	c:\programme\Common Files
2008-10-15 16:13	---------	d-----w	c:\programme\X-Rite
2008-10-12 03:30	---------	d-----w	c:\programme\Samorost2
2008-10-02 20:31	---------	d-----w	c:\programme\ACSynchro
2008-10-02 19:48	---------	d-----w	c:\dokumente und einstellungen\timo\Anwendungsdaten\Sync App Settings
2008-10-02 19:47	389,120	------w	c:\windows\Setup1.exe
2008-10-02 19:47	---------	d-----w	c:\programme\Allway Sync
2008-10-02 19:47	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sync App Settings
2008-10-02 19:46	74,752	----a-w	c:\windows\ST6UNST.EXE
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ASUS Probe"="c:\program files\ASUS\Probe\AsusProb.exe" [2002-12-06 617984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
WiFi Station.lnk - c:\programme\Hercules\WiFi Station\WifiStation.exe [2008-08-06 654336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.div2"= divxc32.dll
"vidc.div3"= divxc32.dll
"vidc.div4"= divxc32f.dll
"vidc.xvid"= xvid.dll
"vidc.mjpg"= pvmjpg21.dll
"vidc.hfyu"= huffyuv.dll
"vidc.rt21"= IR21_R.DLL
"vidc.ir21"= IR21_R.DLL
"msacm.divxa32"= divxa32.acm
"msacm.wrpr"= aviwrap.dll
"vidc.wrpr"= aviwrap.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ColorMunki Gamma.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ColorMunki Gamma.lnk
backup=c:\windows\pss\ColorMunki Gamma.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^colormunki.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\colormunki.exe.lnk
backup=c:\windows\pss\colormunki.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ColorMunkiPhotoTray.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ColorMunkiPhotoTray.exe.lnk
backup=c:\windows\pss\ColorMunkiPhotoTray.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2006-10-22 22:24 620152 c:\programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe]
--a------ 2002-12-06 15:07 617984 c:\program files\ASUS\Probe\AsusProb.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-11-18 16:31 21633320 c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 00:11 132496 c:\programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TotalRecorderScheduler]
--a------ 2002-07-13 10:00 40960 c:\programme\TotalRecorder\TotRecSched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wnoted]
--a------ 2008-08-11 23:00 70144 c:\programme\Common Files\X-Rite\InstrumentService\wnoted.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2004-08-11 05:44 1228800 c:\windows\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-11-19 14:01 46592 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\bin\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-11-24 603904]
S3 colormunki;colormunki;c:\windows\system32\Drivers\colormunki.sys [2008-10-15 29184]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-12-01 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-13 12:03]

2008-11-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 14:21]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{97ac393a-a525-4cd0-95cf-019b028cc7a4} - (no file)
BHO-{2AA4D05B-932F-456F-8D19-ADAC8ED1DA99} - (no file)
Toolbar-{97ac393a-a525-4cd0-95cf-019b028cc7a4} - (no file)
WebBrowser-{97AC393A-A525-4CD0-95CF-019B028CC7A4} - (no file)
MSConfigStartUp-prunnet - c:\windows\system32\prunnet.exe
MSConfigStartUp-webHancer Agent - c:\programme\webHancer\Programs\whagent.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\timo\Anwendungsdaten\Mozilla\Firefox\Profiles\fpnl4jd4.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com
FF -: plugin - c:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 23:53:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-01 23:56:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-12-01 22:55:59

Vor Suchlauf: 12 Verzeichnis(se), 99.211.157.504 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 99,160,834,048 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

278

Ist mein Rechner jetzt wieder "clean"?
Muss ich jetzt meine ganzen Passwörter ändern?

cosinus · 02.12.2008, 21:45

Stell den Avenger jetzt aber so wie auf dem Bild ein, sonst wird das wieder nix!

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

folders to delete:
c:\windows\system32\X
c:\windows\system32\vo2
c:\windows\system32\qt2
c:\windows\system32\GI2

files to delete:
c:\windows\system32\TDSSdlpb.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

alaskapad · 03.12.2008, 11:46

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

01.12.2008, 19:34	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Google verlinkt auf falsche Seiten Komplett gesperrt das Konto? Für solche Zwecke sollte man malwaredateien packen und mit nem Kennwort versehen... __________________ --> Google verlinkt auf falsche Seiten

01.12.2008, 22:21	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Google verlinkt auf falsche Seiten Hast Du den Avenger so eingestellt wie es auf dem Bild zu sehen war?! Dann sollte er das gefundene Rootkit entfernen! __________________ Logfiles bitte immer in CODE-Tags posten

Google verlinkt auf falsche Seiten

Plagegeister aller Art und deren Bekämpfung: Google verlinkt auf falsche Seiten