Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: InternetGameBox Trojaner?!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 31.12.2008, 11:12   #16
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Hallo Crusader!

Könnte(s)t (du) ihr mir vorher noch mal sagen, ob bei dem Windows SP3 Schwierigkeiten auftreten? Habe nämlich gelesen, dass bei manchen Benutzern häufig Fehler Meldungen auftreten.
Zu dem "Blacklight" (2. Schritt):
Der Link funktioniert bei mir nicht! Ich komme zu keiner Internetseite, da kommt nur eine Fehlermeldung.
Nun noch zu dem "CCleaner": Ich versteh nicht so ganz wie du das meinst mit "navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern...."

Trozdem Danke für (eure)deine schnelle Hilfe!
LG BamBoocha

Alt 31.12.2008, 11:37   #17
Crusader
/// Helfer-Team
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Hallo BamBoocha,

Nein es sollten keine Schwierigkeiten auftreten, im Gegenteil, das Service Pck sollte die Systemleistung und Sicherheit verbessern!

Sorry, hier der aktuelle Link: Blacklight

Also CCleaner installieren, und dann siehst du ja, wenn du ihn öffnest, auf der linken Seite:

Cleaner
Registry
Extras
Einstellungen

Du wählst Extras, dann bei dem Register "Programme deinstallieren" auf "Als Textdatei speichern......"
Das Ergebnis hier posten!

LG Crusader
__________________

__________________

Alt 31.12.2008, 12:07   #18
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Ach ja hab noch ´ne Frage: Wie kann man zitieren? :P
__________________

Alt 31.12.2008, 12:45   #19
undoreal
/// AVZ-Toolkit Guru
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Es gibt hier sowas wie 'ne Hilfe Funktion..

http://www.trojaner-board.de/faq.php...b3_board_usage
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 31.12.2008, 13:50   #20
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Ah.. ok danke
Habe SP3 nun installiert hier is der log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:32, on 31.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5187 bytes


Die anderen Schritte verfolge ich nächstes Jahr
Guten Rutsch euch Beiden
LG BamBoocha


Alt 01.01.2009, 17:25   #21
Crusader
/// Helfer-Team
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Hallo BamBoocha,

Wie läuft es mit deinem PC??

Bitte mach noch das mit CCleaner!

LG Crusader
__________________
--> InternetGameBox Trojaner?!

Alt 02.01.2009, 16:16   #22
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Hi Crusader!
Sorry das es solang gedauert hat, hab aber noch ordentlich gefeiert
Also.. Hier ist das Blacklight log:

01/02/09 14:07:15 [Info]: BlackLight Engine 2.2.1092 initialized
01/02/09 14:07:15 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/02/09 14:07:15 [Note]: 7019 4
01/02/09 14:07:15 [Note]: 7005 0
01/02/09 14:07:21 [Note]: 7006 0
01/02/09 14:07:21 [Note]: 7011 340
01/02/09 14:07:22 [Note]: 7035 0
01/02/09 14:07:22 [Note]: 7026 0
01/02/09 14:07:22 [Note]: 7026 0
01/02/09 14:07:22 [Note]: 7024 3
01/02/09 14:07:22 [Info]: Hidden process: C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuv
01/02/09 14:07:23 [Note]: FSRAW library version 1.7.1024
01/02/09 14:07:24 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.
01/02/09 14:07:24 [Note]: 10002 1
01/02/09 14:07:25 [Info]: Hidden file: C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.
01/02/09 14:07:25 [Note]: 10002 1
01/02/09 14:07:25 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_
01/02/09 14:07:25 [Note]: 10002 1
01/02/09 14:07:25 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_
01/02/09 14:07:25 [Note]: 10002 1
01/02/09 14:11:40 [Note]: 2000 1012
01/02/09 14:14:25 [Note]: 7007 0


Zum AntiSpyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/02/2009 at 03:54 PM

Application Version : 4.24.1004

Core Rules Database Version : 3693
Trace Rules Database Version: 1669

Scan type : Complete Scan
Total Scan Time : 01:32:29

Memory items scanned : 409
Memory threats detected : 0
Registry items scanned : 4097
Registry threats detected : 0
File items scanned : 116107
File threats detected : 57

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@ad.71i[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@delivery.ads.coupling-media[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@atwola[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@zanox[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@adserver.71i[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@indextools[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.71i[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ads.habbogroup[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adserver.myvideo[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adtech[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@advertising[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@atdmt[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@atwola[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@casalemedia[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@fastclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@flixbanner.bearshare[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@hotbar[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@k2network.112.2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@komtrack[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@media.licenseacquisition[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mediaplex[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mywebsearch[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@pacificpoker[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@partygaming.122.2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@pro-market[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@richmedia.yahoo[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@serving-sys[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@www.etracker[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@ads.beamfile[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@as1.falkag[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@atwola[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@fastclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@flixbanner.bearshare[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@media.fastclick[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@mywebsearch[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@www.zanox-affiliate[1].txt

Trojan.Downloader-KRDPDRE
C:\DOKUMENTE UND EINSTELLUNGEN\MEYER\LOKALE EINSTELLUNGEN\TEMP\KRDPDRE.SYS

Adware.webHancer
C:\DOKUMENTE UND EINSTELLUNGEN\MEYER\LOKALE EINSTELLUNGEN\TEMP\WH_CC.EXE


Und zu guter Letzt das CCleaner log.


Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 9 - Deutsch
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Dofus 1.25.0
HijackThis 2.0.2
HT Fireman CD/DVD Burner
ICQ Toolbar
ICQ6
Java(TM) 6 Update 10
Logitech Desktop Messenger
Logitech SetPoint
LucasArts' Monkey4
Malwarebytes' Anti-Malware
Microsoft Office XP Professional
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB954430)
Opera 9.63
PowerQuest PartitionMagic 8.0 Demo
Revo Uninstaller 1.75
Sinus 154 stick
Spybot - Search & Destroy
SUPERAntiSpyware Professional
Windows Internet Explorer 7
Windows XP Service Pack 3
XP-Clean


LG BamBoocha

Alt 02.01.2009, 18:11   #23
Crusader
/// Helfer-Team
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Hallo BamBoocha,

1.) Noch ein frisches HijackThis Log posten!

2.) Mach bitte einen ESET Online Scan. Hierzu setzt du den Hacken bei "YES, I accept the Terms of Use" und klickst dann auf "Start"! Ergebnis hier posten!

3.) Mach bitte einen Panda ActiveScan. Hierzu klickst du auf "Jetzt Scannen". Du lädst dir das Plug-In herunter und installierst es, danch den Scan starten und Ergebnis hier posten!
__________________
KEINE Hilfe per PN, für was wäre sonst das Forum da?

Trojaner Board unterstützen! | Mei Bier is ned deppad, du bist deppad! | [Invisible Fighters] Clan

Alt 02.01.2009, 18:20   #24
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Hier ist schon mal das HijackThis log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:00, on 02.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5905 bytes



Die anderen kommen gleich/später

LG BamBoocha

Alt 02.01.2009, 18:44   #25
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



... Soll ich eigentlich alle Funde, die infiziert sind, löschen? (Ich weiß dumme Frage :P)

Alt 03.01.2009, 16:04   #26
undoreal
/// AVZ-Toolkit Guru
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Huhu. Kurzer Einschub:

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Dopperlklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Wenn da nichts Auffälliges drin ist kann Crusader gerne weitermachen..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 06.01.2009, 15:47   #27
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Hi undoreal!
Hab bin deinen Anweisungen gefolgt:


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-06 15:43:08
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT B06B11E4 ZwCreateThread
SSDT B06B11D0 ZwOpenProcess
SSDT B06B11D5 ZwOpenThread
SSDT \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB0684F20]
SSDT B06B11DA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B

---- User code sections - GMER 1.0.14 ----

.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 00FE200E
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 00FE1DAF
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 00FE1CF2
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 00FE191B
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 05E8200E
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 05E81DAF
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 05E81CF2
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 05E8191B
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0139200E
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01391DAF
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01391CF2
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0139191B
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0128200E
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01281DAF
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01281CF2
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0128191B
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0260200E
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 02601DAF
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 02601CF2
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0260191B
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0100200E
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01001DAF
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01001CF2
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0100191B
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 01F6200E
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01F61DAF
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01F61CF2
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 01F6191B
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01F63642
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!send 71A14C27 5 Bytes JMP 01F63161
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01F63352
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B

---- Processes - GMER 1.0.14 ----

ok.. da der Report zu lang war kommt gleich der zweite Teil

Alt 06.01.2009, 15:48   #28
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



So nun der 2. Teil:



Process C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) 328
Library C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) @ C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe [328] 0x00400000

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@SlowInfoCache 0x28 0x02 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@Changed 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@DisplayName Favorit
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@UninstallString "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" -uninstall
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRemove 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoModify 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRepair 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@nnuvce "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" nnuvce

---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.dat 3604 bytes
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.exe 233472 bytes executable
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_nav.dat 253052 bytes
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_navps.dat 1173 bytes
File C:\WINDOWS\Prefetch\NNUVCE.EXE-0CE9C8A4.pf 33952 bytes

---- EOF - GMER 1.0.14 ----


Wurd was gefunden! Hoffentlich ncihts Schlimmes?!

LG BamBoocha

Alt 06.01.2009, 17:16   #29
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Also zu Crusader:
Hab ESET Online Scan durchlaufen lassen.. Da stand hat keine "Threats" gefunden, habe aber leider keine Button gefunden der zum Report führt. (Habe diesen Scan vor ein paar Tagen abbrechen müssen [knapp vor der hälfte] und bei dem Scan hatte er einen "Threat" gefunden. Konnte diesen ja nicht löschen .. wurde aber trozdem beim 2. Scan nicht mehr gefunden ??!!)

Nun zum Panda ActiveScan .. Hier ist der log. :

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-01-02 20:14:11
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00114578 Joke/Schock Jokes No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Eigene Dateien\ICQ Lite\209402368\KaKa 04_420239414\ich.exe
00123075 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whAgent.inf]
00124483 Adware/STIEBar Adware No 0 No No C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\0catyellowpages.exe[STIEbar.dll]
00145758 Cookie/Mysearch TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mysearch[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adverserve[1].txt
00208815 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whieshm.dll]
00497354 Application/MyWebSearch HackTools No 0 Yes No C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location vU
;===================================================================================================================================================== ==============================
No C:\Programme\AWS\WxBugSetup60b6.04.0.9m.EXE vU
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description vU
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

LG BamBoocha

Alt 06.01.2009, 19:59   #30
undoreal
/// AVZ-Toolkit Guru
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!



Volltreffer.

Sag mal, hast du Blacklight die Funde nicht beheben lassen?




Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Setzte den Haken bei "Automatically disable any Rootkits found.
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe

Folders to delete:
C:\Programme\ICQ6Toolbar
C:\Programme\AskSBar
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\nnuvce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @nnuvce "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" nnuvce

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !





Dann startest du den Rechner im normalen Modus neu.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu InternetGameBox Trojaner?!
adobe, antivir, antivirus, avira, bho, excel, file, firefox, google, hijack, hkus\s-1-5-18, internet explorer, malwarebytes' anti-malware, microsoft, mozilla, plug-in, popups, programm, programme, software, stick, surfen, system, trojaner, trojaner?, trojaner?!, windows, wlan, öffnet




Ähnliche Themen: InternetGameBox Trojaner?!


  1. Hijack log nach internetgamebox
    Log-Analyse und Auswertung - 15.02.2009 (0)
  2. Internetgamebox Trojaner?!
    Plagegeister aller Art und deren Bekämpfung - 24.01.2009 (5)
  3. internetgamebox =(
    Log-Analyse und Auswertung - 16.01.2009 (6)
  4. Internetgamebox(Malware) auf dem Rechner
    Mülltonne - 10.11.2008 (0)

Zum Thema InternetGameBox Trojaner?! - Hallo Crusader! Könnte(s)t (du) ihr mir vorher noch mal sagen, ob bei dem Windows SP3 Schwierigkeiten auftreten? Habe nämlich gelesen, dass bei manchen Benutzern häufig Fehler Meldungen auftreten. Zu dem - InternetGameBox Trojaner?!...

Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr.


Copyright ©2000-2024, Trojaner-Board
Archiv
Du betrachtest: InternetGameBox Trojaner?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.