|
Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChangerCodec und Trojan.Dropper/GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.02.2009, 10:20 | #1 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Hallo! Habe mir mal wieder was eingefangen! Mein SUPERAntiSpyware hat folgendes festgstellt: Trojan.DNSChanger-Codec und Trojan.Dropper/Gen Könnt Ihr mir wieder helfen? Vielen Dank schon mal Hier mein HijackThis Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:22:54, on 20.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINXP\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe C:\Programme\MSI\Common\RaUI.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ucgogks] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe" ucgogks O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: MSI Wireless Utility.lnk = C:\Programme\MSI\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe -- End of file - 6510 bytes |
20.02.2009, 10:24 | #2 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Hallo Tanja
__________________Checke mal kurz deine DNS Einstellungen deiner TCP/IP Verbindung Code:
ATTFilter Geh bitte auf START Systemsteuerung Netzwerk- und Internetverbindungen Netzwerkverbindungen Hierauf dann einen Rechtsklick und Eigenschaften anklicken. Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. Hierauf auch einen Rechtsklick und Eigenschaften aufrufen. drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen? Falls ja und diese mit 85.255 beginnen können wir von einem Trojan.DNSChanger mit Rootkit ausgehen Geändert von Redwulf (20.02.2009 um 10:29 Uhr) |
20.02.2009, 10:37 | #3 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Hi!
__________________Habe ich gemacht! Ist alles automatisch |
20.02.2009, 10:42 | #4 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Gut, dann hat wohl der SuperAnti schon einiges erledigt. Wir sollten jedoch sicher gehen ob sich noch etwas in deinem System verbirgt. Dazu deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Sollte es sich bei dem Befall um Malware handeln sind die Sicherungspunkte sowieso unbrauchbar.. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Dann lässt du bitte den CCleaner nach Anweisung laufen. Downloade dann bitte Malwarebytes und mache einen Vollscan. Logfile dann hier bitte posten. Danach suchen wir mal einen eventuellen Rootkit |
20.02.2009, 11:01 | #5 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Kleiner, aber nützlicher Hinweis noch: http://www.trojaner-board.de/54192-a...tellungen.html Geändert von Redwulf (20.02.2009 um 11:06 Uhr) |
20.02.2009, 11:27 | #6 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Ich lass gerade Malwarebytes laufen. Bei Avira kann ich nicht das anhaken, was dort aufgeführt wird. Schade. Habe ich eine ältere Version, oder liegt es daran, das meins Freeware ist? |
20.02.2009, 11:29 | #7 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Logfile Malwarebytes: Keine infizierten Objekte gefunden Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1780 Windows 5.1.2600 Service Pack 3 20.02.2009 11:37:02 mbam-log-2009-02-20 (11-37-02).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 78338 Laufzeit: 17 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
20.02.2009, 11:40 | #8 | |
| Trojan.DNSChangerCodec und Trojan.Dropper/GenZitat:
So weit so gut, Malware hammer keine meines Erachtens mehr drin. Bitte dl jetzt Gmer http://www.gmer.net/gmer.zipund mache einen Scan. Anschließend drückst du auf Copy und postest das file dann hier |
20.02.2009, 11:47 | #9 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen checke zusätzlich diese files ucgogks.exe mit Pfad: "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe" RaUI.exe mit Pfad C:\Programme\MSI\Common\RaUI.exe Bei Virustotal Lade die files hoch und lass sie überprüfen. Auch wenns angeblich schon mal überprüft wurde, drück auf analysiere die datei Poste das file dann hier Geändert von Redwulf (20.02.2009 um 11:53 Uhr) |
20.02.2009, 12:06 | #10 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen gmer GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-20 12:05:21 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F8B79194 ZwCreateThread SSDT F8B79180 ZwOpenProcess SSDT F8B79185 ZwOpenThread SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF648DF20] SSDT F8B7918A ZwWriteVirtualMemory ---- User code sections - GMER 1.0.14 ---- .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671667 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446715E8 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467162C C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671574 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446715AE C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446716A2 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.14 ---- |
21.02.2009, 12:09 | #11 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Tanja so weit so gut bitte lade die Datei ShimEng.dll mit deinem Pfad C:\WINXP\system32\ShimEng.dll bei Virustotal und poste das Ergebnis hier. Und zwar mir allen angezeigten Daten. Vergiss bitte nicht die beiden Dateien die ich dir ebenfalls übermittelt hab an Virustotal zu senden und zu überprüfen |
21.02.2009, 12:30 | #12 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Hallo und 1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme: Code:
ATTFilter SuperAntiSpyware (nicht mehr benötigt) Alles von Google (Datenkrake) Code:
ATTFilter O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [ucgogks] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe" ucgogks O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe 3.) Entfernen von Windows Bonjour (mdnsresponder.EXE) mit Bonjour Au revoir 4.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. ciao, andreas |
22.02.2009, 11:23 | #13 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen So. Erst mal die Dateien über Virustotal. Den Punkt hatte ich doch glatt übersehen! Datei ucgogks.dat empfangen 2009.02.22 11:14:59 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.22 - AhnLab-V3 2009.2.21.0 2009.02.22 - AntiVir 7.9.0.87 2009.02.21 - Authentium 5.1.0.4 2009.02.21 - Avast 4.8.1335.0 2009.02.22 - AVG 8.0.0.237 2009.02.21 - BitDefender 7.2 2009.02.22 - CAT-QuickHeal 10.00 2009.02.22 - ClamAV 0.94.1 2009.02.22 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.22 - eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6368 2009.02.20 - F-Prot 4.4.4.56 2009.02.21 - F-Secure 8.0.14470.0 2009.02.22 - Fortinet 3.117.0.0 2009.02.22 - GData 19 2009.02.22 - Ikarus T3.1.1.45.0 2009.02.22 - K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.22 - McAfee 5532 2009.02.21 - McAfee+Artemis 5532 2009.02.21 - Microsoft 1.4306 2009.02.22 - NOD32 3877 2009.02.22 - Norman 6.00.06 2009.02.20 - nProtect 2009.1.8.0 2009.02.22 - Panda 10.0.0.10 2009.02.21 - PCTools 4.4.2.0 2009.02.21 - Prevx1 V2 2009.02.22 - Rising 21.17.62.00 2009.02.22 - SecureWeb-Gateway 6.7.6 2009.02.22 - Sophos 4.39.0 2009.02.22 - Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.22 - TheHacker 6.3.2.4.263 2009.02.21 - TrendMicro 8.700.0.1004 2009.02.20 - VBA32 3.12.10.0 2009.02.22 - ViRobot 2009.2.20.1617 2009.02.20 - VirusBuster 4.5.11.0 2009.02.21 - weitere Informationen File size: 2985 bytes MD5...: aa518eccf976ca9d55ca6d42cc3e4a8a SHA1..: c0d554e5bbb8bf6f64705a21ad11d24bc9334e66 SHA256: cea2d870ddcb9e9298063989f1317cbd0ddfca435cd140079bfc77bcd9b29173 SHA512: d7ceef839e6e4126498a7d9202f25e601b2288f9f327941123d103487c20f47e a6e291b1e44c8532bb126c1929719b9d4693b43b578436c7104498b5118e9a03 ssdeep: 48:PWdgZCG+VnlU8NYXAFqaIv81m8IU3Jl8TMPGys8N77BjdiSiROOcNlCn:PW2Z z+VlUqYXAFqaIvKmtU5lugsiySiB PEiD..: - TrID..: File type identification Unknown! PEInfo: - Datei RaUI.exe empfangen 2009.02.22 11:18:44 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/39 (2.57%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.22 - AhnLab-V3 2009.2.21.0 2009.02.22 - AntiVir 7.9.0.87 2009.02.21 - Authentium 5.1.0.4 2009.02.21 - Avast 4.8.1335.0 2009.02.22 - AVG 8.0.0.237 2009.02.21 - BitDefender 7.2 2009.02.22 - CAT-QuickHeal 10.00 2009.02.22 - ClamAV 0.94.1 2009.02.22 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.22 - eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6368 2009.02.20 - F-Prot 4.4.4.56 2009.02.21 - F-Secure 8.0.14470.0 2009.02.22 - Fortinet 3.117.0.0 2009.02.22 - GData 19 2009.02.22 - Ikarus T3.1.1.45.0 2009.02.22 - K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.22 - McAfee 5532 2009.02.21 - McAfee+Artemis 5532 2009.02.21 - Microsoft 1.4306 2009.02.22 - NOD32 3877 2009.02.22 - Norman 6.00.06 None.. - nProtect 2009.1.8.0 2009.02.22 - Panda 10.0.0.10 2009.02.21 - PCTools 4.4.2.0 2009.02.21 - Prevx1 V2 2009.02.22 - Rising 21.17.62.00 2009.02.22 - SecureWeb-Gateway 6.7.6 2009.02.22 - Sophos 4.39.0 2009.02.22 - Sunbelt 3.2.1855.2 2009.02.17 Trojan-Spy.Win32.Ardamax.F (vf) Symantec 10 2009.02.22 - TheHacker 6.3.2.4.263 2009.02.21 - TrendMicro 8.700.0.1004 2009.02.20 - VBA32 3.12.10.0 2009.02.22 - ViRobot 2009.2.20.1617 2009.02.20 - VirusBuster 4.5.11.0 2009.02.21 - weitere Informationen File size: 425984 bytes MD5...: 980ac2e08797419f5d3b92cd6672761e SHA1..: fe14724d126ca8901be9e1da06b506688de3738a SHA256: ebd363fc2400a162a41f196552aa94ddeef1cdbe606ea421da788be6c77de2c7 SHA512: 25f4843ddadb08bbcb288fee5f2956d67b66515d08111aa77898fabce448646c 9e37cebc037373da7448e1d660cb59cebfaedc3b339338d7c91267c7d367b518 ssdeep: 6144:U2FngG/MdQOoriO22RnSat6rHtEN2Vl1srmcKQE63ksoZ4G7EvIuTvGvGvO IEpmR:U2FTsQOgrZnSat6rH6S6Z PEiD..: Armadillo v1.71 TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x43c300 timedatestamp.....: 0x4417bc72 (Wed Mar 15 07:04:18 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3e613 0x3f000 5.86 103f5849dad0344265331ac1e3149e89 .rdata 0x40000 0x733c 0x8000 4.45 2366e0b96abac971cb2a16d3e8485992 .data 0x48000 0x9220 0x9000 5.42 ca060c513f8fbf1156c19aa75cfc8eb7 .rsrc 0x52000 0x16450 0x17000 3.40 6fd193fc878accdfb3915b4ad91be854 ( 14 imports ) > CRYPT32.dll: CertFindCertificateInStore, CertOpenSystemStoreA, CertFreeCertificateContext, CertGetCertificateContextProperty, CertRDNValueToStrA, CertFindRDNAttr, CryptDecodeObject, CertCloseStore, CertEnumCertificatesInStore > AegisE5.dll: @AcAdapterQuery@8, @AcAdapterGetStatistics@8, @AcGlobalOpenContextA@4, @AcContextRelease@4, @AcAdapterCfgSpecial@12, @AcStatusFormatA@12, @AcGetLogErrorA@20, @AcContextAttachEvent@8, @AcContextGetAttachedEvent@4, @AcAdapterSet8021xValues@20, @AcContextConfigWpa@8, @AcContextConfigResumption@8, @AcContextConfigWpaEx@24, @AcContextConfigTTLSCredentialsA@40, @AcContextConfigTLSCredentialsA@28, @AcContextConfigPeapCredentialsA@40, @AcContextConfigMd5CredentialsA@12, @AcContextConfigLeapCredentialsA@12, @AcAdapterAuthenticateStop@4, @AcContextConfigWpaPskAscii@8, @AcContextConfigWpaPskBinary@12, @AcAdapterGetMacAddress@8, @AcStatusNumber@4, @AcIterateAdaptersNext@4, @AcCredentialsNumber@4, @AcAdapterAuthenticate@8, @AcGlobalContextQuery@8, @AcAdapterGetNameA@12, @AcStatusRelatedContext@4, @AcIterateAdapters@4, @AcContextType@4, @AcContextCopyHandle@4 > SHLWAPI.dll: SHDeleteKeyA > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA > SETUPAPI.dll: SetupDiClassGuidsFromNameA, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo, SetupDiGetDeviceRegistryPropertyA, SetupDiOpenDevRegKey, SetupDiDestroyDeviceInfoList > iphlpapi.dll: GetAdaptersInfo > MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: __set_app_type, _controlfp, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _iob, fprintf, toupper, strtoul, _strdup, _mbsicmp, memmove, _except_handler3, _ftol, atol, strcmp, _strupr, strncmp, strrchr, calloc, _mbscmp, abs, sprintf, atoi, _mbsnbcmp, _setmbcp, _strcmpi, _itoa, _strnicmp, __CxxFrameHandler, memset, memcpy, memcmp, strlen, strcat, __p__fmode, strcpy, free, printf, malloc, scanf > KERNEL32.dll: CloseHandle, CreateEventA, GetProcAddress, GetModuleHandleA, GetCurrentProcess, CreateFileA, GetVersionExA, DeviceIoControl, SetLastError, FileTimeToSystemTime, SetEvent, LoadLibraryA, GetSystemDefaultLangID, CreateMutexA, ReleaseMutex, FreeLibrary, ResetEvent, GetStartupInfoA, WinExec, GetDateFormatA, Sleep, GetModuleFileNameA, GlobalAlloc, GlobalLock, GlobalHandle, GlobalUnlock, GetSystemDirectoryA, WideCharToMultiByte, GlobalFree, GetLastError > USER32.dll: UpdateWindow, LoadBitmapA, KillTimer, SetTimer, IsCharAlphaNumericA, GetParent, EnableWindow, GetCursorPos, LoadIconA, GetSubMenu, LoadMenuA, GetWindowRect, SetForegroundWindow, SendMessageA, IsWindow, MessageBeep, IsCharAlphaA, GetSystemMetrics, MessageBoxA, wsprintfA, GetFocus > GDI32.dll: GetTextExtentPoint32A > ADVAPI32.dll: RegCreateKeyExA, StartServiceA, ChangeServiceConfigA, CloseServiceHandle, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, OpenServiceA, OpenSCManagerA, ControlService, FreeSid, EqualSid, GetTokenInformation, OpenProcessToken, AllocateAndInitializeSid, QueryServiceStatus, RegEnumValueA, RegEnumKeyExA > SHELL32.dll: Shell_NotifyIconA, ShellExecuteA > COMCTL32.dll: ImageList_ReplaceIcon, ImageList_Create ( 0 exports ) Datei shimeng.dll empfangen 2009.02.22 11:21:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.22 - AhnLab-V3 2009.2.21.0 2009.02.22 - AntiVir 7.9.0.87 2009.02.21 - Authentium 5.1.0.4 2009.02.21 - Avast 4.8.1335.0 2009.02.22 - AVG 8.0.0.237 2009.02.21 - BitDefender 7.2 2009.02.22 - CAT-QuickHeal 10.00 2009.02.22 - ClamAV 0.94.1 2009.02.22 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.22 - eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6368 2009.02.20 - F-Prot 4.4.4.56 2009.02.21 - F-Secure 8.0.14470.0 2009.02.22 - Fortinet 3.117.0.0 2009.02.22 - GData 19 2009.02.22 - Ikarus T3.1.1.45.0 2009.02.22 - K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.22 - McAfee 5532 2009.02.21 - McAfee+Artemis 5532 2009.02.21 - Microsoft 1.4306 2009.02.22 - NOD32 3877 2009.02.22 - Norman 6.00.06 None.. - nProtect 2009.1.8.0 2009.02.22 - Panda 10.0.0.10 2009.02.21 - PCTools 4.4.2.0 2009.02.21 - Prevx1 V2 2009.02.22 - Rising 21.17.62.00 2009.02.22 - SecureWeb-Gateway 6.7.6 2009.02.22 - Sophos 4.39.0 2009.02.22 - Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.22 - TheHacker 6.3.2.4.263 2009.02.21 - TrendMicro 8.700.0.1004 2009.02.20 - VBA32 3.12.10.0 2009.02.22 - ViRobot 2009.2.20.1617 2009.02.20 - VirusBuster 4.5.11.0 2009.02.21 - weitere Informationen File size: 65024 bytes MD5...: b5e7026d1cb7d9bcba0083b9f69683f1 SHA1..: ce6979ee916850ffadac4379f9638e49cf2fed81 SHA256: ec3d0746ade4ca286b778d2a5cebf4882bce814f1c7399ae298fb4e1dc979416 SHA512: 1240605652481bd59e3803c3bd3d985ba897741a4a4da9ef8dfd9f78761a6b1f 5ab956d23374362b4833da58c2c203b4e722f59fb1e7815b362a9e9859e00fd3 ssdeep: 1536:XKiXmZdzFeGNAqXUoW3QSjZc7PqMW1yV0s:XKiXmZdzFrNHXrWBjMS9y2s PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x5cf08e55 timedatestamp.....: 0x4802bfb2 (Mon Apr 14 02:21:38 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xd9c7 0xda00 6.49 7afa9af19d7a2cf8d55e378144189440 .data 0xf000 0x13548 0x600 4.66 98126edca1f1dc57f6dd5642884fea8d .rsrc 0x23000 0x400 0x400 3.45 643bed21e2a82a7eb39532b8f4d15160 .reloc 0x24000 0x157a 0x1600 4.52 97a220e8e18adaeb17ce9f8130a65a15 ( 2 imports ) > ntdll.dll: RtlFreeHeap, RtlAllocateHeap, wcscat, _wcsnicmp, wcscmp, wcsstr, _wcslwr, wcsrchr, wcsncpy, LdrLoadDll, swprintf, RtlStringFromGUID, RtlImageDirectoryEntryToData, RtlImageNtHeader, RtlNtStatusToDosError, NtSetInformationFile, RtlDestroyHeap, LdrUnloadDll, NtFreeVirtualMemory, LdrInitShimEngineDynamic, RtlCreateHeap, RtlCompareUnicodeString, _wcsicmp, RtlSetEnvironmentVariable, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlDosPathNameToNtPathName_U, NtCreateFile, RtlFreeUnicodeString, sprintf, NtWriteFile, NtClose, _strcmpi, wcslen, RtlUnicodeStringToAnsiString, _stricmp, RtlInitAnsiString, RtlAnsiStringToUnicodeString, wcschr, _alloca_probe, memmove, NtQueryValueKey, NtMapViewOfSection, NtCreateSection, NtQueryInformationFile, NtUnmapViewOfSection, NtAllocateVirtualMemory, NtQuerySystemInformation, NtQueryVirtualMemory, RtlDoesFileExists_U, RtlUnicodeStringToInteger, RtlExpandEnvironmentStrings_U, NtQueryAttributesFile, _snwprintf, NtQueryInformationProcess, RtlGetVersion, strpbrk, strspn, RtlGUIDFromString, NtOpenKey, strncpy, strchr, atol, isdigit, RtlUnwind, RtlInitString, LdrGetProcedureAddress, NtProtectVirtualMemory, NtFlushInstructionCache, wcscpy, LdrGetDllHandle, RtlInitUnicodeString, RtlQueryEnvironmentVariable_U, _vsnprintf, DbgPrint > KERNEL32.dll: GetUserDefaultUILanguage, GetCurrentProcess, TerminateProcess, GetExitCodeProcess, WaitForSingleObject, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, CreateProcessW, IsWow64Process ( 8 exports ) SE_DllLoaded, SE_DllUnloaded, SE_DynamicShim, SE_GetProcAddress, SE_InstallAfterInit, SE_InstallBeforeInit, SE_IsShimDll, SE_ProcessDying |
22.02.2009, 11:42 | #14 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen Hier mein Navilog1 Bericht Search Navipromo version 3.7.4 began on 22.02.2009 at 11:42:12,62 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Updated on 16.02.2009 at 18h00 by IL-MAFIOSO Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2300+ ) BIOS : Phoenix - AwardBIOS v6.00PG USER : Administrator ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:38 Go (Free:33 Go) D:\ (Local Disk) - NTFS - Total:38 Go (Free:37 Go) E:\ (CD or DVD) F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go) Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINXP" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users.WINXP\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users.WINXP\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" *** *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINXP\system32" * * Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINXP\system32" : * In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" : ucgogks.dat found ! ucgogks_nav.dat found ! ucgogks_navps.dat found ! 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 22.02.2009 at 11:42:42,65 *** |
22.02.2009, 11:49 | #15 |
| Trojan.DNSChangerCodec und Trojan.Dropper/Gen 1.) Rufe das Programm bitte erneut auf und wähle die Option 2
2.) Ein neues HJT-Log posten. ciao, andreas |
Themen zu Trojan.DNSChangerCodec und Trojan.Dropper/Gen |
0 bytes, administrator, adobe, antivir, antivirus, avira, bho, bonjour, dateien, einstellungen, excel, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, object, outlook express, programme, software, superantispyware, system, windows, windows xp |