hijackthis Logfiles - Trojaner?!

Mikey1907 · 16.04.2009, 18:41

1.) StreetGears. Ein MMORPG von GPotatoe.

2.) UltraVNC benutze ich, um auf den Root meines Freundes zuzugreifen.

3.) Alle Programme außer ICQ deinstalliert.
ICQ brauche ich einfach... Geht nicht anders...

4.) Erledigt.

Punkt 5.) & 6.) kommen gleich.
SUPERAntiSpyware dauert etwas...

john.doe · 16.04.2009, 18:46

Zitat:

3.) Alle Programme außer ICQ deinstalliert.
ICQ brauche ich einfach... Geht nicht anders...

Ja, aber wenn, dann die aktuelle Version.

ciao, andreas

Mikey1907 · 16.04.2009, 19:14

Zitat:

Zitat von john.doe

Ja, aber wenn, dann die aktuelle Version.

ciao, andreas

Ja.
Ist die aktuellste Version.

SUPERAntiSpyware ist noch immer dran... (52 Minuten jetzt...)

john.doe · 16.04.2009, 19:19

Zitat:

Ist die aktuellste Version.

Nope.

Zitat:

ICQ6

Die aktuelle gibt es hier:

Zitat:

4.) Installiere (Toolbars immer abwählen, Haken weg):

ciao, andreas

Mikey1907 · 16.04.2009, 19:47

Achso.
Okay, dann downloade ich mir ICQ 6.5!

Status SUPERAntiSpyware:

Speicherelemente:
- Gescannt: 781
- Erfasst: 0

Registrierungselemente:
- Gescannt: 8076
- Erfasst: 0

Datenelemente:
- Gescannt: 108XXX
- Erfasst: 0

Erkannte Bedrohungen:
- 0

Scan-Zeit:
Verstrichene Zeit: 1:24:XX

Dauert noch was... -.-

Mikey1907 · 16.04.2009, 20:44

SUPERAntiSpyware Logfile:

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 04/16/2009 bei 09:39 PM

Version der Applikation : 4.26.1000

Version der Kern-Datenbank : 3846
Version der Spur-Datenbank : 1801

Scan Art       : kompletter Scann
Totale Scann-Zeit : 02:17:11

Gescannte Speicherelemente  : 781
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 8076
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 193956
Erfasste Datei-Elemente   : 0

ComboFix kommt!

Mikey1907 · 16.04.2009, 21:01

ComboFix:

Code:

ATTFilter

http://rapidshare.com/files/222174164/ComboFix.txt.html

Ich hoffe, du kannst mir nun sagen, ob ich einen Trojaner oder andere Viren auf meinem Notebook habe...

Gruß,
Mike

john.doe · 16.04.2009, 21:54

1.) Deinstalliere (falls möglich):

BitTorrent DNA
BitTorrent
SuperAntiSpyware
TuneUp Utilities
Bonjour

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
PCTCore

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e965a560-bd84-11dd-8b98-001e33506ebc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92f240af-db54-11dd-a6b1-001e33506ebc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{E02849F7-502A-4C4D-9AAD-72D943BFBFBD}C:\\program files\\icq6\\icq.exe"=-
"UDP Query User{4873DA23-C4C0-4142-B056-FC63EE4EBFEC}C:\\program files\\icq6\\icq.exe"=-
"TCP Query User{B9762CB0-BA0C-4CA0-8D3E-C95A9B98D754}C:\\program files\\bittorrent\\bittorrent.exe"=-
"UDP Query User{1F5EFC8A-F9C0-49B3-A5FC-6C55E09F6C79}C:\\program files\\bittorrent\\bittorrent.exe"=-
"TCP Query User{ED8E76BE-FA84-4651-BA27-76B02C132E16}C:\\users\\toshiba\\program files\\dna\\btdna.exe"=-
"UDP Query User{771BC04C-383C-4A0B-9087-50C4C27B59FA}C:\\users\\toshiba\\program files\\dna\\btdna.exe"=-
"{9D847342-4AA6-46AB-A9A6-C5998083807D}"=-
"{BA8BD18F-ED3E-45DC-9A28-EE267B57A923}"=-
"{8C5D171C-31D7-4084-9F55-7F985092E25C}"=-
"{D6CE257F-E0B6-426B-84A6-D8662FC7A484}"=-
"{2E7B9AE3-840D-429A-96DD-2C34A80B4293}"=-
"{90971DFB-3DA7-4BCA-917C-B8BBA4C1B014}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Toshiba Registration]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=-
"Persistence"=-
"SunJavaUpdateSched"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"=-
"msnmsgr"=-
"ICQ"=-
"WMPNSCFG"=-

Folder::
C:\Program Files\BitTorrent
C:\Program Files\DNA
C:\Program Files\Bonjour
C:\users\toshiba\program files\dna
C:\Users\Toshiba\AppData\Roaming\DNA
C:\Program Files\ICQToolbar
C:\Program Files\Bonjour
C:\Program Files\Common Files\PC Tools
C:\Program Files\SUPERAntiSpyware
C:\ProgramData\{55A29068-F2CE-456C-9148-C869879E2357}
C:\Users\All Users\{55A29068-F2CE-456C-9148-C869879E2357}
C:\ProgramData\TuneUp Software
C:\Users\All Users\TuneUp Software
C:\Users\Toshiba\AppData\Roaming\TuneUp Software
C:\Users\All Users\SUPERAntiSpyware.com
C:\ProgramData\SUPERAntiSpyware.com

File::
C:\Windows\system32\deploytk.dll
C:\Windows\system32\TUProgSt.exe
C:\Program Files\kiyzqgyd.txt
C:\Users\Toshiba\Program Files\DNA\plugins\npbtdna.dll
C:\Program Files\Mozilla Firefox\plugins\npbittorrent.dll
C:\Users\Toshiba\AppData\Local\GDIPFONTCACHEV1.DAT
C:\Windows\System32\perfc007.dat
C:\Windows\System32\perfh007.dat

FileLook::
C:\Windows\system32\DRIVERS\RsFx0102.sys
C:\Program Files\PC-Zeit\trap.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Mikey1907 · 17.04.2009, 08:10

Punkt 1 erledigt.

Wenn ich nun das Textdokument mit der rechten Maustaste auf ComboFix ziehe, dann öffnet sich ComboFix mit diesem blauen Fenster, aber es passiert nichts?!

Gruß,
Mike

john.doe · 17.04.2009, 15:23

Kopiere das Script nach c:\cfscript.txt.

Start => Ausführen => combofix c:\cfscript.txt => OK

ciao, andreas

Mikey1907 · 17.04.2009, 18:54

"Der Befehlt "combofix" ist entweder falsch geschrieben oder konnte nicht gefunden werden."

xD

john.doe · 17.04.2009, 19:08

1.) Stell sicher, dass sich die Datei cfscript.txt auf c:\ befindet.
2.) Lade dir ComboFix neu aus dem Internet.
3.) Markiere den kompletten Text in der Box

Code:

ATTFilter

combofix c:\cfscript.txt

und kopiere ihn.
4.) Start => Ausführen => [Strg]v => [Enter]

ciao, andreas

Mikey1907 · 17.04.2009, 19:45

Ist mit Punkt 4 "Eingabeaufforderung" gemeint?
Weil ausführen gibt es bei Vista nicht...

john.doe · 17.04.2009, 19:49

Zitat:

Weil ausführen gibt es bei Vista nicht...

Vista Ausführen-Eintrag im Startmenü wieder anzeigen ? WB Wiki

VISTA SUCKS

ciao, andreas

Mikey1907 · 18.04.2009, 13:14

Okay.
Aber da tut sich nix..
Bleibt das stehen:

hijackthis Logfiles - Trojaner?!

Log-Analyse und Auswertung: hijackthis Logfiles - Trojaner?!