Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Unbekannte dll's

Unbekannte dll's


Log-Analyse und Auswertung: Unbekannte dll's

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 3 von 3 12 3
Alt 29.04.2009, 16:15   #31
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


hier ersteinmal die logs:

MAM:


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

29.04.2009 17:07:03
mbam-log-2009-04-29 (17-07-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 160947
Laufzeit: 32 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{C5C81DB8-E604-468E-AB1A-0BA9D8CA7DE0}\RP532\A0074804.exe (Adware.Cinmus) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\protect.dll (Trojan.Agent) -> Delete on reboot.





HJT:
Logfile of HijackThis v1.99.1
Scan saved at 17:09:34, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe


C:\WINDOWS.0\system32\drivers\etc die host datei ist komplett leer (0bytes)


Lasse das zeitlich letzte Backup von Avenger bei Virustotal prüfen (in dem Zip wo die Treiber/Dlls mit "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" sind).

Was meinst du damit


Hoffe wir finden den übeltäter bald


MfG



Die andere Frage kann ich dir im Moment nicht beantworten, da ich im Moment alle Links ohne Probleme anklicken kann, MaM aber noch 5 Viren anzeigt??

Alt 29.04.2009, 16:36   #32
Chris4You
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

das ist so wie ich mirs dachte, wir bekämpfen einen und derweil wird ein anderer Nachgeladen.
Wir haben:
Code:
ATTFilter
C:\WINDOWS.0\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\protect.dll (Trojan.Agent) -> Delete on reboot.
mittlerweile dreimal gelöscht, und sie ist immer noch da...

Auch die Einträge
Code:
ATTFilter
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
sind wieder da...

Da bleibt nichts anderes übrig alles alles nacheinander noch mal durchzuführen, allerdings komplett offline...

Lade Dir vorher noch Combofix runter und drucke Dir den Rest hier aus:
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Weiterhin:
http://www.funkytoad.com/content/view/13/
Lade die Datei "HostsXpert" auspacken und führe zuerst ein Backup
des aktullen Hostsfiles durch. Danach "Restore MS Hosts".
Neu booten, Hostfile nochmals kontrolliern und Internet ausprobieren.
Falls das Internet nichtmehr läuft, altes Hostfile ("Restore") zurückholen
und den Inhalt vom Hostsfile posten (ggf. packen).

Systemwiederherstellung löschen
http://www.systemwiederherstellung-d...indows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.

Bitte nach Download aller Tools offline gehen...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Drivers to delete:
ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm
 
Files to delete:
C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat
C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll
C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat
C:\DOKUME~1\ADMINI~1\protect.dll
C:\WINDOWS.0\System32\ChkDisk.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\ADMINI~1\protect.dll,_IWMPEvents@16
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\as pnet_state.exe (file missing)
Jetzt combofix laufen lassen:
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Danach MAM laufen lassen...

Jetzt RSIT laufen lassen
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Online gehen und alle Logs und ein HJ-Log posten!
(Sowas hardnäckiges ist mir schon länger nicht mehr begegnet)

Chris
__________________

__________________
Alt 29.04.2009, 16:44   #33
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

Werde ich natürlich alles machen.
Schonmal Danke für deine Mühe und alles und immer daran denken: "Ein Optimist sieht in einem Problem eine Aufgabe, ein Pessimist sieht in einer Aufgabe ein Problem"


Ich werde dann alles Posten bis dann.


MfG
__________________
Alt 29.04.2009, 16:45   #34
Chris4You
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

bis morgen, lasst Euch zeit (Gruß an den Papi )...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 29.04.2009, 17:44   #35
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


So Chris jetzt gehts rund :aplaus:

habe alles gemacht, natürlich nach dem ich das internet gekappt habe

Hier die Logfiles, ich glaube es hat was gebracht, MaM hat z.B.: nur noch einen Virus gefunden :aplaus:


Hier eine Log.txt -Datei (weiss nicht mehr welches Programm :/):


Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2009-04-29 18:34:47
Microsoft Windows XP Professional Service Pack 2
System drive C: has 7 GB (29%) free of 23 GB
Total RAM: 1023 MB (76% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS.0\tasks\Google Software Updater.job
C:\WINDOWS.0\tasks\GoogleUpdateTaskMachine.job

======Registry dump======

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS.0\system32\ctfmon.exe [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C46 Series]
C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE [2004-01-13 99840]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2006-11-07 185896]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BITS"=3

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
ChkDisk.dll
ChkDisk.lnk - C:\WINDOWS.0\system32\rundll32.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\BitComet\BitComet.exe"="C:\Programme\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\Programme\Nero\Nero 7\Nero ShowTime\ShowTime.exe"="C:\Programme\Nero\Nero 7\Nero ShowTime\ShowTime.exe:*:Enabled:Nero ShowTime"
"C:\Programme\Mozilla Firefox\FIREFOX.EXE"="C:\Programme\Mozilla Firefox\FIREFOX.EXE:*:Enabled:Firefox"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10a3e50f-77b0-11db-a1cf-00138f16108d}]
shell\AutoRun\command - H:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48346ffc-7353-11db-a4b6-806d6172696f}]
shell\AutoRun\command - F:\autorun.EXE auto


======File associations======

.scr - config -

======List of files/folders created in the last 1 months======

2009-04-29 18:34:49 ----D---- C:\Programme\trend micro
2009-04-29 18:34:47 ----D---- C:\rsit
2009-04-29 17:56:30 ----D---- C:\WINDOWS.0\temp
2009-04-29 17:56:29 ----A---- C:\ComboFix.txt
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\zip.exe
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\vFind.exe
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\SWXCACLS.exe
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\SWSC.exe
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\SWREG.exe
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\sed.exe
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\NIRCMD.exe
2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\grep.exe
2009-04-29 17:53:05 ----D---- C:\WINDOWS.0\ERDNT
2009-04-29 17:53:05 ----D---- C:\ComboFix
2009-04-29 17:53:02 ----D---- C:\Qoobox
2009-04-29 15:36:53 ----A---- C:\WINDOWS.0\system32\lmppcsetup.exe
2009-04-28 20:08:34 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-04-28 20:08:28 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-04-28 20:08:28 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2009-04-28 11:24:22 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pidle

======List of files/folders modified in the last 1 months======

2009-04-29 18:32:04 ----A---- C:\WINDOWS.0\SchedLgU.Txt
2009-04-29 17:55:32 ----A---- C:\WINDOWS.0\System.ini
2009-04-29 10:43:38 ----A---- C:\WINDOWS.0\NeroDigital.ini
2009-04-28 13:51:18 ----A---- C:\WINDOWS.0\ntbtlog.txt

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS.0\system32\DRIVERS\amdk7.sys [2004-11-11 41472]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS.0\system32\drivers\cdrbsdrv.sys [2004-03-08 13567]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS.0\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS.0\system32\drivers\ACEDRV07.sys []
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS.0\System32\Drivers\ElbyCDIO.sys [2005-04-21 10624]
R3 ati2mtag;ati2mtag; C:\WINDOWS.0\system32\DRIVERS\ati2mtag.sys [2004-08-04 701952]
R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS.0\system32\drivers\cmuda.sys [2003-10-17 754560]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS.0\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS.0\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS.0\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 pfc;Padus ASPI Shell; C:\WINDOWS.0\system32\drivers\pfc.sys [2006-11-22 10368]
R3 SISNIC;SiS-PCI-Fast Ethernet- Adaptertreiber; C:\WINDOWS.0\system32\DRIVERS\sisnic.sys [2004-08-03 32768]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS.0\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS.0\system32\DRIVERS\usbehci.sys [2004-11-11 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS.0\system32\DRIVERS\usbhub.sys [2004-11-11 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS.0\system32\DRIVERS\usbohci.sys [2004-11-11 17024]
S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys []
S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS.0\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
S3 giveio;giveio; \??\C:\WINDOWS.0\system32\giveio.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS.0\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS.0\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 vaxscsi;vaxscsi; C:\WINDOWS.0\System32\Drivers\vaxscsi.sys [2007-10-24 223128]
S4 IntelIde;IntelIde; C:\WINDOWS.0\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888]
S2 gupdate1c985ca63aedee4;Google Update Service (gupdate1c985ca63aedee4); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe []
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-01-06 536872]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S4 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
S4 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824]
S4 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920]

-----------------EOF-----------------




HJT:

Logfile of HijackThis v1.99.1
Scan saved at 17:50:24, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\WINDOWS.0\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe



combofix:

ComboFix 09-04-28.07 - Administrator 29.04.2009 17:54.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.778 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\fbk.sts
c:\programme\Gemeinsame Dateien\uninstall information
c:\windows.0\system32\ak1.exe
c:\windows.0\system32\config\systemprofile\protect.dll
c:\windows.0\system32\loader49.exe
c:\windows.0\system32\prnet.tmp
c:\windows.0\system32\remowoka.exe
c:\windows.0\system32\yhs783ijfo3fe.dll
c:\windows.0\Temp\871167000.exe
c:\windows.0\Temp\872573250.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-4-29 ))))))))))))))))))))))))))))))
.

2009-04-29 13:36 . 2009-04-29 13:51 27648 ----a-w c:\windows.0\system32\lmppcsetup.exe
2009-04-28 18:08 . 2009-04-28 18:08 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-04-28 18:08 . 2009-04-06 13:32 15504 ----a-w c:\windows.0\system32\drivers\mbam.sys
2009-04-28 18:08 . 2009-04-06 13:32 38496 ----a-w c:\windows.0\system32\drivers\mbamswissarmy.sys
2009-04-28 18:08 . 2009-04-28 18:08 -------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2009-04-28 18:08 . 2009-04-28 18:08 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-28 09:24 . 2009-04-28 09:24 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\pidle

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2006-10-22 11:58 . 2006-10-22 11:58 774144 ----a-w c:\programme\RngInterstitial.dll
2004-11-06 12:44 . 2000-09-06 07:36 271 --sh--w c:\programme\desktop.ini
2005-05-13 15:12 . 2005-05-13 15:12 217073 --sha-r c:\windows.0\meta4.exe
2005-10-13 19:27 . 2005-10-13 19:27 422400 --sha-r c:\windows.0\x2.64.exe
2005-10-24 09:13 . 2005-10-24 09:13 66560 --sha-r c:\windows.0\MOTA113.exe
2005-06-26 13:32 . 2005-06-26 13:32 616448 --sha-r c:\windows.0\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37 45568 --sha-r c:\windows.0\system32\cygz.dll
2005-10-07 17:14 . 2005-10-07 17:14 308224 --sha-r c:\windows.0\system32\avisynth.dll
2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r c:\windows.0\system32\i420vfw.dll
2005-02-28 11:16 . 2005-02-28 11:16 240128 --sha-r c:\windows.0\system32\x.264.exe
2005-07-14 10:31 . 2005-07-14 10:31 27648 --sha-r c:\windows.0\system32\AVSredirect.dll
2006-04-27 08:24 . 2006-04-27 08:24 2945024 --sha-r c:\windows.0\system32\Smab.dll
.

------- Sigcheck -------

[-] 2004-11-11 10:00 359040 09EB23A4567BDD56D9580A059E616E23 c:\windows.0\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2004-11-11 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
ChkDisk.dll [2009-4-28 24064]
ChkDisk.lnk - c:\windows.0\system32\rundll32.exe [2004-11-11 33792]

c:\windows.0\system32\config\systemprofile\Startmen\Programme\Autostart\
ChkDisk.dll [2009-4-29 24064]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
ChkDisk.dll [2009-4-28 24064]
ChkDisk.lnk - c:\windows.0\system32\rundll32.exe [2004-11-11 33792]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
ChkDisk.dll [2009-4-28 24064]
ChkDisk.lnk - c:\windows.0\system32\rundll32.exe [2004-11-11 33792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BITS"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\BitComet\\BitComet.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 gupdate1c985ca63aedee4;Google Update Service (gupdate1c985ca63aedee4);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows.0\system32\DRIVERS\fwlanusb.sys [2006-04-05 264704]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10a3e50f-77b0-11db-a1cf-00138f16108d}]
\Shell\AutoRun\command - H:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48346ffc-7353-11db-a4b6-806d6172696f}]
\Shell\AutoRun\command - F:\autorun.EXE auto
.
Inhalt des "geplante Tasks" Ordners

2009-04-29 c:\windows.0\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-11-03 13:32]

2009-04-29 c:\windows.0\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 05:40]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Windows Resurections - c:\windows.0\TEMP\b3pp0e9.exe
HKU-Default-Run-autochk - c:\windows.0\system32\config\SYSTEM~1\protect.dll


.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\j7pqmxun.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.freenet.de/freenet/
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\j7pqmxun.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\myVRnpapi\npmyvr.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPMCult3DP.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npracplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-29 17:55
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-2a86-29ed-f758fa634c9f}\InprocServer32*]
"Class"=hex:2c,f3,de,f8,42,65,ef,73,74,05,2b,c4,55,6d,b8,ca,27,2e,08,b9,41,07,
a5,b2,c5,4e,61,91,eb,c8,44,b0,6c,07,7b,d5,51,db,3e,fd,4e,a2,af,ef,c5,b5,81,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS.0\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-31a2-2fff-c63dfa634c9f}\InprocServer32*]
"Class"=hex:22,29,e1,ee,bf,92,0e,e7,dc,42,09,b7,94,50,a5,64,f7,c5,d2,37,7f,86,
7a,b2,19,d2,fa,51,53,94,fd,fa,81,f0,90,22,8d,2e,bf,07,4e,b0,e8,bb,21,8b,56,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS.0\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-6edb-0d3d-1829fa634c9f}\InprocServer32*]
"Class"=hex:77,f3,8c,43,5d,96,da,a0,83,f5,29,1e,49,3c,00,c1,57,97,a8,86,6a,80,
21,87,48,68,b6,14,c3,2e,c7,21,2b,78,db,16,a3,5c,bc,54,7a,18,d1,c8,aa,51,12,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS.0\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-92ab-2c33-651cfa634c9f}\InprocServer32*]
"Class"=hex:af,08,7c,ad,e4,ce,08,fb,20,7c,43,45,8f,ae,10,79,e6,d1,f8,f1,c8,13,
b4,5b,ea,71,ac,dd,74,32,b6,44,e6,f0,66,3a,ad,56,48,83,62,4e,62,0f,18,a9,43,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS.0\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-a01d-218c-6d49fa634c9f}\InprocServer32*]
"Class"=hex:8e,0e,cb,b2,01,6c,67,ea,b1,ce,15,85,b7,2a,e1,85,16,a5,1e,ee,2f,ac,
a4,46,19,79,00,91,79,34,ff,e3,cc,51,d2,4f,2d,31,f2,bd,7d,37,6c,95,16,4c,61,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS.0\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-cce5-509d-dfe0fa634c9f}\InprocServer32*]
"Class"=hex:0f,ec,78,38,e3,c1,28,8e,43,62,d2,80,39,5f,82,1c,b3,b5,66,6b,a8,4f,
a5,ca,d3,ac,82,29,88,46,12,c2,b8,ad,41,b5,4d,2e,23,bd,df,9c,88,e0,84,58,20,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS.0\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-f372-844d-5a5ffa634c9f}\InprocServer32*]
"Class"=hex:09,81,ce,f1,11,77,b2,21,be,71,00,23,05,bb,a3,c5,3a,0f,d6,41,f9,11,
10,07,f1,e6,d8,15,f9,32,6b,21,58,02,14,32,ad,48,19,fb,87,64,6f,03,76,c3,60,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS.0\\system32\\OLE32.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(572)
c:\windows.0\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2009-04-29 17:56
ComboFix-quarantined-files.txt 2009-04-29 15:56
ComboFix2.txt 2006-12-17 10:33

Vor Suchlauf: 4.105.945.088 Bytes frei
Nach Suchlauf: 7.048.282.112 Bytes frei

170




mam:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

29.04.2009 18:31:38
mbam-log-2009-04-29 (18-31-38).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 156920
Laufzeit: 27 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{C5C81DB8-E604-468E-AB1A-0BA9D8CA7DE0}\RP532\A0074831.exe (Adware.Cinmus) -> Quarantined and deleted successfully.


















So das müsste alles gewesen sein

Ich hoffe das war's nun endlich
Gruß ist angekommen und ein Dankeschön geht zurück!

Zitat:
(Sowas hardnäckiges ist mir schon länger nicht mehr begegnet)
Das ist nichts neues, wenn meine Familie Pech hat, dann richtig


Bis denne werde heute Abend noch mal reinschneien


MfG


Alt 29.04.2009, 17:45   #36
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" deleted successfully.

Error: file "C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" not found!
Deletion of file "C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll" not found!
Deletion of file "C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat" not found!
Deletion of file "C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll" not found!
Deletion of file "C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll" not found!
Deletion of file "C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat" not found!
Deletion of file "C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\DOKUME~1\ADMINI~1\protect.dll" not found!
Deletion of file "C:\DOKUME~1\ADMINI~1\protect.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS.0\System32\ChkDisk.dll" not found!
Deletion of file "C:\WINDOWS.0\System32\ChkDisk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



Der hat nicht mehr gepasst... 205Zeichen zuviel



MfG

Alt 29.04.2009, 21:02   #37
Chris4You
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

wir werden noch in der Reg nach autostarteinträgen suchen müssen (ChkDisk.dll -> http://www.prevx.com/filenames/X119538921811398284-X1/CHKDISK.DLL.html) und die dann löschen...

Weiterhin müssen die autoruns überprüft werden:
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{10a3e50f-77b0-11db-a1cf-00138f16108d}]
shell\AutoRun\command - H:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{48346ffc-7353-11db-a4b6-806d6172696f}]
shell\AutoRun\command - F:\autorun.EXE auto

Und dann lassen wir noch Prevx los (siehe oberen Link)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 30.04.2009, 06:44   #38
Chris4You
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS.0\system32\lmppcsetup.exe
c:\windows.0\meta4.exe
c:\windows.0\x2.64.exe
c:\windows.0\MOTA113.exe
c:\windows.0\system32\sfc_os.dll <-systemfileprotection prüfe ob ok
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Alle genannten Einträge sind versteckt und system, daher unbedingt den Explorer wie beschrieben einstellen!
Sie gehören teilweise noch zu einem "fraulent security"-Programm oder zu einem Wurm...

.....RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

ChkDisk.dll

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Scanne mit Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 30.04.2009, 14:20   #39
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

C:\WINDOWS.0\system32\lmppcsetup.exe:

Zitat:
Ergebnis: 27/40 (67.5%)


a-squared 4.0.0.101 2009.04.30 Trojan-Dropper.Agent!IK
AhnLab-V3 5.0.0.2 2009.04.30 Dropper/Agent.27648.BL
AntiVir 7.9.0.156 2009.04.30 TR/Drop.Agent.amnc
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 Win32:Rootkit-gen
AVG 8.5.0.327 2009.04.30 SHeur2.ADCY
BitDefender 7.2 2009.04.30 Gen:Trojan.Heur.1030CFE9E9
CAT-QuickHeal 10.00 2009.04.30 TrojanSpy.Agent.alfd
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 TrojWare.Win32.TrojanSpy.Agent.~ZL
DrWeb 4.44.0.09170 2009.04.30 Trojan.Alupko.31
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6484 2009.04.30 Win32/SillyDl.HJU
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 Trojan-Dropper.Win32.Agent.amnc
Fortinet 3.117.0.0 2009.04.30 W32/Agent.AMNC!tr
GData 19 2009.04.30 Gen:Trojan.Heur.1030CFE9E9
Ikarus T3.1.1.49.0 2009.04.30 Trojan-Dropper.Agent
K7AntiVirus 7.10.720 2009.04.30 Trojan-Dropper.Win32.Agent.amnc
Kaspersky 7.0.0.125 2009.04.30 Trojan-Dropper.Win32.Agent.amnc
McAfee 5600 2009.04.29 -
McAfee+Artemis 5600 2009.04.29 Artemis!FB99B0EAD5CE
McAfee-GW-Edition 6.7.6 2009.04.30 Trojan.Drop.Agent.amnc
Microsoft 1.4602 2009.04.30 Trojan:Win32/Meredrop
NOD32 4046 2009.04.30 -
Norman 6.01.05 2009.04.30 -
nProtect 2009.1.8.0 2009.04.29 Trojan-Dropper/W32.Agent.27648.X
Panda 10.0.0.14 2009.04.30 Trj/CI.A
PCTools 4.4.2.0 2009.04.30 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 Trojan.Win32.Nodef.iaw
Sophos 4.41.0 2009.04.30 Mal/UnkPack-Fam
Sunbelt 3.2.1858.2 2009.04.29 -
Symantec 1.4.4.12 2009.04.30 Trojan Horse
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.30 -
VBA32 3.12.10.4 2009.04.30 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2009.4.30.1716 2009.04.30 Dropper.Agent.27648.N
VirusBuster 4.6.5.0 2009.04.29 Trojan.DR.Agent.JMGT
weitere Informationen
File size: 27648 bytes
MD5...: fb99b0ead5ce11d6cbf9d3bcea765521
SHA1..: c72d5592de6796df5cfb15e41fa141e0370c0b75
SHA256: 39052b77ad9efc1dce7fcec7beab9fbb51b7afa53dd55310f6f9c3b98babee4a
SHA512: 8f58ba8d131786c6b7b4fa914f9cbcb91078becfbc3d9b1761b74cdaa449f3b9
33f58a68c74b3bdcbc315fecf5c7ffffbe08d664274e26fa1c032a65bb123a33
ssdeep: 384PA9l8kZTIltcVWGjmpcPgBfMUAEkCSIlv89MVi4ggEiJJnz5OLMryZGG1zD
E5hIlGVFj42UdLMMVrtJJnUoryZG0
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x71e0
timedatestamp.....: 0x49d8a830 (Sun Apr 05 12:46:40 2009)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x640a 0x6600 6.25 a90bc4d8d8056552a3ad824c19cddcb1
.rsrc 0x8000 0xf0 0x200 1.26 d6f7d6bfd51d7450d8c25dabdd75b521

( 3 imports )
> KERNEL32.dll: WriteFile, CreateFileA, lstrcpyA, lstrcatA, GetProcAddress, CloseHandle, GetVersionExA, GetSystemInfo, GetModuleHandleA, GetLastError, LoadLibraryA, lstrlenA
> USER32.dll: SendMessageA, EndPaint, BeginPaint, SetFocus, TranslateMessage, SetWindowTextA
> ADVAPI32.dll: RegCreateKeyA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-


c:\windows.0\meta4.exe:

Zitat:
Ergebnis: 5/40 (12.5%)

a-squared 4.0.0.101 2009.04.30 -
AhnLab-V3 5.0.0.2 2009.04.30 Win-Trojan/Xema.variant
AntiVir 7.9.0.156 2009.04.30 -
Antiy-AVL 2.0.3.1 2009.04.30 Backdoor/win32.Graybird
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 -
AVG 8.5.0.327 2009.04.30 -
BitDefender 7.2 2009.04.30 -
CAT-QuickHeal 10.00 2009.04.30 Trojan.Agent.IRC
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.30 -
eSafe 7.0.17.0 2009.04.27 Suspicious File
eTrust-Vet 31.6.6484 2009.04.30 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 -
Fortinet 3.117.0.0 2009.04.30 -
GData 19 2009.04.30 -
Ikarus T3.1.1.49.0 2009.04.30 -
K7AntiVirus 7.10.720 2009.04.30 -
Kaspersky 7.0.0.125 2009.04.30 -
McAfee 5600 2009.04.29 -
McAfee+Artemis 5600 2009.04.29 -
McAfee-GW-Edition 6.7.6 2009.04.30 Win32.Malware.gen!90 (suspicious)
Microsoft 1.4602 2009.04.30 -
NOD32 4046 2009.04.30 -
Norman 6.01.05 2009.04.30 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.30 -
PCTools 4.4.2.0 2009.04.30 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 -
Sophos 4.41.0 2009.04.30 -
Sunbelt 3.2.1858.2 2009.04.29 -
Symantec 1.4.4.12 2009.04.30 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.30 -
VBA32 3.12.10.4 2009.04.30 -
ViRobot 2009.4.30.1716 2009.04.30 -
VirusBuster 4.6.5.0 2009.04.29 -
weitere Informationen
File size: 217073 bytes
MD5...: fce9e5f5c7ce6d7b1ec49b5ce07070c9
SHA1..: 2ca7b4304072b5a2634bae8dbb496ab2ebbc921a
SHA256: 7939dfbfe0860998c18a2949d7cc177e9fe393886aa4160887adf7a48f9a503c
SHA512: 7a88dd8894311fcc92dc66ecedac4689631ccd9e898ddf9deeb37e3a7e07dbbe
4ac19ff47faecb8af43f7f456a905b81523b1c5ba83870f00e7c609a42b5b022
ssdeep: 6144:23v6nrDwW/2lNjZOLtZPfWC5pT0hrG7rGs:23vmIWCN8/P95lkxs
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.8%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xca540
timedatestamp.....: 0x3f624be0 (Fri Sep 12 22:42:40 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x99000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9a000 0x31000 0x30800 7.64 6ce4ec47baa8be574bc676d1d1289646
.rdata 0xcb000 0x1000 0x200 1.46 d221ad615082a40dbddfbb1887007f98

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> msvcrt.dll: _iob

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

c:\windows.0\x2.64.exe:

Zitat:
Ergebnis: 1/40 (2.5%)

a-squared 4.0.0.101 2009.04.30 -
AhnLab-V3 5.0.0.2 2009.04.30 -
AntiVir 7.9.0.156 2009.04.30 -
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 -
AVG 8.5.0.327 2009.04.30 -
BitDefender 7.2 2009.04.30 -
CAT-QuickHeal 10.00 2009.04.30 -
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.30 -
eSafe 7.0.17.0 2009.04.27 Suspicious File
eTrust-Vet 31.6.6484 2009.04.30 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 -
Fortinet 3.117.0.0 2009.04.30 -
GData 19 2009.04.30 -
Ikarus T3.1.1.49.0 2009.04.30 -
K7AntiVirus 7.10.720 2009.04.30 -
Kaspersky 7.0.0.125 2009.04.30 -
McAfee 5600 2009.04.29 -
McAfee+Artemis 5600 2009.04.29 -
McAfee-GW-Edition 6.7.6 2009.04.30 -
Microsoft 1.4602 2009.04.30 -
NOD32 4046 2009.04.30 -
Norman 6.01.05 2009.04.30 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.30 -
PCTools 4.4.2.0 2009.04.30 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 -
Sophos 4.41.0 2009.04.30 -
Sunbelt 3.2.1858.2 2009.04.29 -
Symantec 1.4.4.12 2009.04.30 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.30 -
VBA32 3.12.10.4 2009.04.30 -
ViRobot 2009.4.30.1716 2009.04.30 -
VirusBuster 4.6.5.0 2009.04.29 -
weitere Informationen
File size: 422400 bytes
MD5...: d1cdd4d4895fd5c1914728f4f77adf97
SHA1..: 5a5da8e75a99e18cfce7a244f992d6578fa46d67
SHA256: 72367e0460bd54ec0f374bd18eb59cbb014a47c1f8f39563b3177e2e1de1811d
SHA512: 0eb0c7dc97221208c70bbbc64e839d7cfd566caa83cda914084cf31a07647bb4
dc70d8307a9690c10c25b0065ab381c74894777c98f0e3cb5b9ba5b2685f2020
ssdeep: 12288:8DEaUNZ+XpQaGMTWQurZECK6LYvSMZJTGKOEsUrEK:uCrkp0kWhWVZH6+l
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11ea20
timedatestamp.....: 0x43476b6e (Sat Oct 08 06:47:10 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb8000 0x67000 0x66c00 7.92 d45a92448defc72bb2cbf440d6963396
UPX2 0x11f000 0x1000 0x200 1.48 0888e24cc4a0a461cfbdd1df4062bd1e

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSVCRT.dll: exit

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-


c:\windows.0\MOTA113.exe:

Zitat:
Ergebnis: 6/40 (15%)

a-squared 4.0.0.101 2009.04.30 -
AhnLab-V3 5.0.0.2 2009.04.30 -
AntiVir 7.9.0.156 2009.04.30 -
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 -
AVG 8.5.0.327 2009.04.30 -
BitDefender 7.2 2009.04.30 -
CAT-QuickHeal 10.00 2009.04.30 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.30 -
eSafe 7.0.17.0 2009.04.27 Suspicious File
eTrust-Vet 31.6.6484 2009.04.30 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 -
Fortinet 3.117.0.0 2009.04.30 -
GData 19 2009.04.30 -
Ikarus T3.1.1.49.0 2009.04.30 -
K7AntiVirus 7.10.720 2009.04.30 -
Kaspersky 7.0.0.125 2009.04.30 -
McAfee 5600 2009.04.29 -
McAfee+Artemis 5600 2009.04.29 -
McAfee-GW-Edition 6.7.6 2009.04.30 Riskware.Tool.LooksLike.Obfuscator
Microsoft 1.4602 2009.04.30 -
NOD32 4046 2009.04.30 -
Norman 6.01.05 2009.04.30 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.30 -
PCTools 4.4.2.0 2009.04.30 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 -
Sophos 4.41.0 2009.04.30 Sus/ComPack-C
Sunbelt 3.2.1858.2 2009.04.29 VIPRE.Suspicious
Symantec 1.4.4.12 2009.04.30 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.30 PAK_Generic.001
VBA32 3.12.10.4 2009.04.30 -
ViRobot 2009.4.30.1716 2009.04.30 -
VirusBuster 4.6.5.0 2009.04.29 -
weitere Informationen
File size: 66560 bytes
MD5...: f3f62f42e5ea4e65736338c0c43ad5c0
SHA1..: d45071ec1fd1e805494dc04f5119f6d757e26729
SHA256: ed29a74ec976c7271606bc9b18cb903adcafa73962504624722389192c186684
SHA512: 2d8776e39b4c870e06a4946f0363993b001512a0cd83071c649360f31b7d2ed9
aa2f4faf950b9bf4432189ffc230b91fc323e522d7480db77eb74b8d7ecd8b39
ssdeep: 1536:VtNKGLMoklz+TmVjU+F8MWvm0WojgG0n5h58c6QD7iTr:VtNpLCVjUU8oWz
KH8/QDG
PEiD..: tElock v0.98
TrID..: File type identification
tElock compressed/encrypted Win32 executable (73.0%)
Win32 Dynamic Link Library (generic) (14.9%)
Win16/32 Executable Delphi generic (4.0%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x23bd6
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x19000 0xc800 8.00 40cf31ddb5b15044d0187938941a6d4f
0x1a000 0x1000 0x400 7.81 686f4ed16ed8c0a9b6ef919021544453
0x1b000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x1c000 0x1000 0x600 7.86 a690ce98b383f35c95161ed71823dbf3
0x1d000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x1e000 0x3000 0x200 7.61 c4fa6811afaae510c3f64a19f8ac2eec
.rsrc 0x21000 0x1000 0xa00 7.26 584df56f9e7ce3e64e9ba3b03146cdfd
0x22000 0x3000 0x2200 7.63 bdc435d67bcd91c373041cd55519f8f4

( 2 imports )
> kernel32.dll: GetModuleHandleA
> user32.dll: MessageBoxA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-


c:\windows.0\system32\sfc_os.dll:

Zitat:
Ergebnis: 0/40 (0%)

a-squared 4.0.0.101 2009.04.30 -
AhnLab-V3 5.0.0.2 2009.04.30 -
AntiVir 7.9.0.156 2009.04.30 -
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 -
AVG 8.5.0.327 2009.04.30 -
BitDefender 7.2 2009.04.30 -
CAT-QuickHeal 10.00 2009.04.30 -
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.30 -
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6484 2009.04.30 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 -
Fortinet 3.117.0.0 2009.04.30 -
GData 19 2009.04.30 -
Ikarus T3.1.1.49.0 2009.04.30 -
K7AntiVirus 7.10.720 2009.04.30 -
Kaspersky 7.0.0.125 2009.04.30 -
McAfee 5600 2009.04.29 -
McAfee+Artemis 5600 2009.04.29 -
McAfee-GW-Edition 6.7.6 2009.04.30 -
Microsoft 1.4602 2009.04.30 -
NOD32 4046 2009.04.30 -
Norman 6.01.05 2009.04.30 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.30 -
PCTools 4.4.2.0 2009.04.30 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 -
Sophos 4.41.0 2009.04.30 -
Sunbelt 3.2.1858.2 2009.04.29 -
Symantec 1.4.4.12 2009.04.30 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.30 -
VBA32 3.12.10.4 2009.04.30 -
ViRobot 2009.4.30.1716 2009.04.30 -
VirusBuster 4.6.5.0 2009.04.29 -
weitere Informationen
File size: 142336 bytes
MD5...: ecb2f4c2c2897bff6e898dabdbdb183e
SHA1..: 674a96c6250fca3c554075d10413e8f851ba03e0
SHA256: 7567df595d45bf8608d7663b3c9b285d48d3254bac3b6286dd0d2349d906fc37
SHA512: 4c60107c4d145d38bbc43041dfbae31c8e69acaa74c556359580685dd2ef30cf
0373e9969ac743ce9f55c565598bc53692b3017754525139d3452e762b082e68
ssdeep: 3072:+r9de3KUEQ4m+AgWOknscK3zZPg9aaWjm:+/3Qz5AcK4
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xf09a
timedatestamp.....: 0x411096b3 (Wed Aug 04 07:56:35 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17fc3 0x18000 5.98 819105b0b69132d3ff95ac6533998833
.data 0x19000 0x5244 0x200 3.20 53ad5af5f5c2bfd2e7bfa3c03f9568bd
.rsrc 0x1f000 0x9000 0x8e00 4.54 341751d94154842815be6a0860eec1ef
.reloc 0x28000 0x1640 0x1800 5.97 6d4ffe974ca944034fa6816d607a1ba6

( 8 imports )
> ntdll.dll: RtlFreeHeap, RtlDeleteCriticalSection, LdrGetProcedureAddress, RtlInitString, LdrLoadDll, RtlReAllocateHeap, LdrUnloadDll, wcscmp, _chkstk, NtResetEvent, NtSetEvent, LdrAccessResource, LdrFindResource_U, RtlUnwind, NtQueryVirtualMemory, RtlAllocateHeap, NtQueryInformationFile, NtWriteFile, NtDeleteFile, NtCreateKey, NtQueryValueKey, NtSetValueKey, RtlFreeUnicodeString, NtFlushBuffersFile, NtSetInformationFile, NtUnmapViewOfSection, NtCreateSection, NtMapViewOfSection, RtlDosPathNameToNtPathName_U, NtCreateFile, NtFsControlFile, NtOpenFile, wcstoul, RtlInitializeCriticalSection, NtOpenKey, RtlExpandEnvironmentStrings_U, _vsnwprintf, towlower, wcschr, wcsstr, swprintf, memmove, wcslen, _wcsnicmp, NtClose, RtlInitUnicodeString, wcscpy, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, NtQuerySecurityObject, RtlCompareUnicodeString, NtWaitForMultipleObjects, NtCreateEvent, NtNotifyChangeDirectoryFile, _wcsicmp, NtWaitForSingleObject, wcscat, RtlEnterCriticalSection, RtlLeaveCriticalSection, wcsrchr, wcsncpy, RtlNtStatusToDosError
> USER32.dll: SetDlgItemTextW, RegisterDeviceNotificationW, DestroyWindow, wsprintfW, LoadStringW, SetThreadDesktop, CreateDialogParamW, SendMessageW, MsgWaitForMultipleObjects, IsDialogMessageW, GetDlgItemTextW, DispatchMessageW, PeekMessageW, GetDlgItem, EnableWindow, ShowWindow, UpdateWindow, SetForegroundWindow, EndDialog, FindWindowW, RegisterWindowMessageW, PostMessageW, UnregisterDeviceNotification, OpenInputDesktop, GetUserObjectInformationW, CloseDesktop, RegisterClassW, CreateWindowExW, DefWindowProcW, GetSystemMetrics, GetWindowRect, SetWindowLongW, MoveWindow, DialogBoxParamW, MessageBoxW, TranslateMessage
> KERNEL32.dll: GetComputerNameW, LocalAlloc, GetComputerNameExW, LeaveCriticalSection, EnterCriticalSection, HeapFree, HeapAlloc, GetProcessHeap, InitializeCriticalSection, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetCurrentProcessId, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, DelayLoadFailureHook, GetTickCount, OpenEventW, ResetEvent, CreateDirectoryW, GetLocalTime, WideCharToMultiByte, GetSystemWow64DirectoryW, GetCurrentProcess, GetFileSize, GetDiskFreeSpaceExW, GetModuleFileNameW, InterlockedExchange, WaitForSingleObject, GetCurrentThreadId, DisableThreadLibraryCalls, CreateFileW, lstrcpynW, GetDriveTypeW, FormatMessageW, LocalFree, LoadLibraryW, GetProcAddress, FreeLibrary, CreateEventW, SetEvent, GetModuleHandleW, GetVersionExW, FindFirstFileW, SetFileAttributesW, DeleteFileW, FindNextFileW, FindClose, GetSystemTimeAsFileTime, CreateThread, CloseHandle, ExpandEnvironmentStringsW, GetLastError, GetFileAttributesW, SetLastError
> RPCRT4.dll: RpcStringFreeW, RpcImpersonateClient, NdrClientCall2, NdrServerCall2, RpcBindingFromStringBindingW, RpcStringBindingComposeW, RpcBindingFree, I_RpcMapWin32Status, RpcServerRegisterIf, RpcServerUseProtseqEpW, RpcServerListen, RpcRevertToSelf
> ADVAPI32.dll: RegCreateKeyExW, RegisterEventSourceW, RevertToSelf, ImpersonateLoggedOnUser, DeregisterEventSource, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, FreeSid, CheckTokenMembership, AllocateAndInitializeSid, ReportEventW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl
> WINTRUST.dll: CryptCATAdminEnumCatalogFromHash, CryptCATCatalogInfoFromContext, CryptCATAdminReleaseCatalogContext, WinVerifyTrust, CryptCATAdminAcquireContext, CryptCATAdminReleaseContext, CryptCATAdminCalcHashFromFileHandle
> CRYPT32.dll: CertFreeCertificateContext
> ole32.dll: StringFromIID, CoTaskMemFree, StringFromGUID2, IIDFromString

( 4 exports )
SfcGetNextProtectedFile, SfcIsFileProtected, SfcWLEventLogoff, SfcWLEventLogon
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Der Rest folgt sogleich


MfG

Alt 30.04.2009, 14:28   #40
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


Wenn ich nach dem Eintrag suceh und bestätige, dass der das Notepad öffnen soll, komm eine Fehlermeldung (Anhang).

Werde nun erstmal die weiteren Schritte beenden


MfG
Miniaturansicht angehängter Grafiken
Unbekannte dll's-fehlermeldung.jpg  

Alt 30.04.2009, 14:37   #41
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

Hier ist der Scan, den du haben wolltest


MfG
Miniaturansicht angehängter Grafiken
Unbekannte dll's-scan.jpg  

Alt 30.04.2009, 15:25   #42
Chris4You
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

ich kriege hier die Motten, die haben sich schon wieder im autostart eingenistet:
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Files to delete:
C:\windows.0\vfind.exe
C:\windows.0\mota113.exe
C:\windows.0\system32\x.264.exe
C:\windows.0\system32\actmovie.exe
C:\windows.0\system32\config\systemprofile\startmenü\chkdisk.dll
c:\dokumente und einstellungen\administrator\startmenü\chkdisk.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Und noch mal MAM etc.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 30.04.2009, 18:22   #43
Keks
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

Log von MaM:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

30.04.2009 19:20:42
mbam-log-2009-04-30 (19-20-42).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 156608
Laufzeit: 28 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




avenger:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\windows.0\vfind.exe" deleted successfully.
File "C:\windows.0\mota113.exe" deleted successfully.
File "C:\windows.0\system32\x.264.exe" deleted successfully.
File "C:\windows.0\system32\actmovie.exe" deleted successfully.

Error: file "C:\windows.0\system32\config\systemprofile\startmenü\chkdisk.dll" not found!
Deletion of file "C:\windows.0\system32\config\systemprofile\startmenü\chkdisk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\dokumente und einstellungen\administrator\startmenü\chkdisk.dll" not found!
Deletion of file "c:\dokumente und einstellungen\administrator\startmenü\chkdisk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Und im Anhang noch ein Screen von MaM


MfG
Miniaturansicht angehängter Grafiken
Unbekannte dll's-scan.jpg  

Alt 30.04.2009, 19:33   #44
Chris4You
 
Unbekannte dll's - Standard

Unbekannte dll's


Hi,

gut, dann lassen wir es mal dabei bewenden...
Bitte besser aufpassen und mal ein Backup machen...
So, bitte die Backups von Avenger (c:\avenger) hochladen, und zwar hier:
http://www.file-upload.net/
Den Link dann als PrivateMail an mich, ich will mir den Rootkit anschauen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort
Seite 3 von 3 12 3

Themen zu Unbekannte dll's
.dll, administrator, bho, bonjour, desktop, dll, einstellungen, explorer, google, google update, gupdate, hijack, hijack this, hijackthis, internet, internet explorer, logfile, problem, prozesse, rundll, scan, seiten, software, system, task-manager, viren, windows xp


« Farbiger Bildschirm | Frefox Datenausführungsverhinderung & totladen von Seiten »


Ähnliche Themen: Unbekannte dll's


  1. unbekannte updater.exe
    Plagegeister aller Art und deren Bekämpfung - 19.01.2015 (3)
  2. Unbekannte Programme auf dem PC!
    Plagegeister aller Art und deren Bekämpfung - 17.08.2014 (6)
  3. Unbekannte Dateien im Downloadordner und unbekannte Programme auf dem Desktop
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (11)
  4. unbekannte Plagegeister
    Plagegeister aller Art und deren Bekämpfung - 13.11.2013 (9)
  5. Das neue unbekannte
    Netzwerk und Hardware - 29.08.2009 (6)
  6. Unbekannte Dateiordner
    Plagegeister aller Art und deren Bekämpfung - 24.07.2009 (3)
  7. unbekannte Druckaufträge
    Log-Analyse und Auswertung - 03.04.2009 (5)
  8. Mir Unbekannte IP-Adresse!
    Mülltonne - 02.11.2008 (0)
  9. 2 (unbekannte) Viren
    Plagegeister aller Art und deren Bekämpfung - 12.07.2008 (12)
  10. Unbekannte Warnung
    Plagegeister aller Art und deren Bekämpfung - 04.06.2008 (4)
  11. Unbekannte Einträge
    Log-Analyse und Auswertung - 09.08.2007 (13)
  12. Unbekannte Malware
    Log-Analyse und Auswertung - 11.06.2006 (5)
  13. Unbekannte Plagegeister?
    Plagegeister aller Art und deren Bekämpfung - 26.12.2005 (10)
  14. Unbekannte Zeile
    Log-Analyse und Auswertung - 19.12.2005 (2)
  15. Unbekannte Dateien
    Log-Analyse und Auswertung - 23.11.2005 (1)
  16. unbekannte Programme
    Alles rund um Windows - 12.09.2005 (9)
  17. Unbekannte Programmme
    Log-Analyse und Auswertung - 07.09.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Unbekannte dll's - hier ersteinmal die logs: MAM: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 2 29.04.2009 17:07:03 mbam-log-2009-04-29 (17-07-03).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 160947 Laufzeit: 32 minute(s), - Unbekannte dll's...
Archiv
Du betrachtest: Unbekannte dll's auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55