Unbekannte dll's

Keks · 29.04.2009, 13:49

hier schon mal der Log von MaM.

Der Rest kommt nachher

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

29.04.2009 14:47:51
mbam-log-2009-04-29 (14-47-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 161630
Laufzeit: 17 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS.0\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\protect.dll (Trojan.Agent) -> Delete on reboot.

Virustotal (habe einfach alles kopiert sry wenn falsch

):

c:\programme\bonjour\mdnsnsp.dll:

Ergebnis: 0/40 (0%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.29 -
AhnLab-V3 5.0.0.2 2009.04.29 -
AntiVir 7.9.0.156 2009.04.29 -
Antiy-AVL 2.0.3.1 2009.04.29 -
Authentium 5.1.2.4 2009.04.29 -
Avast 4.8.1335.0 2009.04.28 -
AVG 8.5.0.287 2009.04.29 -
BitDefender 7.2 2009.04.29 -
CAT-QuickHeal 10.00 2009.04.29 -
ClamAV 0.94.1 2009.04.29 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.29 -
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6482 2009.04.29 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.29 -
Fortinet 3.117.0.0 2009.04.29 -
GData 19 2009.04.29 -
Ikarus T3.1.1.49.0 2009.04.29 -
K7AntiVirus 7.10.719 2009.04.29 -
Kaspersky 7.0.0.125 2009.04.29 -
McAfee 5599 2009.04.28 -
McAfee+Artemis 5599 2009.04.28 -
McAfee-GW-Edition 6.7.6 2009.04.29 -
Microsoft 1.4602 2009.04.29 -
NOD32 4042 2009.04.29 -
Norman 6.00.06 2009.04.28 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.28 -
PCTools 4.4.2.0 2009.04.29 -
Prevx1 3.0 2009.04.29 -
Rising 21.27.22.00 2009.04.29 -
Sophos 4.41.0 2009.04.29 -
Sunbelt 3.2.1858.2 2009.04.28 -
Symantec 1.4.4.12 2009.04.29 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.29 -
VBA32 3.12.10.3 2009.04.29 -
ViRobot 2009.4.29.1715 2009.04.29 -
VirusBuster 4.6.5.0 2009.04.28 -
weitere Informationen
File size: 147456 bytes
MD5...: 0e3e56064e162ee9cc48698355098301
SHA1..: 30919f80695ce956ef416f2a50bded17c7a00e22
SHA256: cc9f77f3e3a489b9d4dc7b5108c53267231c5038e64f7b4eac7e209991d53d1f
SHA512: f3df33af55af7d8af6eb35637cf3fb67b5203b3c01d578413590d9db02c9bc3a
e16f5ca9462ce1fc041d449b6991910a9b1b02f56c7c8562f6e1ed193fd89a22
ssdeep: 3072:L7vLg2wlHeo16OwlLi4qsx64FfJLj5dh:PvLwco1TwJq7
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x525c
timedatestamp.....: 0x48a4b78c (Thu Aug 14 22:54:04 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19922 0x1a000 6.65 e035522b528777758b534cbf7d462792
.rdata 0x1b000 0x30b8 0x4000 4.64 8b9b0956e62bbc28202059c016403f85
.data 0x1f000 0x2cd4 0x2000 1.41 57cd202616461946b44f274f19774948
.rsrc 0x22000 0x3ec 0x1000 3.72 7434459ffc6608071614b62f11465170
.reloc 0x23000 0x120a 0x2000 4.58 f4db845a7eb4ae75800168d02c21f4a5

( 2 imports )
> WS2_32.dll: WSAEventSelect, WSAStringToAddressA, -, WSCUnInstallNameSpace, WSCInstallNameSpace, -
> KERNEL32.dll: GetStartupInfoA, CompareStringW, CompareStringA, SetEndOfFile, GetTimeZoneInformation, GetLocaleInfoW, HeapSize, GetModuleFileNameW, GetLastError, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, FreeLibrary, DeleteCriticalSection, InterlockedDecrement, SetLastError, WaitForSingleObject, WaitForMultipleObjects, CreateEventA, WideCharToMultiByte, GetSystemDirectoryA, GetProcAddress, LoadLibraryA, InitializeCriticalSection, InterlockedIncrement, LocalAlloc, LocalFree, InterlockedExchange, RaiseException, HeapFree, HeapReAlloc, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapDestroy, HeapCreate, VirtualFree, FatalAppExitA, VirtualAlloc, RtlUnwind, SetHandleCount, GetStdHandle, GetFileType, SetEnvironmentVariableA, GetModuleHandleA, ExitProcess, WriteFile, GetModuleFileNameA, GetCPInfo, GetACP, GetOEMCP, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThread, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, MultiByteToWideChar, ReadFile, SetConsoleCtrlHandler, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, CreateFileA, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW

( 4 exports )
DllRegisterServer, DllUnregisterServer, NSPCleanup, NSPStartup
PDFiD.: -
RDS...: NSRL Reference Data Set

C:\DOKUME~1\ADMINI~1\protect.dll:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.29 Trojan-Spy.Win32.Agent!IK
AhnLab-V3 5.0.0.2 2009.04.29 Win-Trojan/Agent.24064.JM
AntiVir 7.9.0.156 2009.04.29 TR/Crypt.IL
Antiy-AVL 2.0.3.1 2009.04.29 -
Authentium 5.1.2.4 2009.04.29 -
Avast 4.8.1335.0 2009.04.28 Win32:Rootkit-gen
AVG 8.5.0.287 2009.04.29 BackDoor.Generic11.HUH
BitDefender 7.2 2009.04.29 Trojan.Crypt.IL
CAT-QuickHeal 10.00 2009.04.29 Trojan.Agent.ATV
ClamAV 0.94.1 2009.04.29 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.29 Trojan.Alupko.31
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6482 2009.04.29 Win32/Droplet.FV
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.29 Trojan-Spy.Win32.Agent.amjg
Fortinet 3.117.0.0 2009.04.29 PossibleThreat
GData 19 2009.04.29 Trojan.Crypt.IL
Ikarus T3.1.1.49.0 2009.04.29 Trojan-Spy.Win32.Agent
K7AntiVirus 7.10.719 2009.04.29 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.04.29 Trojan-Spy.Win32.Agent.amjg
McAfee 5599 2009.04.28 -
McAfee+Artemis 5599 2009.04.28 Artemis!1859A363D98B
McAfee-GW-Edition 6.7.6 2009.04.29 Trojan.Crypt.IL
Microsoft 1.4602 2009.04.29 TrojanDropper:Win32/Opachki.A
NOD32 4042 2009.04.29 Win32/Rootkit.Agent.NIZ
Norman 6.00.06 2009.04.28 -
nProtect 2009.1.8.0 2009.04.29 Trojan-Spy/W32.Agent.24064.I
Panda 10.0.0.14 2009.04.28 Trj/CI.A
PCTools 4.4.2.0 2009.04.29 -
Prevx1 3.0 2009.04.29 Medium Risk Malware
Rising 21.27.22.00 2009.04.29 Trojan.Win32.Nodef.idj
Sophos 4.41.0 2009.04.29 Mal/UnkPack-Fam
Sunbelt 3.2.1858.2 2009.04.28 -
Symantec 1.4.4.12 2009.04.29 Trojan Horse
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.29 -
VBA32 3.12.10.3 2009.04.29 Trojan-Spy.Win32.Agent.alnq
ViRobot 2009.4.29.1715 2009.04.29 Trojan.Win32.Agent.24064.AY
VirusBuster 4.6.5.0 2009.04.28 -
weitere Informationen
File size: 24064 bytes
MD5...: 1859a363d98b374bf91f6e68ff0e5406
SHA1..: 321e68674726f4a7f8fbce55dd969ed8f5eaed6b
SHA256: 7c6546d4a4b49186624a33501ea468a7249b0fa9e25fc72386ad5b3e1bffbc1f
SHA512: 35733c58ad8b81a52aaeeef6c7fad2f9c162678af8c59ad603f219e8ba7fb147
ca6b610a1e2d1b9e954dab1eed7d3341b6c2bee540e29650c01e60c90ee1079f
ssdeep: 384:7nYa6qxpxKHJUAWsz/F5qoE+QeA9UTi9xVz2RzDT2QRfcL:7nZxKpUAWsh5x
1A9FHCzDTzhi
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2df0
timedatestamp.....: 0x49d8a81f (Sun Apr 05 12:46:23 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.bss 0x1000 0x241 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x2000 0x4e4e 0x5000 6.36 10b581997c0f2150759f17a5a8447c53
.rsrc 0x7000 0x428 0x600 2.34 b1d9e9269f8ed3244be56023dee0d076
.reloc 0x8000 0x3b8 0x400 5.83 e59e45758dccb7b336138bc891a51998

( 7 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA, GetModuleHandleA, GetFileAttributesA, SetFileAttributesA, DeleteFileA, GetShortPathNameA, ExpandEnvironmentStringsA, GetModuleFileNameA, MultiByteToWideChar, CreateFileA, lstrlenA, VirtualAllocEx, lstrcatA, GetEnvironmentVariableA, CloseHandle, ReadFile, GetFileSize, WriteFile, SetFilePointer, HeapAlloc, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, ReadProcessMemory, VirtualFreeEx, GetVolumeInformationA, WriteProcessMemory
> USER32.dll: DispatchMessageA, TranslateMessage, GetMessageA, SetWindowsHookExA, CallNextHookEx, wsprintfA
> ADVAPI32.dll: RegCloseKey, RegCreateKeyExA, RegSetValueExA
> SHELL32.dll: SHGetPathFromIDListA, SHGetSpecialFolderLocation, SHGetMalloc
> ole32.dll: CoCreateInstance
> WS2_32.dll: -, -
> SHLWAPI.dll: StrStrA

( 6 exports )
_IWMPEvents@16, calloc, free, malloc, memmove, realloc
PDFiD.: -
RDS...: NSRL Reference Data Set

C:\WINDOWS.0\System32\ChkDisk.dll

existiert nirgendswo, weder in windows.0 noch in windows.0\system32

MfG

Chris4You · 29.04.2009, 14:05

Hi,

hast Du mit virustotal vor oder nach MAM gearbeitet?
Wenn vorher OK, wenn nachher (nach MAM) hat das Löschen nicht geklappt (protect.dll), dann bitte sofort Avenger hinterherjagen, bevor sich was Neues runterlädt...

chris

Keks · 29.04.2009, 14:19

hi,

ich habe als erstes mam drüber laufen lassen, danach den .txt hier gepostet, anschliessend mit virustotal die zwei .dll's geprüft, dann sofort hinterher mit avenger den protect.dll löschen lassen und den pc rebootet.
Hoffe das war alles richtig so...
Leider habe ich kein avenger.txt auf meiner C festplatte drauf?

Gefunden :P

Hier ist er:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found!
ImagePath: \systemroot\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
Start Type: 1 (System)

Rootkit scan completed.

Error: file "C:\WINDOWS.0\System32\ChkDisk.dll" not found!
Deletion of file "C:\WINDOWS.0\System32\ChkDisk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

MfG

Chris4You · 29.04.2009, 14:23

Hi,

schau mal unter C:\avenger, dort müssten Backupdateien existieren...
Bitte noch ein neues HJ-Log...

chris

Keks · 29.04.2009, 14:25

Hier ist der HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:24:36, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

Nach Pc neustart nachdem ich avenger ausgeführt habe

MfG

Chris4You · 29.04.2009, 14:27

Hi,

ein Rootkit....

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Keks · 29.04.2009, 14:32

hi,

ich finde unter dem D-Load Lionk leider keine Datei zum downloaden...
(ich weiss ich bin dumm)

MfG

€dit:
habe es mir nun extern herunter geladen, mache gerade einen Scan bericht folgt

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-04-29 15:35:26
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

Code 86589388 ZwEnumerateKey
Code 86588358 ZwFlushInstructionCache
Code 865895C6 IofCallDriver
Code 8658B52E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E3D45 5 Bytes JMP 865895CB
.text ntoskrnl.exe!IofCompleteRequest 804E418A 5 Bytes JMP 8658B533
PAGE ntoskrnl.exe!ZwEnumerateKey 8056F76A 5 Bytes JMP 8658938C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 805769AB 5 Bytes JMP 8658835C
? vakvkuwk.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS.0\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS.0\System32\Drivers\SPTD9197.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F774CDB2] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F776271E] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762032] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F774CF6E] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F774CE06] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F773FA32] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F773FB6E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F773FAF6] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F77406CC] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F77405A2] sptd.sys
IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys
IAT \WINDOWS.0\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7751F78] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7761C82] sptd.sys
IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863A1EB0
Device \FileSystem\Fastfat \FatCdrom 8678D788
Device \Driver\NetBT \Device\NetBT_Tcpip_{C1054B05-BCA1-4933-B1F3-3511990CE4E2} 86435D18
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8678DEB0
Device \Driver\dmio \Device\DmControl\DmConfig 8678DEB0
Device \Driver\dmio \Device\DmControl\DmPnP 8678DEB0
Device \Driver\dmio \Device\DmControl\DmInfo 8678DEB0
Device \Driver\Ftdisk \Device\HarddiskVolume1 8678D0E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8678D0E8
Device \Driver\Cdrom \Device\CdRom0 8632F918
Device \FileSystem\Rdbss \Device\FsWrap 863590E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8678D0E8
Device \Driver\Cdrom \Device\CdRom1 8632F918
Device \Driver\NetBT \Device\NetBt_Wins_Export 86435D18
Device \Driver\NetBT \Device\NetbiosSmb 86435D18
Device \Driver\Disk \Device\Harddisk0\DR0 8678DA40
Device \Driver\Disk \Device\Harddisk1\DR1 8678DA40
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 864B2C20
Device \FileSystem\MRxSmb \Device\LanmanRedirector 864B2C20
Device \FileSystem\Npfs \Device\NamedPipe 86436C20
Device \Driver\Ftdisk \Device\FtControl 8678D0E8
Device \FileSystem\Msfs \Device\Mailslot 86696630
Device \FileSystem\Fastfat \Fat 8678D788
Device \FileSystem\Cdfs \Cdfs 8655E208

---- Files - GMER 1.0.15 ----

File C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
File C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
File C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat
File C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
File C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll
File C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat

---- EOF - GMER 1.0.15 ----

Ist das richtig so?

henning · 29.04.2009, 14:59

sorry tut mir leid

Keks · 29.04.2009, 15:01

@henning:

Erster Beitrag und schon falsch? Wieso postest du hier in MEINEM Thread DEINE Probleme??
Zudem würde ich das HJT Log mal schleunigst überarbeiten, d.h. ALLE Namen etc. rauslöschen!!!

@Chris:

Diese Frage: "Hast du ein gutes Backup?" beunruhigt mich etwas...
Wenn ich das beschrieben ausführe, könnte ich dann Pech haben und das System neu aufziehen müssen?

MfG

Chris4You · 29.04.2009, 15:04

Hi,

versuche erst die Dateien zu finden und bei Virustotal prüfen zu lassen (siehe meinen post oben)...

Datensicherung sollte man immer haben... ;o)

chris

Keks · 29.04.2009, 15:07

Hi,

C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll

Alle Dateien nicht gefunden!
Ich habe keine Datei in diesem Ordner mit solangem Namen

ICH habe IMMER eine Datensicherung, mein Vater allerdings... Nunja hoffen wir es wird nicht so schlimm

MfG

henning · 29.04.2009, 15:07

oh sorry ich blick hier nicht durch...wo muss ich es denn posten? und welche namen löschen? danke

Chris4You · 29.04.2009, 15:08

@Henning...
Ja das ist möglich, und auf der Kiste läuft auch schon was:
O4 - HKCU\..\Run: [uigsiqq] "c:\dokumente und einstellungen\rémy\lokale einstellungen\anwendungsdaten\uigsiqq.exe" uigsiqq

Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-a...tml#post171958), sonst darf nicht geholfen werden!

Bitte einen eigenen Thread eröffnen, das passt auch Thematisch nicht zu diesem Thread...
Folgendes auch gleich abarbeiten:
Navilog
Folge folgender Anleitung: http://www.trojaner-board.de/69713-e...navipromo.html
oder
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sin zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte English auswählen, ausser Du kannst eine der angegebenen Sprachen ;o)
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

chris

Chris4You · 29.04.2009, 15:12

@Keks
Das dachte ich mir schon, ist ja sinn und zweck von Rootkits...
Script bitte abfahren...
Logs posten...
chris

henning · 29.04.2009, 15:13

okay danke erstmal...dass heisst du bist dir sicher, dass da jemand auf meinen lap top zugriff hat?
tut mir leid, ich bin neu hier....wie eröffne ich einen eigenen tread?

Unbekannte dll's

Log-Analyse und Auswertung: Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

bitte um erklärung des Logfile of Trend Micro HijackThis

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Unbekannte dll's

Ähnliche Themen: Unbekannte dll's

29.04.2009, 14:05	#2
Chris4You	Unbekannte dll's Hi, hast Du mit virustotal vor oder nach MAM gearbeitet? Wenn vorher OK, wenn nachher (nach MAM) hat das Löschen nicht geklappt (protect.dll), dann bitte sofort Avenger hinterherjagen, bevor sich was Neues runterlädt... chris __________________ __________________

29.04.2009, 14:23	#4
Chris4You	Unbekannte dll's Hi, schau mal unter C:\avenger, dort müssten Backupdateien existieren... Bitte noch ein neues HJ-Log... chris __________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden )

29.04.2009, 14:59	#8
henning	bitte um erklärung des Logfile of Trend Micro HijackThis sorry tut mir leid Geändert von henning (29.04.2009 um 15:09 Uhr)

29.04.2009, 15:01	#9
Keks	Unbekannte dll's @henning: Erster Beitrag und schon falsch? Wieso postest du hier in MEINEM Thread DEINE Probleme?? Zudem würde ich das HJT Log mal schleunigst überarbeiten, d.h. ALLE Namen etc. rauslöschen!!! @Chris: Diese Frage: "Hast du ein gutes Backup?" beunruhigt mich etwas... Wenn ich das beschrieben ausführe, könnte ich dann Pech haben und das System neu aufziehen müssen? MfG

29.04.2009, 15:04	#10
Chris4You	Unbekannte dll's Hi, versuche erst die Dateien zu finden und bei Virustotal prüfen zu lassen (siehe meinen post oben)... Datensicherung sollte man immer haben... ;o) chris __________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden )

29.04.2009, 15:07	#12
henning	Unbekannte dll's oh sorry ich blick hier nicht durch...wo muss ich es denn posten? und welche namen löschen? danke

29.04.2009, 15:12	#14
Chris4You	Unbekannte dll's @Keks Das dachte ich mir schon, ist ja sinn und zweck von Rootkits... Script bitte abfahren... Logs posten... chris __________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden )

29.04.2009, 15:13	#15
henning	Unbekannte dll's okay danke erstmal...dass heisst du bist dir sicher, dass da jemand auf meinen lap top zugriff hat? tut mir leid, ich bin neu hier....wie eröffne ich einen eigenen tread?