Auswertung der Datei:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.21 -
AhnLab-V3 5.0.0.2 2009.05.21 -
AntiVir 7.9.0.168 2009.05.21 -
Antiy-AVL 2.0.3.1 2009.05.21 -
Authentium 5.1.2.4 2009.05.21 -
Avast 4.8.1335.0 2009.05.20 -
AVG 8.5.0.339 2009.05.21 SHeur2.AGZN
BitDefender 7.2 2009.05.21 -
CAT-QuickHeal 10.00 2009.05.21 -
ClamAV 0.94.1 2009.05.21 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.21 -
eSafe 7.0.17.0 2009.05.21 Win32.Banker
eTrust-Vet 31.6.6516 2009.05.21 -
F-Prot 4.4.4.56 2009.05.21 -
F-Secure 8.0.14470.0 2009.05.21 -
Fortinet 3.117.0.0 2009.05.21 -
GData 19 2009.05.21 -
Ikarus T3.1.1.49.0 2009.05.21 -
K7AntiVirus 7.10.741 2009.05.21 -
Kaspersky 7.0.0.125 2009.05.21 -
McAfee 5622 2009.05.21 -
McAfee+Artemis 5622 2009.05.21 -
McAfee-GW-Edition 6.7.6 2009.05.21 -
Microsoft 1.4701 2009.05.21 -
NOD32 4094 2009.05.21 -
Norman 6.01.05 2009.05.20 -
nProtect 2009.1.8.0 2009.05.21 -
Panda 10.0.0.14 2009.05.21 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.21 Medium Risk Malware
Rising 21.30.32.00 2009.05.21 -
Sophos 4.42.0 2009.05.21 Mal/EncPk-HJ
Sunbelt 3.2.1858.2 2009.05.20 -
Symantec 1.4.4.12 2009.05.21 -
TheHacker 6.3.4.1.328 2009.05.21 -
TrendMicro 8.950.0.1092 2009.05.21 -
VBA32 3.12.10.5 2009.05.21 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2009.5.21.1745 2009.05.21 -
VirusBuster 4.6.5.0 2009.05.21 -
weitere Informationen
File size: 29696 bytes
MD5...: f8a61a9b81ce662315de7f2b98086fe1
SHA1..: 4eaf8c7232475b1c95c9d7274b2a69d84c382ff0
SHA256: 2fd729796e44495036d38ac1785e72a3a5739731f68b73d3e18950a677b66fd5
SHA512: 472c03126ee10cccbbd53120bf9fb8043578097968d1fc5aaf0a6b30b5be94d3
aaa5255484fbe2c2641ebe51029ae526bedf6c6ec3fd0190d295014d296be4f3
ssdeep: 768:db1CLPbIK1gZInn6ESg/OycjFqPgHwPoLrwXVhR:F1C7b31h6EUyw7AoLr6V
h
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2496
timedatestamp.....: 0x47d45ee9 (Sun Mar 09 22:04:25 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1796 0x1800 7.79 0ed26540313ebe8f7fd6cbbab3ee16db
.rdata 0x3000 0x511e 0x5200 7.91 3542024cde72c1d99cb46d232958e970
.data 0x9000 0x125b9 0x600 6.13 3647cd0144d6f76437e68e4f9e74b612

( 3 imports )
> GDI32.dll: GetTextExtentPoint32W, CreatePen, GetObjectW, SetBkMode
> MSVCRT.dll: qsort, __getmainargs, _strcmpi, malloc, _chdir, _ltow
> KERNEL32.dll: ExitProcess, GetCurrentThreadId, FormatMessageA, GetModuleHandleA, GetSystemTimeAsFileTime, GetTickCount, GetLastError, lstrcpynA, GetCommandLineA, Sleep, VerSetConditionMask

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5B25E951002FF4AC7440003284583D002D451A9A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5B25E951002FF4AC7440003284583D002D451A9A</a>

Hallo Stina307 und

1.) Kopiere die Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\qclccasrnoq.dll
C:\WINDOWS\System32\nsr2B6.dll
         

auf deinen Desktop.

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll
O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
         

=> Fix checked => Neustart

3.) Lade die Dateien, die du auf deinen Desktop kopiert hast und

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\9129837.exe
         

bitte gemäß dieser Anleitung (nur Punkt 2) bei uns hoch.

4.) Klicke auf "Für alle Neuen" in meiner Anleitung, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Da Malwarebytes nicht upgedatet ist und ich den Scanbericht von heute abend nicht aufrufen konnte hab ich SUPERAntiSpyware laufen lassen....


LOGFILE:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/22/2009 at 00:14 AM

Application Version : 4.26.1002

Core Rules Database Version : 3895
Trace Rules Database Version: 1843

Scan type : Complete Scan
Total Scan Time : 00:42:48

Memory items scanned : 409
Memory threats detected : 1
Registry items scanned : 5092
Registry threats detected : 3
File items scanned : 19548
File threats detected : 32

Trojan.Downloader-Gen/Win
C:\WINDOWS\9129837.EXE
C:\WINDOWS\9129837.EXE
[ttool] C:\WINDOWS\9129837.EXE

Rootkit.Gen/NewDrv
HKLM\System\ControlSet002\Services\new_drv
C:\WINDOWS\NEW_DRV.SYS
HKLM\System\ControlSet002\Enum\Root\LEGACY_new_drv
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP337\A0141139.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP337\A0142138.SYS

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\*************@adserver.adtechus[1].txt
C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\*************@doubleclick[1].txt
C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\***************@tribalfusion[2].txt
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***************\Cookies\*****************@advertising[1].txt.vir

Rogue.SpywareGuard2008
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\IEMODULE.DLL

Trojan.Net-SvHoster
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\PROTECT\SVHOST.EXE

Trojan.Agent/Gen-SysPack
C:\DOKUMENTE UND EINSTELLUNGEN\KERSTIN SATZINGER\LOKALE EINSTELLUNGEN\TEMP\ORZ.EXE

Trojan.Dropper/YYY-Gen
C:\DOKUMENTE UND EINSTELLUNGEN\*******\LOKALE EINSTELLUNGEN\TEMP\YYY18919.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\********\LOKALE EINSTELLUNGEN\TEMP\YYY18912.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\*********\LOKALE EINSTELLUNGEN\TEMP\YYY18916.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\*********\LOKALE EINSTELLUNGEN\TEMP\YYY19023.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\**********\LOKALE EINSTELLUNGEN\TEMP\YYY19030.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\************\LOKALE EINSTELLUNGEN\TEMP\YYY19033.EXE

Adware.Vundo/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP323\A0140882.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP323\A0140884.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140887.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140889.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140892.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140893.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140900.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140901.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140975.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140982.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140983.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP330\A0141030.DLL
C:\WINDOWS\SYSTEM32\RYPQILCGCWFQBWDF.DLL

Adware.Vundo/Variant-0216
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP327\A0141007.DLL

Trojan.Dropper/Gen-NV
C:\WINDOWS\SYSTEM32\CONT_OFFERSFORTODAY-REMOVE.EXE

@ john.doe


Danke! Das werde ich morgen abend machen, weil ich jetzt mal ins Bett muss, sitz schon den ganzen abend vor der Kiste!

Greetz

Zitat:

Zitat von john.doe

Hallo Stina307 und

1.) Kopiere die Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\qclccasrnoq.dll
C:\WINDOWS\System32\nsr2B6.dll
         

auf deinen Desktop.


Habe ich gemacht!




2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll
O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
         

=> Fix checked => Neustart


Die ersten 2 habe ich, die letzte war nicht da... hätte ich die nicht auch erst vorher auf den Desktop kopieren müssen???



3.) Lade die Dateien, die du auf deinen Desktop kopiert hast und

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\9129837.exe
         

bitte gemäß dieser Anleitung (nur Punkt 2) bei uns hoch.


Habe ich gemacht!


4.) Klicke auf "Für alle Neuen" in meiner Anleitung, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.


Kommt gleich!

ciao, andreas

Jetzt bekomme ich ständig eine Internet Explorer Meldung das mein PC mit Viren infiziert ist und ich irgendeinen kostenlosen Scan machen soll....was mache ich damit???

*Kurz reinhüpfe*

Nicht beachten, das ist Rouge Software. Die installiert beim ausführen noch mehr an Trojanern auf deinem PC und gaugelt einem vor, man sei infiziert (egal ob man es ist oder nicht) bloß nicht darauf eingehen.

*raushüpfe*

Nicht machen, das ist ein Fake. Falls du es doch machst, hast du noch viel mehr auf deinem Rechner.

Lasse schnellstmöglich Malwarebytes laufen.

ciao, andreas

Logfile Malwarebytes




Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 1

22.05.2009 23:52:59
mbam-log-2009-05-22 (23-52-59).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 155507
Laufzeit: 1 hour(s), 27 minute(s), 6 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
c:\WINDOWS\ld08.exe (Trojan.KoobFace) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdll (Worm.Autorun) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\121973\121973.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\aoulsu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hpemuk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ibtvhcfi.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\iimhojiy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\jpnjga.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\kmxgxlay.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\lalgoc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qulasbun.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rngwfsvd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rxmwqjvp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\swbkmptd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\wuvujcbu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ygedbpuh.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ynfvkvpv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yudybg.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140974.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140998.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142141.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142142.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\d46b13ae-0063-4d1e-4392-e38d42292d8e.dll (Adware.Yoog) -> Quarantined and deleted successfully.
c:\WINDOWS\pp10.exe (Backdoor.Bot) -> Delete on reboot.
C:\Programme\Mozilla Firefox\components\nsoffersfortoday.dll (Adware.BHO) -> Delete on reboot.
c:\WINDOWS\ld08.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

So,

nachdem ich den ganzen Mist gemacht habe läuft mein Internet nicht mehr

Meine WLAN Verbindung funktioniert, beim Firefox kommt die Meldung das die Verbindung zum Proxy-Server verweigert wird, Explorer kann die Seite nicht anzeigen.

Und nu?

Ich habe bei Malwarebytes jetzt 69 Funde in Quaratäne, soll ich die löschen?

Zitat:

nachdem ich den ganzen Mist gemacht habe läuft mein Internet nicht mehr

Naja, wundern tut mich das nicht nach den Funden:

Zitat:

c:\WINDOWS\pp10.exe (Backdoor.Bot) -> Delete on reboot.
c:\WINDOWS\ld08.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

nicht wirklich. Wobei die Ursache eigentlich schon beim ersten HJT-Log klar war:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Zitat:

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

(s.a. http://www.trojaner-board.de/431835-post12.html)
Das ist selbstverschuldet. Ich weiß jetzt wirklich nicht, ob es noch Sinn macht hier weiterzumachen. Deine Entscheidung. Entweder: http://www.trojaner-board.de/51262-a...sicherung.html
Oder: Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

In jedem Fall von einem sauberen Rechner alle Kennwörter ändern.

ciao, andreas