|
Plagegeister aller Art und deren Bekämpfung: TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.06.2009, 22:21 | #16 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Kann es sein, dass der Rechner erst vor fünf Wochen neuaufgesetzt wurde? 1.) Scripten mit Combofix
Code:
ATTFilter KILLALL:: Driver:: mhn HssSrv HssTrayService Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] Folder:: C:\Hotspot Shield c:\programme\Hotspot Shield File:: c:\windows\system32\mhn32.dll DirLook:: c:\programme\Schmads Inc C:\Downloads
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. 2.) Deaktiviere den Wächter von Avira. 3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade ihn bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN. 4.) Aktiviere den Wächter von Avira. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.06.2009, 22:39 | #17 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Log Teil1:
__________________Code:
ATTFilter ComboFix 09-06-22.01 - xxx 22.06.2009 23:25.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3071.2438 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\cfscript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\windows\system32\mhn32.dll" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Hotspot Shield c:\programme\Hotspot Shield c:\programme\Hotspot Shield\log\oas.log c:\hotspot shield\hssstate.xml c:\programme\Hotspot Shield\bin\curl-ca-bundle.crt c:\programme\Hotspot Shield\bin\hssinst.dll c:\programme\Hotspot Shield\bin\HssInstaller.exe c:\programme\Hotspot Shield\bin\HssTrayService.exe c:\programme\Hotspot Shield\bin\libcurl.dll c:\programme\Hotspot Shield\bin\libeay32.dll c:\programme\Hotspot Shield\bin\libssl32.dll c:\programme\Hotspot Shield\bin\openvpn.exe c:\programme\Hotspot Shield\bin\openvpnas.exe c:\programme\Hotspot Shield\bin\openvpntray.exe c:\programme\Hotspot Shield\bin\tapinstall.exe c:\programme\Hotspot Shield\config\config.hvpn c:\programme\Hotspot Shield\driver\OemWin2k.inf c:\programme\Hotspot Shield\driver\tapvpn.sys c:\programme\Hotspot Shield\hss.ico c:\programme\Hotspot Shield\hssie\config.txt c:\programme\Hotspot Shield\hssie\HssIE.dll c:\programme\Hotspot Shield\HssWPR\hssdrv.sys c:\programme\Hotspot Shield\HssWPR\hssinst.dll c:\programme\Hotspot Shield\HssWPR\HssInstaller.exe c:\programme\Hotspot Shield\HssWPR\hsssrv.exe c:\programme\Hotspot Shield\HssWPR\nethss.inf c:\programme\Hotspot Shield\HssWPR\nethss_m.inf c:\programme\Hotspot Shield\HssWPR\wpr.conf c:\programme\Hotspot Shield\htdocs\badbrowser.html c:\programme\Hotspot Shield\htdocs\check.js c:\programme\Hotspot Shield\htdocs\cl.js c:\programme\Hotspot Shield\htdocs\conect.png c:\programme\Hotspot Shield\htdocs\connect.png c:\programme\Hotspot Shield\htdocs\disconnect.png c:\programme\Hotspot Shield\htdocs\hss-logo.png c:\programme\Hotspot Shield\htdocs\ic.js c:\programme\Hotspot Shield\htdocs\logo.png c:\programme\Hotspot Shield\htdocs\nsidefs.js c:\programme\Hotspot Shield\htdocs\oac.css c:\programme\Hotspot Shield\htdocs\oac.html c:\programme\Hotspot Shield\htdocs\oac.js c:\programme\Hotspot Shield\htdocs\oac2.js c:\programme\Hotspot Shield\htdocs\oac3.js c:\programme\Hotspot Shield\htdocs\oac4.js c:\programme\Hotspot Shield\htdocs\stateobj.js c:\programme\Hotspot Shield\htdocs\trouble.css c:\programme\Hotspot Shield\htdocs\trouble.html c:\programme\Hotspot Shield\htdocs\turnoff.png c:\programme\Hotspot Shield\htdocs\turnon.png c:\programme\Hotspot Shield\license.txt c:\programme\Hotspot Shield\log\config.log c:\programme\Hotspot Shield\Uninstall.exe c:\windows\system32\mhn32.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_HSSSRV -------\Legacy_HSSTRAYSERVICE -------\Service_HssSrv -------\Service_HssTrayService -------\Legacy_HotspotShieldService -------\Service_HotspotShieldService ((((((((((((((((((((((( Dateien erstellt von 2009-05-22 bis 2009-06-22 )))))))))))))))))))))))))))))) . 2009-06-22 19:48 . 2009-06-22 20:06 -------- d-----w- C:\Lop SD 2009-06-22 16:11 . 2009-06-22 16:11 -------- d-----w- C:\rsit 2009-06-22 11:33 . 2009-06-22 11:33 -------- d-----w- c:\programme\Smart Products 2009-06-20 19:16 . 2009-06-20 19:16 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Teeworlds 2009-06-20 14:07 . 2009-06-20 14:07 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes 2009-06-20 14:07 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-20 14:07 . 2009-06-20 14:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-06-20 14:07 . 2009-06-20 14:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-20 14:07 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-20 14:00 . 2009-06-20 14:00 -------- d-----w- c:\programme\CCleaner 2009-06-17 20:58 . 2009-06-18 14:07 -------- d-----w- c:\programme\Guitar Speed Trainer 2009-06-17 16:35 . 2009-06-17 16:35 -------- d-----w- c:\programme\Counter-Strike 1.6 2009-06-14 19:41 . 2009-06-14 19:41 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Hewlett-Packard 2009-06-14 19:11 . 2009-06-14 19:11 -------- d-----w- c:\programme\Hewlett-Packard 2009-06-14 19:10 . 2009-06-14 19:11 20436 ----a-w- c:\windows\hpoins01.dat 2009-06-14 19:10 . 2003-04-06 04:33 16622 ------w- c:\windows\hpomdl01.dat 2009-06-14 19:10 . 2004-08-03 21:01 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys 2009-06-14 19:10 . 2004-08-03 21:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys 2009-06-13 19:42 . 2009-06-13 19:42 541696 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Macromedia\Flash Player\xxx.macromedia.com\bin\octoshape\pmv304-0905011-0-main.dll 2009-06-13 19:42 . 2009-06-13 19:42 319488 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Macromedia\Flash Player\xxx.macromedia.com\bin\octoshape\octoshape.exe 2009-06-09 14:14 . 2001-08-18 02:54 5632 ----a-w- c:\windows\system32\ptpusb.dll 2009-06-09 14:14 . 2004-08-03 22:57 159232 ----a-w- c:\windows\system32\ptpusd.dll 2009-06-09 14:14 . 2004-08-03 20:58 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys 2009-06-09 14:14 . 2004-08-03 20:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys 2009-06-07 11:36 . 2009-06-07 11:42 -------- d-----w- c:\programme\PhotomatixPro3 2009-05-29 12:23 . 2009-05-29 12:23 -------- d--h--w- C:\BJPrinter 2009-05-28 12:32 . 2009-05-28 13:32 -------- d-----w- C:\Downloads 2009-05-28 10:50 . 2004-01-08 09:38 208896 ----a-w- c:\windows\system\lame_enc.dll 2009-05-26 13:38 . 2002-01-05 13:37 344064 ----a-w- c:\windows\system32\msvcr70.dll 2009-05-26 13:38 . 2009-05-26 13:38 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-05-26 13:38 . 2009-05-26 13:38 -------- d-----w- c:\programme\DVDVideoSoft 2009-05-26 12:20 . 2009-05-27 15:44 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-26 12:20 . 2009-05-27 15:44 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-05-26 12:20 . 2009-02-13 09:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-05-26 12:20 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-05-26 12:20 . 2009-05-26 12:20 -------- d-----w- c:\programme\Avira 2009-05-26 12:20 . 2009-05-26 12:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-05-25 18:38 . 2009-05-25 18:38 -------- d-----w- c:\programme\Schmads Inc 2009-05-24 19:30 . 2009-05-24 19:30 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-22 21:30 . 2009-05-17 18:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype 2009-06-22 21:30 . 2009-05-16 16:52 -------- d-----w- c:\programme\Steam 2009-06-22 16:41 . 2009-05-16 15:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\teamspeak2 2009-06-22 14:03 . 2009-05-17 18:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM 2009-06-22 09:37 . 2004-08-10 19:00 64750 ----a-w- c:\windows\system32\perfc007.dat 2009-06-22 09:37 . 2004-08-10 19:00 394774 ----a-w- c:\windows\system32\perfh007.dat 2009-06-16 20:51 . 2009-05-15 16:10 8 ----a-w- c:\windows\system32\nvModes.dat 2009-06-11 21:20 . 2009-05-17 16:35 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla 2009-06-11 13:31 . 2009-05-16 17:14 -------- d-----w- c:\programme\ICQ6 2009-06-07 20:39 . 2009-06-07 20:39 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ 2009-06-01 18:13 . 2009-04-03 18:18 33840 ----a-w- c:\windows\system32\drivers\hssdrv.sys 2009-05-29 17:15 . 2009-05-16 15:11 -------- d-----w- c:\programme\Notepad++ 2009-05-28 21:55 . 2009-05-16 17:14 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ 2009-05-28 14:10 . 2009-05-15 16:27 189072 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-05-28 14:08 . 2009-05-15 16:27 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-05-24 19:30 . 2009-05-16 15:11 -------- d-----w- c:\programme\DivX 2009-05-23 11:24 . 2009-05-23 11:24 3262 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\controlPanelIcon.exe 2009-05-23 11:24 . 2009-05-23 11:24 10134 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\SystemFolder_msiexec.exe 2009-05-19 13:12 . 2009-05-15 16:46 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-05-19 12:49 . 2009-05-19 12:13 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\TeamViewer 2009-05-19 12:13 . 2009-05-19 12:13 -------- d-----w- c:\programme\TeamViewer 2009-05-18 19:16 . 2009-05-18 19:16 -------- d-----w- c:\programme\RivaTuner v2.11 2009-05-18 18:19 . 2009-05-15 16:27 75064 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-05-18 18:11 . 2009-05-15 16:32 -------- d-----w- c:\programme\Qtracker 2009-05-17 21:40 . 2009-05-15 16:05 36360 ----a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-17 18:11 . 2009-05-17 18:11 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-05-17 18:10 . 2009-05-17 18:10 -------- d-----w- c:\programme\Skype 2009-05-17 18:10 . 2009-05-17 18:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-05-17 18:10 . 2009-05-17 18:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-05-17 13:22 . 2009-05-17 13:22 -------- d-----w- c:\programme\AviSynth 2.5 2009-05-17 13:22 . 2009-05-17 13:22 -------- d-----w- c:\programme\eRightSoft 2009-05-17 12:02 . 2009-05-17 12:02 -------- d-----w- c:\programme\Audacity 2009-05-17 11:54 . 2009-05-17 11:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems 2009-05-17 11:45 . 2009-05-15 15:55 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-05-17 11:45 . 2009-05-15 15:45 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-05-17 11:30 . 2009-05-17 11:30 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Netscape 2009-05-17 11:30 . 2009-05-17 11:24 -------- d-----w- c:\programme\Netscape 2009-05-16 18:09 . 2009-05-16 15:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Notepad++ 2009-05-16 16:52 . 2009-05-16 16:52 152576 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll 2009-05-16 16:52 . 2009-05-16 16:52 15872 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe 2009-05-16 15:33 . 2009-05-15 16:20 -------- d-----w- c:\programme\Activision 2009-05-16 15:15 . 2009-05-16 13:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-05-16 15:11 . 2009-05-16 15:11 -------- d-----w- c:\programme\Teamspeak2_RC2 2009-05-16 15:11 . 2009-05-16 15:11 -------- d-----w- c:\programme\FileZilla FTP Client 2009-05-16 13:56 . 2009-05-16 13:55 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc 2009-05-16 13:54 . 2009-05-16 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2009-05-16 13:45 . 2009-05-16 13:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared 2009-05-16 13:43 . 2009-05-16 13:33 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DAEMON Tools Lite 2009-05-16 13:39 . 2009-05-16 13:39 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DAEMON Tools Pro 2009-05-16 13:39 . 2009-05-16 13:39 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DAEMON Tools 2009-05-16 13:36 . 2009-05-16 13:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite 2009-05-16 13:36 . 2009-05-16 13:36 -------- d-----w- c:\programme\DAEMON Tools Lite 2009-05-16 13:33 . 2009-05-16 13:33 717296 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-05-16 13:11 . 2009-05-16 13:11 -------- d-----w- c:\programme\VideoLAN 2009-05-16 12:57 . 2009-05-16 12:57 -------- d-----w- c:\programme\Microsoft.NET 2009-05-16 12:31 . 2009-05-16 12:28 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp 2009-05-16 12:28 . 2009-05-16 12:28 -------- d-----w- c:\programme\Winamp 2009-05-15 16:27 . 2009-05-15 16:27 22328 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\PnkBstrK.sys 2009-05-15 16:27 . 2009-05-15 16:27 22328 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\PnkBstrK.sys 2009-05-15 16:19 . 2009-05-15 16:19 -------- d-----w- c:\programme\Windows Media Connect 2 2009-05-15 16:11 . 2009-05-15 16:11 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF 2009-05-15 16:11 . 2009-05-15 16:11 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF 2009-05-15 16:11 . 2009-05-15 16:11 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF 2009-05-15 16:11 . 2009-05-15 16:11 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF 2009-05-15 16:11 . 2009-05-15 16:11 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1 2009-05-15 16:11 . 2009-05-15 16:11 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF 2009-05-15 16:11 . 2009-05-15 16:11 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF 2009-05-15 16:11 . 2009-05-15 16:11 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF 2009-05-15 16:06 . 2009-05-15 16:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech 2009-05-15 16:06 . 2009-05-15 16:03 -------- d-----w- c:\programme\Logitech 2009-05-15 16:04 . 2009-05-15 16:04 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Logitech 2009-05-15 16:04 . 2009-05-15 16:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd 2009-05-15 16:04 . 2009-05-15 16:04 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf 2009-05-15 16:04 . 2009-05-15 16:04 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf 2009-05-15 16:04 . 2009-05-15 16:04 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2009-05-15 16:04 . 2009-05-15 16:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Logishrd 2009-05-15 15:55 . 2009-05-15 15:55 0 ----a-w- c:\windows\nsreg.dat 2009-05-15 15:55 . 2009-05-15 15:55 -------- d-----w- c:\programme\Analog Devices 2009-05-15 15:49 . 2009-05-15 15:49 -------- d-----w- c:\programme\Intel 2009-05-15 15:45 . 2009-05-15 15:45 -------- d-----w- c:\programme\Marvell 2009-05-15 15:43 . 2009-05-15 15:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2009-05-15 15:41 . 2009-05-15 15:41 664 ----a-w- c:\windows\system32\d3d9caps.dat 2009-05-15 15:40 . 2009-05-15 15:40 -------- d-----w- c:\programme\AGEIA Technologies 2009-05-15 15:40 . 2009-05-15 15:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-05-15 15:36 . 2009-05-15 15:21 86811 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-05-15 15:32 . 2009-05-15 15:32 137 ----a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat 2009-05-15 15:27 . 2009-05-15 15:27 -------- d-----w- c:\programme\microsoft frontpage 2009-05-15 15:25 . 2009-05-15 15:25 -------- d-----w- c:\programme\Java 2009-05-15 15:25 . 2009-05-15 15:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2009-05-15 15:21 . 2009-05-15 15:21 -------- d-----w- c:\programme\Online-Dienste 2009-05-15 15:20 . 2009-05-15 15:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste 2009-05-15 15:18 . 2009-05-15 15:18 21740 ----a-w- c:\windows\system32\emptyregdb.dat 2009-05-15 15:18 . 2009-05-15 15:17 -------- d-----w- c:\programme\Windows Plus 2009-05-07 15:42 . 2004-08-10 19:00 346624 ----a-w- c:\windows\system32\localspl.dll 2009-04-30 22:30 . 2009-04-30 22:30 1194528 ----a-w- c:\windows\system32\nvcplui.exe 2009-04-30 20:02 . 2009-05-15 15:40 457248 ----a-w- c:\windows\system32\nvudisp.exe 2009-04-30 20:02 . 2009-04-30 20:02 9994240 ----a-w- c:\windows\system32\nvoglnt.dll 2009-04-30 20:02 . 2009-04-30 20:02 806912 ----a-w- c:\windows\system32\nvapi.dll 2009-04-30 20:02 . 2009-04-30 20:02 8055584 ----a-w- c:\windows\system32\drivers\nv4_mini.sys 2009-04-30 20:02 . 2009-04-30 20:02 663552 ----a-w- c:\windows\system32\nvcuvid.dll 2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2006-05-03 10:06 . 2009-05-17 13:22 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2009-05-17 13:22 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 13:30 . 2009-05-17 13:22 216064 --sh--r- c:\windows\system32\nbDX.dll . |
22.06.2009, 22:40 | #18 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Log Teil2:
__________________Code:
ATTFilter (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of C:\Downloads ---- 2009-05-28 13:33 . 2009-05-28 13:33 3584 --sha-w- c:\downloads\nacht2\Thumbs.db 2009-05-28 13:32 . 2009-05-22 12:45 732037120 ----a-w- c:\downloads\nacht2\pl-nim2_xvid.avi 2009-05-28 13:21 . 2009-05-28 13:29 102037813 ----a-w- c:\downloads\nacht2.part7.rar 2009-05-28 13:13 . 2009-05-28 13:21 105000000 ----a-w- c:\downloads\nacht2.part6.rar 2009-05-28 13:06 . 2009-05-28 13:13 105000000 ----a-w- c:\downloads\nacht2.part5.rar 2009-05-28 12:58 . 2009-05-28 13:06 105000000 ----a-w- c:\downloads\nacht2.part4.rar 2009-05-28 12:50 . 2009-05-28 12:58 105000000 ----a-w- c:\downloads\nacht2.part3.rar 2009-05-28 12:40 . 2009-05-28 12:50 105000000 ----a-w- c:\downloads\nacht2.part2.rar 2009-05-28 12:32 . 2009-05-28 12:40 105000000 ----a-w- c:\downloads\nacht2.part1.rar ---- Directory of c:\programme\Schmads Inc ---- 2009-05-25 18:38 . 2009-05-25 18:38 55858 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\uninstall.exe 2007-07-31 16:20 . 2007-07-31 16:20 200704 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe 2006-04-30 04:30 . 2006-04-30 04:30 958 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\icon_high_volume.ico 2006-04-30 04:03 . 2006-04-30 04:03 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\unmute.ico 2006-04-30 03:59 . 2006-04-30 03:59 318 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\mic.ico 2006-04-30 03:45 . 2006-04-30 03:45 8667 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\changes.txt 2006-01-13 23:37 . 2006-01-13 23:37 2536 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\readme.txt 2005-12-15 01:18 . 2005-12-15 01:18 97280 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\TSRemote.dll 2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\chan.ico 2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\join.ico 2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\part.ico 2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\ts.ico (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560] "Steam"="c:\programme\steam\steam.exe" [2009-06-16 1217784] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-29 21755688] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-10-05 868352] "Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2009-05-04 354312] "Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2009-05-04 1572872] "Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2009-05-04 2817544] "GUI"="c:\d-link\AirPlusG+\AirPlus.exe" [2005-08-24 1474560] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-12-18 76304] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360] c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\ Verknpfung mit C2DtoG15.exe.lnk - d:\downloads\Programme\C2DtoG15 1.1.0.0\C2DtoG15.exe [2008-10-16 213504] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672] Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-5-15 809488] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2009-02-18 22:30 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Qtracker\\qtracker.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "c:\\Programme\\Steam\\SteamApps\\kecksbreaker\\counter-strike source\\hl2.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Steam\\SteamApps\\kecksbreaker\\counter-strike\\hl.exe"= "c:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Macromedia\\Flash Player\\xxx.macromedia.com\\bin\\octoshape\\octoshape.exe"= "c:\\Dokumente und Einstellungen\\xxx\\Desktop\\superscan4\\SuperScan4.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.05.2009 14:20 108289] R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [15.05.2009 18:04 10384] R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\windows\system32\drivers\GPlus_XP.sys [15.05.2009 18:27 439296] R3 WinRing0_1_1_1;WinRing0_1_1_1;d:\downloads\Programme\C2DtoG15 1.1.0.0\WinRing0.sys [16.10.2008 20:31 13904] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.hotspotshield.com/g/?c=h IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://xxx.gmer.net Rootkit scan 2009-06-22 23:29 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1056) c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll - - - - - - - > 'explorer.exe'(3056) c:\programme\Logitech\SetPoint\lgscroll.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\nvsvc32.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\windows\ehome\ehrecvr.exe c:\windows\ehome\ehSched.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\windows\ehome\mcrdsvc.exe c:\windows\system32\dllhost.exe c:\windows\system32\rundll32.exe c:\windows\ehome\ehmsas.exe c:\windows\system32\rundll32.exe c:\programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe c:\programme\Logitech\GamePanel Software\Applets\LCDClock.exe d:\downloads\G15\G15NetSpeed-0.0.6\G15NetSpeed\G15NetSpeed.exe c:\programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe c:\programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-06-22 23:32 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-06-22 21:32 ComboFix2.txt 2009-06-22 20:38 Vor Suchlauf: 13 Verzeichnis(se), 321.947.193.344 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 321.866.571.776 Bytes frei 361 --- E O F --- 2009-06-11 01:01 |
22.06.2009, 22:50 | #19 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Solange ich die Daten auswerte, kannst du weiterscannen. 1.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.06.2009, 23:02 | #20 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Nur eine Frage, wieso hast du denn mein Hotspot Shield löschen lassen? Naja, heute werden ich dir das Logfile wahrscheinlich nichtmehr schicken können, weil ich jetzt schlafen gehe (morgen Schule :/ ) Aber ich danke dir schonmal vielmals für die nette Hilfe und morgen schick ich dir dann das File Grüße Geändert von Markazeh (22.06.2009 um 23:19 Uhr) |
22.06.2009, 23:18 | #21 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Ich habe die URL aufgerufen und mich lächelte Ask an. Kannst es wieder installieren. ciao, andreas
__________________ --> TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll |
24.06.2009, 17:00 | #22 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Hier der Bericht von Kaspersky: Code:
ATTFilter ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Mittwoch, 24. Juni 2009 16:58:11 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 24/06/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2157960 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 101285 Viren gefunden: 2 Infizierte Objekte gefunden: 9 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 01:54:53 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ\215237480\Messages.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ\215237480\Owner.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\cookies.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\downloads.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\permissions.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\places.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\call256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\callmember256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chat1024.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chat512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmember256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmsg2048.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmsg256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmsg512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\contactgroup256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\index2.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\main.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\profile16384.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\transfer256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\transfer512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user1024.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user16384.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user4096.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\voicemail256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\etilqs_L0fuXu8U143jLrifH7Oe Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\JET1B2E.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\Perflib_Perfdata_f78.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\~DF6239.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009062420090625\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\Nero\Nero8\Nero BackItUp\BIU1.txt Das Objekt ist gesperrt übersprungen C:\Programme\Steam\ClientRegistry.blob Das Objekt ist gesperrt übersprungen C:\Programme\Steam\logs\connection_log.txt Das Objekt ist gesperrt übersprungen C:\Programme\Steam\Steam.log Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\base source engine 2.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\counter-strike source client.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\counter-strike source shared.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\source engine.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\source lv.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\source materials.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\source models.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\source sounds.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\sourceinit.gcf Das Objekt ist gesperrt übersprungen C:\Programme\Steam\SteamApps\winui.gcf Das Objekt ist gesperrt übersprungen C:\RECYCLER\S-1-5-21-1659004503-813497703-839522115-1003\Dc1.vbs Infizierte Objekte: Trojan.VBS.Shutdown.ac übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003006.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003006.msi Embedded: infiziert - 1 übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003007.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003007.msi Embedded: infiziert - 1 übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003009.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003009.msi Embedded: infiziert - 1 übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP38\A0003014.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP38\A0003014.msi Embedded: infiziert - 1 übersprungen C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP77\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{B34EFB85-221C-4CE4-8DEA-7F141FFD5837}.crmlog Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen D:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP77\change.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Was denkst du wie lange dauerts noch bis der Trojaner entfernt ist? Grüße |
24.06.2009, 17:52 | #23 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll 1.) Start => Ausführen => cmd => OK sc delete aw7pbmk6[Enter] exit[Enter] 2.) http://www.trojaner-board.de/51464-a...-ccleaner.html 3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 4.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
24.06.2009, 19:46 | #24 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Das sagt er mir, wenn ich das in die Konsole eingebe: "[SC] OpenService FAILED 1060: Der angegebene Dienst ist kein installierter Dienst." |
24.06.2009, 19:49 | #25 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Dann überspringe das, wir kontrollieren zum Schluss noch einmal mit RSIT, ob er auch wirklich weg ist. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
24.06.2009, 22:32 | #26 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Der Scan dauert bei mir jetzt schon über 3 Stunden und ist erst bei 23%... Da kann doch irgendwas nicht stimmen oder? |
24.06.2009, 22:33 | #27 | |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dllZitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
24.06.2009, 22:35 | #28 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Oha, sag doch gleich, dass das so lange dauert Dann lass ich das morgen während der Schule laufen, weil ich nicht schlafen kann, wenn der Rechner läuft. Ansonsten würd ich ihn die Nacht durchlaufen lassen :/ |
24.06.2009, 22:42 | #29 | |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dllZitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.06.2009, 12:14 | #30 |
| TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll So, Scan ist jetzt fertig: Code:
ATTFilter ;*********************************************************************************************************************************************************************************** ANALYSIS: 2009-06-25 13:11:57 PROTECTIONS: 1 MALWARE: 8 SUSPECTS: 3 ;*********************************************************************************************************************************************************************************** PROTECTIONS Description Version Active Updated ;=================================================================================================================================================================================== AntiVir Desktop 9.0.1.30 Yes Yes ;=================================================================================================================================================================================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;=================================================================================================================================================================================== 00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Lop SD\Backup-Lop\DOKUME~1\xxx\Cookies\xxx@advertising[1].txt 00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\xxx\Cookies\xxx@atwola[1].txt 00422841 Trj/Agent.KAL Virus/Trojan No 1 No No C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\mhn32.dll.vir] 03738688 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\vorbis.dll 03738688 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\No23 Recorder\vorbis.dll 03738695 Generic Malware Virus/Trojan No 0 No No D:\Downloads\Programme\Nero 8\anv8114ueike.part1.rar[keygen.exe] 03738747 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll 03738747 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\No23 Recorder\vorbisenc.dll 03738911 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\No23 Recorder\vorbisfile.dll 03738911 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll 03898962 Generic Trojan Virus/Trojan No 0 Yes No D:\System Volume Information\_restore{731854B4-2717-42C0-9FAD-95B18BBF70D0}\RP221\A0089520.exe ;=================================================================================================================================================================================== SUSPECTS Sent Location % ;=================================================================================================================================================================================== No D:\Downloads\Programme\Beepa.Fraps.v2.9.6.retail-FOSI\Beepa.Fraps.v2.9.6.retail-FOSI\fo-fr296\fo-fr296.exe No D:\Downloads\Programme\Beepa.Fraps.v2.9.6.retail-FOSI\Beepa.Fraps.v2.9.6.retail-FOSI\fo-fr296.zip[fo-fr296.exe] No D:\Downloads\Programme\CamtasiaStudio5.4.06\Camtasia Studio 5.4.06\Camtasia Studio 5.4.06 Patch.exe % ;=================================================================================================================================================================================== VULNERABILITIES Id Severity Description % ;=================================================================================================================================================================================== 191613 HIGH MS08-020 % 187733 HIGH MS08-008 % 182046 HIGH MS07-067 % 179553 HIGH MS07-061 % 176383 HIGH MS07-058 % 170904 HIGH MS07-043 % 157261 HIGH MS07-021 % 157260 HIGH MS07-020 % 157259 HIGH MS07-019 % 156477 HIGH MS07-017 % 150249 HIGH MS07-013 % 150248 HIGH MS07-012 % 150247 HIGH MS07-011 % 150243 HIGH MS07-008 % 150242 HIGH MS07-007 % 150241 MEDIUM MS07-006 % 141033 MEDIUM MS06-075 % 137571 HIGH MS06-070 % 133379 HIGH MS06-057 % 129977 MEDIUM MS06-053 % 129976 MEDIUM MS06-052 % 126092 MEDIUM MS06-050 % 126087 HIGH MS06-046 % 126086 MEDIUM MS06-045 % 126082 HIGH MS06-041 % 123421 HIGH MS06-036 % 120818 HIGH MS06-025 % 120815 HIGH MS06-022 % 117384 MEDIUM MS06-018 % 114666 HIGH MS06-015 % 108742 MEDIUM MS06-006 % 104567 HIGH MS06-002 % ;=================================================================================================================================================================================== |
Themen zu TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll |
.dll, adobe, adware.relevantknowledge, antivir, antivir guard, avira, bho, desktop, excel, explorer, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, launch, logfile, malwarebytes' anti-malware, mozilla, problem, registrierungsschlüssel, rundll, software, system, teamspeak, windows, windows xp, öffnet |