| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.06.2009, 22:21
| #16 |
  |  TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Kann es sein, dass der Rechner erst vor fünf Wochen neuaufgesetzt wurde? 1.) Scripten mit Combofix
Code:
ATTFilter KILLALL::
Driver::
mhn
HssSrv
HssTrayService
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
Folder::
C:\Hotspot Shield
c:\programme\Hotspot Shield
File::
c:\windows\system32\mhn32.dll
DirLook::
c:\programme\Schmads Inc
C:\Downloads
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. 2.) Deaktiviere den Wächter von Avira. 3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade ihn bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN. 4.) Aktiviere den Wächter von Avira. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
22.06.2009, 22:39
| #17 |
 | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Log Teil1:
__________________Code:
ATTFilter ComboFix 09-06-22.01 - xxx 22.06.2009 23:25.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3071.2438 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\windows\system32\mhn32.dll"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Hotspot Shield
c:\programme\Hotspot Shield
c:\programme\Hotspot Shield\log\oas.log
c:\hotspot shield\hssstate.xml
c:\programme\Hotspot Shield\bin\curl-ca-bundle.crt
c:\programme\Hotspot Shield\bin\hssinst.dll
c:\programme\Hotspot Shield\bin\HssInstaller.exe
c:\programme\Hotspot Shield\bin\HssTrayService.exe
c:\programme\Hotspot Shield\bin\libcurl.dll
c:\programme\Hotspot Shield\bin\libeay32.dll
c:\programme\Hotspot Shield\bin\libssl32.dll
c:\programme\Hotspot Shield\bin\openvpn.exe
c:\programme\Hotspot Shield\bin\openvpnas.exe
c:\programme\Hotspot Shield\bin\openvpntray.exe
c:\programme\Hotspot Shield\bin\tapinstall.exe
c:\programme\Hotspot Shield\config\config.hvpn
c:\programme\Hotspot Shield\driver\OemWin2k.inf
c:\programme\Hotspot Shield\driver\tapvpn.sys
c:\programme\Hotspot Shield\hss.ico
c:\programme\Hotspot Shield\hssie\config.txt
c:\programme\Hotspot Shield\hssie\HssIE.dll
c:\programme\Hotspot Shield\HssWPR\hssdrv.sys
c:\programme\Hotspot Shield\HssWPR\hssinst.dll
c:\programme\Hotspot Shield\HssWPR\HssInstaller.exe
c:\programme\Hotspot Shield\HssWPR\hsssrv.exe
c:\programme\Hotspot Shield\HssWPR\nethss.inf
c:\programme\Hotspot Shield\HssWPR\nethss_m.inf
c:\programme\Hotspot Shield\HssWPR\wpr.conf
c:\programme\Hotspot Shield\htdocs\badbrowser.html
c:\programme\Hotspot Shield\htdocs\check.js
c:\programme\Hotspot Shield\htdocs\cl.js
c:\programme\Hotspot Shield\htdocs\conect.png
c:\programme\Hotspot Shield\htdocs\connect.png
c:\programme\Hotspot Shield\htdocs\disconnect.png
c:\programme\Hotspot Shield\htdocs\hss-logo.png
c:\programme\Hotspot Shield\htdocs\ic.js
c:\programme\Hotspot Shield\htdocs\logo.png
c:\programme\Hotspot Shield\htdocs\nsidefs.js
c:\programme\Hotspot Shield\htdocs\oac.css
c:\programme\Hotspot Shield\htdocs\oac.html
c:\programme\Hotspot Shield\htdocs\oac.js
c:\programme\Hotspot Shield\htdocs\oac2.js
c:\programme\Hotspot Shield\htdocs\oac3.js
c:\programme\Hotspot Shield\htdocs\oac4.js
c:\programme\Hotspot Shield\htdocs\stateobj.js
c:\programme\Hotspot Shield\htdocs\trouble.css
c:\programme\Hotspot Shield\htdocs\trouble.html
c:\programme\Hotspot Shield\htdocs\turnoff.png
c:\programme\Hotspot Shield\htdocs\turnon.png
c:\programme\Hotspot Shield\license.txt
c:\programme\Hotspot Shield\log\config.log
c:\programme\Hotspot Shield\Uninstall.exe
c:\windows\system32\mhn32.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_HSSSRV
-------\Legacy_HSSTRAYSERVICE
-------\Service_HssSrv
-------\Service_HssTrayService
-------\Legacy_HotspotShieldService
-------\Service_HotspotShieldService
((((((((((((((((((((((( Dateien erstellt von 2009-05-22 bis 2009-06-22 ))))))))))))))))))))))))))))))
.
2009-06-22 19:48 . 2009-06-22 20:06 -------- d-----w- C:\Lop SD
2009-06-22 16:11 . 2009-06-22 16:11 -------- d-----w- C:\rsit
2009-06-22 11:33 . 2009-06-22 11:33 -------- d-----w- c:\programme\Smart Products
2009-06-20 19:16 . 2009-06-20 19:16 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Teeworlds
2009-06-20 14:07 . 2009-06-20 14:07 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-06-20 14:07 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-20 14:07 . 2009-06-20 14:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-20 14:07 . 2009-06-20 14:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-20 14:07 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-20 14:00 . 2009-06-20 14:00 -------- d-----w- c:\programme\CCleaner
2009-06-17 20:58 . 2009-06-18 14:07 -------- d-----w- c:\programme\Guitar Speed Trainer
2009-06-17 16:35 . 2009-06-17 16:35 -------- d-----w- c:\programme\Counter-Strike 1.6
2009-06-14 19:41 . 2009-06-14 19:41 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Hewlett-Packard
2009-06-14 19:11 . 2009-06-14 19:11 -------- d-----w- c:\programme\Hewlett-Packard
2009-06-14 19:10 . 2009-06-14 19:11 20436 ----a-w- c:\windows\hpoins01.dat
2009-06-14 19:10 . 2003-04-06 04:33 16622 ------w- c:\windows\hpomdl01.dat
2009-06-14 19:10 . 2004-08-03 21:01 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2009-06-14 19:10 . 2004-08-03 21:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-06-13 19:42 . 2009-06-13 19:42 541696 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Macromedia\Flash Player\xxx.macromedia.com\bin\octoshape\pmv304-0905011-0-main.dll
2009-06-13 19:42 . 2009-06-13 19:42 319488 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Macromedia\Flash Player\xxx.macromedia.com\bin\octoshape\octoshape.exe
2009-06-09 14:14 . 2001-08-18 02:54 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-06-09 14:14 . 2004-08-03 22:57 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-06-09 14:14 . 2004-08-03 20:58 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2009-06-09 14:14 . 2004-08-03 20:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-06-07 11:36 . 2009-06-07 11:42 -------- d-----w- c:\programme\PhotomatixPro3
2009-05-29 12:23 . 2009-05-29 12:23 -------- d--h--w- C:\BJPrinter
2009-05-28 12:32 . 2009-05-28 13:32 -------- d-----w- C:\Downloads
2009-05-28 10:50 . 2004-01-08 09:38 208896 ----a-w- c:\windows\system\lame_enc.dll
2009-05-26 13:38 . 2002-01-05 13:37 344064 ----a-w- c:\windows\system32\msvcr70.dll
2009-05-26 13:38 . 2009-05-26 13:38 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-05-26 13:38 . 2009-05-26 13:38 -------- d-----w- c:\programme\DVDVideoSoft
2009-05-26 12:20 . 2009-05-27 15:44 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-26 12:20 . 2009-05-27 15:44 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-05-26 12:20 . 2009-02-13 09:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-05-26 12:20 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-05-26 12:20 . 2009-05-26 12:20 -------- d-----w- c:\programme\Avira
2009-05-26 12:20 . 2009-05-26 12:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-25 18:38 . 2009-05-25 18:38 -------- d-----w- c:\programme\Schmads Inc
2009-05-24 19:30 . 2009-05-24 19:30 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 21:30 . 2009-05-17 18:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-06-22 21:30 . 2009-05-16 16:52 -------- d-----w- c:\programme\Steam
2009-06-22 16:41 . 2009-05-16 15:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\teamspeak2
2009-06-22 14:03 . 2009-05-17 18:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2009-06-22 09:37 . 2004-08-10 19:00 64750 ----a-w- c:\windows\system32\perfc007.dat
2009-06-22 09:37 . 2004-08-10 19:00 394774 ----a-w- c:\windows\system32\perfh007.dat
2009-06-16 20:51 . 2009-05-15 16:10 8 ----a-w- c:\windows\system32\nvModes.dat
2009-06-11 21:20 . 2009-05-17 16:35 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2009-06-11 13:31 . 2009-05-16 17:14 -------- d-----w- c:\programme\ICQ6
2009-06-07 20:39 . 2009-06-07 20:39 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-06-01 18:13 . 2009-04-03 18:18 33840 ----a-w- c:\windows\system32\drivers\hssdrv.sys
2009-05-29 17:15 . 2009-05-16 15:11 -------- d-----w- c:\programme\Notepad++
2009-05-28 21:55 . 2009-05-16 17:14 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2009-05-28 14:10 . 2009-05-15 16:27 189072 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-05-28 14:08 . 2009-05-15 16:27 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-05-24 19:30 . 2009-05-16 15:11 -------- d-----w- c:\programme\DivX
2009-05-23 11:24 . 2009-05-23 11:24 3262 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\controlPanelIcon.exe
2009-05-23 11:24 . 2009-05-23 11:24 10134 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\SystemFolder_msiexec.exe
2009-05-19 13:12 . 2009-05-15 16:46 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-19 12:49 . 2009-05-19 12:13 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\TeamViewer
2009-05-19 12:13 . 2009-05-19 12:13 -------- d-----w- c:\programme\TeamViewer
2009-05-18 19:16 . 2009-05-18 19:16 -------- d-----w- c:\programme\RivaTuner v2.11
2009-05-18 18:19 . 2009-05-15 16:27 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-05-18 18:11 . 2009-05-15 16:32 -------- d-----w- c:\programme\Qtracker
2009-05-17 21:40 . 2009-05-15 16:05 36360 ----a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-17 18:11 . 2009-05-17 18:11 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-05-17 18:10 . 2009-05-17 18:10 -------- d-----w- c:\programme\Skype
2009-05-17 18:10 . 2009-05-17 18:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-05-17 18:10 . 2009-05-17 18:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-05-17 13:22 . 2009-05-17 13:22 -------- d-----w- c:\programme\AviSynth 2.5
2009-05-17 13:22 . 2009-05-17 13:22 -------- d-----w- c:\programme\eRightSoft
2009-05-17 12:02 . 2009-05-17 12:02 -------- d-----w- c:\programme\Audacity
2009-05-17 11:54 . 2009-05-17 11:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-05-17 11:45 . 2009-05-15 15:55 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-17 11:45 . 2009-05-15 15:45 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-05-17 11:30 . 2009-05-17 11:30 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Netscape
2009-05-17 11:30 . 2009-05-17 11:24 -------- d-----w- c:\programme\Netscape
2009-05-16 18:09 . 2009-05-16 15:11 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Notepad++
2009-05-16 16:52 . 2009-05-16 16:52 152576 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-05-16 16:52 . 2009-05-16 16:52 15872 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
2009-05-16 15:33 . 2009-05-15 16:20 -------- d-----w- c:\programme\Activision
2009-05-16 15:15 . 2009-05-16 13:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-05-16 15:11 . 2009-05-16 15:11 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-05-16 15:11 . 2009-05-16 15:11 -------- d-----w- c:\programme\FileZilla FTP Client
2009-05-16 13:56 . 2009-05-16 13:55 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2009-05-16 13:54 . 2009-05-16 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-05-16 13:45 . 2009-05-16 13:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-05-16 13:43 . 2009-05-16 13:33 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DAEMON Tools Lite
2009-05-16 13:39 . 2009-05-16 13:39 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DAEMON Tools Pro
2009-05-16 13:39 . 2009-05-16 13:39 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DAEMON Tools
2009-05-16 13:36 . 2009-05-16 13:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-05-16 13:36 . 2009-05-16 13:36 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-05-16 13:33 . 2009-05-16 13:33 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-05-16 13:11 . 2009-05-16 13:11 -------- d-----w- c:\programme\VideoLAN
2009-05-16 12:57 . 2009-05-16 12:57 -------- d-----w- c:\programme\Microsoft.NET
2009-05-16 12:31 . 2009-05-16 12:28 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2009-05-16 12:28 . 2009-05-16 12:28 -------- d-----w- c:\programme\Winamp
2009-05-15 16:27 . 2009-05-15 16:27 22328 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\PnkBstrK.sys
2009-05-15 16:27 . 2009-05-15 16:27 22328 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\PnkBstrK.sys
2009-05-15 16:19 . 2009-05-15 16:19 -------- d-----w- c:\programme\Windows Media Connect 2
2009-05-15 16:11 . 2009-05-15 16:11 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-05-15 16:11 . 2009-05-15 16:11 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-05-15 16:11 . 2009-05-15 16:11 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-05-15 16:11 . 2009-05-15 16:11 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-05-15 16:11 . 2009-05-15 16:11 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-05-15 16:11 . 2009-05-15 16:11 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-05-15 16:11 . 2009-05-15 16:11 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-05-15 16:11 . 2009-05-15 16:11 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-05-15 16:06 . 2009-05-15 16:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2009-05-15 16:06 . 2009-05-15 16:03 -------- d-----w- c:\programme\Logitech
2009-05-15 16:04 . 2009-05-15 16:04 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Logitech
2009-05-15 16:04 . 2009-05-15 16:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2009-05-15 16:04 . 2009-05-15 16:04 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2009-05-15 16:04 . 2009-05-15 16:04 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2009-05-15 16:04 . 2009-05-15 16:04 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-05-15 16:04 . 2009-05-15 16:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Logishrd
2009-05-15 15:55 . 2009-05-15 15:55 0 ----a-w- c:\windows\nsreg.dat
2009-05-15 15:55 . 2009-05-15 15:55 -------- d-----w- c:\programme\Analog Devices
2009-05-15 15:49 . 2009-05-15 15:49 -------- d-----w- c:\programme\Intel
2009-05-15 15:45 . 2009-05-15 15:45 -------- d-----w- c:\programme\Marvell
2009-05-15 15:43 . 2009-05-15 15:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-05-15 15:41 . 2009-05-15 15:41 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-05-15 15:40 . 2009-05-15 15:40 -------- d-----w- c:\programme\AGEIA Technologies
2009-05-15 15:40 . 2009-05-15 15:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-15 15:36 . 2009-05-15 15:21 86811 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-15 15:32 . 2009-05-15 15:32 137 ----a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-05-15 15:27 . 2009-05-15 15:27 -------- d-----w- c:\programme\microsoft frontpage
2009-05-15 15:25 . 2009-05-15 15:25 -------- d-----w- c:\programme\Java
2009-05-15 15:25 . 2009-05-15 15:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-05-15 15:21 . 2009-05-15 15:21 -------- d-----w- c:\programme\Online-Dienste
2009-05-15 15:20 . 2009-05-15 15:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-05-15 15:18 . 2009-05-15 15:18 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-15 15:18 . 2009-05-15 15:17 -------- d-----w- c:\programme\Windows Plus
2009-05-07 15:42 . 2004-08-10 19:00 346624 ----a-w- c:\windows\system32\localspl.dll
2009-04-30 22:30 . 2009-04-30 22:30 1194528 ----a-w- c:\windows\system32\nvcplui.exe
2009-04-30 20:02 . 2009-05-15 15:40 457248 ----a-w- c:\windows\system32\nvudisp.exe
2009-04-30 20:02 . 2009-04-30 20:02 9994240 ----a-w- c:\windows\system32\nvoglnt.dll
2009-04-30 20:02 . 2009-04-30 20:02 806912 ----a-w- c:\windows\system32\nvapi.dll
2009-04-30 20:02 . 2009-04-30 20:02 8055584 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-04-30 20:02 . 2009-04-30 20:02 663552 ----a-w- c:\windows\system32\nvcuvid.dll
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 10:06 . 2009-05-17 13:22 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-05-17 13:22 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-05-17 13:22 216064 --sh--r- c:\windows\system32\nbDX.dll
.
|
|
22.06.2009, 22:40
| #18 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Log Teil2:
__________________Code:
ATTFilter (((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\Downloads ----
2009-05-28 13:33 . 2009-05-28 13:33 3584 --sha-w- c:\downloads\nacht2\Thumbs.db
2009-05-28 13:32 . 2009-05-22 12:45 732037120 ----a-w- c:\downloads\nacht2\pl-nim2_xvid.avi
2009-05-28 13:21 . 2009-05-28 13:29 102037813 ----a-w- c:\downloads\nacht2.part7.rar
2009-05-28 13:13 . 2009-05-28 13:21 105000000 ----a-w- c:\downloads\nacht2.part6.rar
2009-05-28 13:06 . 2009-05-28 13:13 105000000 ----a-w- c:\downloads\nacht2.part5.rar
2009-05-28 12:58 . 2009-05-28 13:06 105000000 ----a-w- c:\downloads\nacht2.part4.rar
2009-05-28 12:50 . 2009-05-28 12:58 105000000 ----a-w- c:\downloads\nacht2.part3.rar
2009-05-28 12:40 . 2009-05-28 12:50 105000000 ----a-w- c:\downloads\nacht2.part2.rar
2009-05-28 12:32 . 2009-05-28 12:40 105000000 ----a-w- c:\downloads\nacht2.part1.rar
---- Directory of c:\programme\Schmads Inc ----
2009-05-25 18:38 . 2009-05-25 18:38 55858 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\uninstall.exe
2007-07-31 16:20 . 2007-07-31 16:20 200704 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
2006-04-30 04:30 . 2006-04-30 04:30 958 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\icon_high_volume.ico
2006-04-30 04:03 . 2006-04-30 04:03 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\unmute.ico
2006-04-30 03:59 . 2006-04-30 03:59 318 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\mic.ico
2006-04-30 03:45 . 2006-04-30 03:45 8667 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\changes.txt
2006-01-13 23:37 . 2006-01-13 23:37 2536 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\readme.txt
2005-12-15 01:18 . 2005-12-15 01:18 97280 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\TSRemote.dll
2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\chan.ico
2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\join.ico
2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\part.ico
2005-12-15 00:04 . 2005-12-15 00:04 198 ----a-w- c:\programme\Schmads Inc\G15_TeamSpeak\ts.ico
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"Steam"="c:\programme\steam\steam.exe" [2009-06-16 1217784]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-29 21755688]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-10-05 868352]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2009-05-04 354312]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2009-05-04 1572872]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2009-05-04 2817544]
"GUI"="c:\d-link\AirPlusG+\AirPlus.exe" [2005-08-24 1474560]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-12-18 76304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]
c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\
Verknpfung mit C2DtoG15.exe.lnk - d:\downloads\Programme\C2DtoG15 1.1.0.0\C2DtoG15.exe [2008-10-16 213504]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-5-15 809488]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Qtracker\\qtracker.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Steam\\SteamApps\\kecksbreaker\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Steam\\SteamApps\\kecksbreaker\\counter-strike\\hl.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Macromedia\\Flash Player\\xxx.macromedia.com\\bin\\octoshape\\octoshape.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\superscan4\\SuperScan4.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.05.2009 14:20 108289]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [15.05.2009 18:04 10384]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\windows\system32\drivers\GPlus_XP.sys [15.05.2009 18:27 439296]
R3 WinRing0_1_1_1;WinRing0_1_1_1;d:\downloads\Programme\C2DtoG15 1.1.0.0\WinRing0.sys [16.10.2008 20:31 13904]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - (no file)
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.hotspotshield.com/g/?c=h
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://xxx.gmer.net
Rootkit scan 2009-06-22 23:29
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1056)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
- - - - - - - > 'explorer.exe'(3056)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\rundll32.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\rundll32.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDClock.exe
d:\downloads\G15\G15NetSpeed-0.0.6\G15NetSpeed\G15NetSpeed.exe
c:\programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-22 23:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-22 21:32
ComboFix2.txt 2009-06-22 20:38
Vor Suchlauf: 13 Verzeichnis(se), 321.947.193.344 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 321.866.571.776 Bytes frei
361 --- E O F --- 2009-06-11 01:01
|
|
22.06.2009, 22:50
| #19 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Solange ich die Daten auswerte, kannst du weiterscannen. 1.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
22.06.2009, 23:02
| #20 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Nur eine Frage, wieso hast du denn mein Hotspot Shield löschen lassen? Naja, heute werden ich dir das Logfile wahrscheinlich nichtmehr schicken können, weil ich jetzt schlafen gehe (morgen Schule :/ ) Aber ich danke dir schonmal vielmals für die nette Hilfe und morgen schick ich dir dann das File Grüße Geändert von Markazeh (22.06.2009 um 23:19 Uhr) |
|
22.06.2009, 23:18
| #21 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Ich habe die URL aufgerufen und mich lächelte Ask an. Kannst es wieder installieren. ciao, andreas
__________________ --> TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll |
|
24.06.2009, 17:00
| #22 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Hier der Bericht von Kaspersky: Code:
ATTFilter -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 24. Juni 2009 16:58:11
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 24/06/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2157960
-------------------------------------------------------------------------------
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja
Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 101285
Viren gefunden: 2
Infizierte Objekte gefunden: 9
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:54:53
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ\215237480\Messages.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ\215237480\Owner.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\call256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\callmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chat1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chat512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmsg2048.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmsg256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\chatmsg512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\contactgroup256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\index2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\main.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\profile16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\transfer256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\transfer512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\user4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxxaxxx\voicemail256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c26vndx6.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\etilqs_L0fuXu8U143jLrifH7Oe Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\JET1B2E.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\Perflib_Perfdata_f78.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\~DF6239.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009062420090625\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Nero\Nero8\Nero BackItUp\BIU1.txt Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\ClientRegistry.blob Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\logs\connection_log.txt Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\Steam.log Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\base source engine 2.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\counter-strike source client.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\counter-strike source shared.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\source engine.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\source lv.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\source materials.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\source models.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\source sounds.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\sourceinit.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamApps\winui.gcf Das Objekt ist gesperrt übersprungen
C:\RECYCLER\S-1-5-21-1659004503-813497703-839522115-1003\Dc1.vbs Infizierte Objekte: Trojan.VBS.Shutdown.ac übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003006.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003006.msi Embedded: infiziert - 1 übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003007.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003007.msi Embedded: infiziert - 1 übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003009.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP37\A0003009.msi Embedded: infiziert - 1 übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP38\A0003014.msi/vista.vbs Infizierte Objekte: Trojan-Downloader.VBS.Agent.wk übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP38\A0003014.msi Embedded: infiziert - 1 übersprungen
C:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP77\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{B34EFB85-221C-4CE4-8DEA-7F141FFD5837}.crmlog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{26A8243A-9796-499D-84E3-96D30498189E}\RP77\change.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
Was denkst du wie lange dauerts noch bis der Trojaner entfernt ist? Grüße |
|
24.06.2009, 17:52
| #23 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll 1.) Start => Ausführen => cmd => OK sc delete aw7pbmk6[Enter] exit[Enter] 2.) http://www.trojaner-board.de/51464-a...-ccleaner.html 3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 4.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
24.06.2009, 19:46
| #24 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Das sagt er mir, wenn ich das in die Konsole eingebe: "[SC] OpenService FAILED 1060: Der angegebene Dienst ist kein installierter Dienst." |
|
24.06.2009, 19:49
| #25 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Dann überspringe das, wir kontrollieren zum Schluss noch einmal mit RSIT, ob er auch wirklich weg ist. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
24.06.2009, 22:32
| #26 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Der Scan dauert bei mir jetzt schon über 3 Stunden und ist erst bei 23%... Da kann doch irgendwas nicht stimmen oder? |
|
24.06.2009, 22:33
| #27 | |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dllZitat:
 ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
24.06.2009, 22:35
| #28 |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dll Oha, sag doch gleich, dass das so lange dauert Dann lass ich das morgen während der Schule laufen, weil ich nicht schlafen kann, wenn der Rechner läuft. Ansonsten würd ich ihn die Nacht durchlaufen lassen :/ |
|
24.06.2009, 22:42
| #29 | |
| | TR/Hijack.AE in C:\WINDOWS\System32\mhn32.dllZitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Linear-Darstellung
