![]() |
|
Plagegeister aller Art und deren Bekämpfung: Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! Guten Tag Trojaner Board Team, Ich habe heute meinen Rechner gebootet, und mit einem mal meldete Avast, das zahlreiche Trojaner auf meinem Rechner ihr Unwesen treiben... Avast erkennt diese, löscht sie, aber sie kommen irgendwie immer wieder. Und das im 5 Minutentakt! Die Trojaner sind W32 Tiny-II, W32 Hupigon-LIE, W32 Crypt-EKF und W32 Cutwail... Ich habe absolut keine Ahnung davon wie sie sich auf meien Rechner einschleusen konnten, ohne das Avast sie erkennt als sie sich eingeschleust haben, geschweigen denn woher sie kommen oder was sie so alles anrichten (Ich währe für Informationen darüber sehr dankbar, besonders woher sie kommen damit sie nicht wieder auf meinen Rechner können)... So ich habe mir die Regeln und Anleitungen durchgelesen und alles meines Erachtens nach getan was ihr fortert um vernünftige hilfestellung leisten zu können, falls irgendetwas nicht richtig ist, bitte ich um entschuldigung... Bitte helft mir, da es langsam richtig nervt...... Habe jetzt grade mbam laufen lassen, den Bericht nach dem Scan gespeichert, und alles entfernen lassen, den Bericht auch Speichern lassen, und der rechner musste neu Booten weil ein paar Dateien nicht zu entfernen waren, den Bericht gespeichert, aber er ist nicht mer da...??? Ist das schlimm oder nicht?? Weiss jetzt nicht was ich tuen soll, einfach nochmal machen oder nicht??? Hier ist erstmal der Avast Protokoll, und es wird immer mer: 23.06.2009 13:14:41 Master Chief 940 Sign of "Win32:Tiny-II [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\36E2TXXP\xqdrrfst[1].htm" file. 23.06.2009 13:15:13 Master Chief 940 Sign of "Win32:Tiny-II [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G7X6K5FA\ioyymqerbo[1].htm" file. 23.06.2009 13:15:17 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UQMXNHQQ\pkqeiimnno[1].htm\[UPX]" file. 23.06.2009 13:15:40 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\yrknxfr.exe\[UPX]" file. 23.06.2009 13:15:48 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\36E2TXXP\pkqeiimnno[1].htm\[UPX]" file. 23.06.2009 13:15:50 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\yrknxfr.exe\[UPX]" file. 23.06.2009 13:15:56 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\tvboae.exe" file. 23.06.2009 13:16:14 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8WOZF36E\loaderadv563[1].exe" file. 23.06.2009 13:16:24 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\489.exe" file. 23.06.2009 13:17:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file. 23.06.2009 13:38:01 Master Chief 932 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\83FA4S8T\loaderadv563[1].exe" file. 23.06.2009 13:38:12 Master Chief 932 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\391.exe" file. 23.06.2009 13:42:46 Master Chief 932 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\systemntmi.sys\[Embedded_Ix#1768]" file. 23.06.2009 13:45:58 Master Chief 932 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ws2_32sik.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:03:10 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5QK0VMQ\loaderadv563[1].exe" file. 23.06.2009 14:03:18 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\248.exe" file. 23.06.2009 14:05:45 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:09:26 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\port135sik.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:12:56 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\securentm.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:19:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\securentm.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:22:45 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ws2_32sik.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:23:13 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5QK0VMQ\loaderadv563[1].exe" file. 23.06.2009 14:23:21 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\466.exe" file. 23.06.2009 14:27:03 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:30:18 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:31:16 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5QK0VMQ\loaderadv563[1].exe" file. 23.06.2009 14:31:33 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\817.exe" file. 23.06.2009 14:34:22 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:38:33 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ws2_32sik.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:41:47 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:45:28 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:48:40 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\systemntmi.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:55:01 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\netsik.sys\[Embedded_Ix#1768]" file. 23.06.2009 14:58:13 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:02:01 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:05:42 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\securentm.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:09:53 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:13:33 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:16:48 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:20:03 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\fips32cup.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:24:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:28:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:34:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\port135sik.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:38:13 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\nicsk32.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:42:21 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:48:54 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\fips32cup.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:52:47 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\systemntmi.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:56:25 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file. 23.06.2009 15:59:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:03:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:05:00 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:08:10 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:12:40 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ati64si.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:12:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ati64si.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:16:03 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\port135sik.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:21:50 Master Chief 952 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\netsik.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:23:02 Master Chief 952 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\nicsk32.sys\[Embedded_Ix#1768]" file. 23.06.2009 16:26:18 Master Chief 952 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\netsik.sys\[Embedded_Ix#1768]" file. Hier ist der log vor dem entfernen durch mbam: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2324 Windows 5.1.2600 Service Pack 3 23.06.2009 16:15:44 mbam-log-2009-06-23 (16-15-39).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 95226 Laufzeit: 25 minute(s), 52 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 17 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINXP\system32\gsf83iujid.dll (Trojan.Crypt) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Zlob.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Crypt) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Crypt) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ksi32sk (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amd64si (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ati64si (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\port135sik (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\securentm (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acpi32 (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\acpi32 (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpi32 (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\i386si (Rootkit.Spamtool) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Systemntmi (Rootkit.Spamtool) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ws2_32sik (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nicsk32 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netsik (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fips32cup (Rootkit.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Zlob.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINXP\system32\gsf83iujid.dll (Trojan.Zlob.H) -> No action taken. c:\RECYCLER\s-1-5-21-3221008685-6647482924-439016957-1576\wnzip32.exe (Backdoor.SdBot) -> No action taken. C:\WINXP\system32\drivers\acpi32.sys (Trojan.Agent) -> No action taken. C:\WINXP\system32\Drivers\ati64si.sys (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\Master Chief\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken. Der Log nach dem entfernen wäre jetzt eigentlich hir, aber er hat ihn ja nicht gespeichert.... Entschuldigt bitte, bin mir nicht sicher ob ichs einfach nochmal machen soll, oder nicht..... Und hier ist der HJT Log( nach entfernen durch mbam, ohne log leider...): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:31:51, on 23.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINXP\system32\spoolsv.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\nvsvc32.exe C:\WINXP\System32\TUProgSt.exe C:\WINXP\system32\RunDll32.exe C:\Programme\Trust\250S Series\lwbwheel.exe C:\WINXP\system32\RunDLL32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINXP\System32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: (no name) - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - (no file) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\250S Series\lwbwheel.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Infium] "C:\Programme\QIP Infium\infium.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Master Chief] C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe /i O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe -- End of file - 5317 bytes So und hir noch die Uninstall-Liste meiner Programme: ACDSee Foto-Manager 2009 Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Aspell English Dictionary-0.50-2 Aspell German Dictionary-0.50-2 avast! Antivirus CCleaner (remove only) C-Media 3D Audio DivX Codec DivX Converter DivX Player DivX Plus DirectShow Filters DivX Web Player Evil Player v1.28 GNU Aspell 0.50-3 GTK+ Runtime 2.14.7 rev a (nur entfernen) HijackThis 2.0.2 Malwarebytes' Anti-Malware Mozilla Firefox (3.0.11) NVIDIA Drivers Pidgin Sicherheitsupdate für Windows XP (KB923789) Skype™ 4.0 Spybot - Search & Destroy TeamSpeak 2 RC2 Trust Trust Ami Mouse 250S Series 1.2 TuneUp Utilities 2009 VC80CRTRedist - 8.0.50727.762 WinRAR Ich hoffe das die fehlende Log Datei kein Problem ist, ansonsten mach ichs nochmal alles da ich mir nicht sicher bin ob es richtig oder falsch ist, danke für eure Bemühungen. Hoffe ihr könnt mir helfen, ich dreh hir am Rad bei den ganzen Meldungen, is ja schon fast wiederlich... Danke im Voraus MFG, Danjo187 |
![]() | #2 |
![]() ![]() ![]() ![]() ![]() | ![]() Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! Bitte folgende Files prüfen:
__________________Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe C:\WINXP\system32\drivers\acpi32.sys C:\WINXP\system32\Drivers\ati64si.sys C:\WINXP\system32\gsf83iujid.dll
Wenn also die Teile erkannt wurden (Achtung! unbedingt den Teatimer (Spybot) deaktivieren): Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: ![]() 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete: ati64si acpi32 Files to delete: C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe <-wenn erkannt, sonst aus dem Script löschen C:\WINXP\system32\drivers\acpi32.sys C:\WINXP\system32\Drivers\ati64si.sys C:\WINXP\system32\gsf83iujid.dll Folders to delete: C:\Dokumente und Einstellungen\Master Chief <-wenn erkannt, sonst aus dem Script löschen 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Run: [Master Chief] C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe /i Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Chris Ps.: [Achtung] Das Backupfile von "C:\avenger\backup.zip" wie folgt hochladen: http://www.file-upload.net/, hochladen und den Link als "PrivateMail" an "john.doe"...
__________________ Geändert von Chris4You (23.06.2009 um 16:23 Uhr) |
![]() | #3 |
![]() ![]() | ![]() Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! Hallo und danke für die schnelle und gute Hilfe,
__________________Ich war ein wenig Verdutzt als ich wie beschrieben alles eingestellt und gesucht habe, weil nur die MasterChief.exe zu finden wahr, die habe ich prüfen lassen bei VirusTotal, habe die Log auf dem Desktop gespeichert, und dann denn den Avenger laufen lassen mit dem Text da, und dann war ich noch viel verdutzter als ich bemerkt habe beim nächsten Bootvorgang das mein ganzer Desktop resetet wurde, das heisst alle Logs sind jetzt weg... Die MasterChief.exe auch, alles, was ja für mich nicht schlimm ist, da Avast jetzt keinen Virus mehr meldet, aber jetzt kann ich euch nichts mer Posten.... Entschuldigt bitte ich habe das nicht gewusst mit dem Desktop, jetzt weiss ich auch was ihr meintet mit alles vorher Speichern.... Sorry wirklich keine Ahnung gehabt... Nur der Avanger Report ist noch geblieben, hier ist er: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "ati64si" deleted successfully. Driver "acpi32" deleted successfully. Error: file "C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe" not found! Deletion of file "C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINXP\system32\drivers\acpi32.sys" not found! Deletion of file "C:\WINXP\system32\drivers\acpi32.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINXP\system32\Drivers\ati64si.sys" not found! Deletion of file "C:\WINXP\system32\Drivers\ati64si.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINXP\system32\gsf83iujid.dll" not found! Deletion of file "C:\WINXP\system32\gsf83iujid.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Folder "C:\Dokumente und Einstellungen\Master Chief" deleted successfully. Completed script processing. ******************* Finished! Terminate. Und nun habe ich HJT laufen lassen, doch der beschriebene Eintrag von euch zum fixxen ist nicht drinn, hir ist der Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:31:11, on 23.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINXP\system32\spoolsv.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\nvsvc32.exe C:\WINXP\System32\TUProgSt.exe C:\WINXP\system32\RunDll32.exe C:\Programme\Trust\250S Series\lwbwheel.exe C:\WINXP\system32\RunDLL32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: (no name) - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - (no file) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\250S Series\lwbwheel.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe -- End of file - 4761 bytes Soll ich jetzt noch die beschriebenen anderen Prozesse machen oder ist das nicht mehr Nötig??? MFG Danjo187 |
![]() | #4 |
![]() ![]() ![]() ![]() ![]() | ![]() Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! Hi, ja bitter zur Sicherheit alles abarbeiten! chris
__________________ ![]() ![]() Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ![]() |
![]() | #5 |
![]() ![]() | ![]() Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! Hi nochmal, Hier ist wie gefordert der Combofix bericht: ComboFix 09-06-22.0E - Master Chief 23.06.2009 22:07.1 - NTFSx86 ausgeführt von:: c:\dokumente und einstellungen\Master Chief\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-3221008685-6647482924-439016957-1576 C:\cleanup.exe c:\recycler\S-1-5-21-3221008685-6647482924-439016957-1576\Desktop.ini . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FIPS32CUP -------\Legacy_I386SI -------\Legacy_KSI32SK -------\Legacy_NETSIK -------\Legacy_NICSK32 -------\Legacy_SECURENTM -------\Legacy_SYSTEMNTMI -------\Legacy_WS2_32SIK -------\Service_fips32cup -------\Service_i386si -------\Service_ksi32sk -------\Service_netsik -------\Service_nicsk32 -------\Service_securentm -------\Service_systemntmi -------\Service_ws2_32sik ((((((((((((((((((((((( Dateien erstellt von 2009-05-23 bis 2009-06-23 )))))))))))))))))))))))))))))) . 2009-06-23 15:14 . 2009-06-23 15:14 -------- d-----w- c:\dokumente und einstellungen\Master Chief\Anwendungsdaten\DivX 2009-06-23 14:47 . 2009-06-23 14:49 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-06-23 14:42 . 2009-06-23 14:42 -------- d-----w- c:\programme\CCleaner 2009-06-23 14:41 . 2009-06-23 14:41 -------- d-----w- c:\programme\VideoLAN 2009-06-23 14:39 . 2009-06-23 15:00 -------- d-----w- c:\programme\Evil Player 2009-06-23 13:37 . 2009-06-23 13:37 -------- d-----w- c:\dokumente und einstellungen\Master Chief\Lokale Einstellungen\Anwendungsdaten\Mozilla 2009-06-23 13:30 . 2009-06-23 13:30 574 ----a-w- C:\cleanup.bat 2009-06-23 13:30 . 2009-06-23 13:30 135168 ----a-w- C:\zip.exe 2009-06-23 12:25 . 2009-06-23 12:25 -------- d-----w- c:\programme\MirandaFusion 2009-06-23 12:00 . 2009-06-23 12:00 -------- d-----w- c:\programme\Trend Micro 2009-06-23 11:16 . 2009-06-17 06:57 38160 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys 2009-06-23 11:16 . 2009-06-23 11:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-06-23 11:16 . 2009-06-23 11:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-23 11:16 . 2009-06-17 06:57 19096 ----a-w- c:\winxp\system32\drivers\mbam.sys 2009-06-23 08:53 . 2009-06-23 14:43 604416 ----a-w- c:\winxp\system32\TUProgSt.exe 2009-06-23 08:53 . 2009-04-27 09:51 28928 ----a-w- c:\winxp\system32\uxtuneup.dll 2009-06-23 08:53 . 2009-06-23 14:43 361216 ----a-w- c:\winxp\system32\TuneUpDefragService.exe 2009-06-23 08:52 . 2009-06-23 08:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-06-23 08:52 . 2009-06-23 14:43 -------- d-----w- c:\programme\TuneUp Utilities 2009 2009-06-23 08:44 . 2009-06-23 08:44 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-06-22 07:29 . 2009-06-22 07:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ACD Systems 2009-06-22 07:29 . 2009-06-22 07:29 -------- d-----w- c:\programme\Gemeinsame Dateien\ACD Systems 2009-06-22 07:29 . 2009-06-22 07:29 -------- d-----w- c:\programme\ACD Systems 2009-06-22 07:17 . 2009-06-22 07:17 -------- d-----w- c:\programme\QIP Infium 2009-06-22 06:16 . 2009-06-23 14:20 -------- d-----w- c:\programme\Gemeinsame Dateien\GTK 2009-06-21 09:40 . 2009-06-21 09:40 56 ---ha-w- c:\winxp\system32\ezsidmv.dat 2009-06-21 09:38 . 2009-06-21 09:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-06-21 09:38 . 2009-06-21 09:38 -------- d-----r- c:\programme\Skype 2009-06-21 09:37 . 2009-06-21 09:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-06-21 07:16 . 2009-06-21 07:17 -------- d-----w- c:\programme\Teamspeak2_RC2 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-23 17:42 . 2009-06-20 19:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-06-23 13:32 . 2009-06-23 13:32 -------- d-----w- c:\dokumente und einstellungen\Master Chief\Anwendungsdaten\TuneUp Software 2009-06-20 19:18 . 2009-06-20 19:18 0 ----a-w- c:\winxp\nsreg.dat 2009-06-20 19:09 . 2009-06-20 19:09 -------- d-----w- c:\programme\DivX 2009-06-20 19:09 . 2009-06-20 19:09 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-06-20 19:07 . 2009-06-20 19:07 -------- d-----w- c:\programme\Alwil Software 2009-06-20 19:06 . 2009-06-20 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2009-06-20 19:03 . 2009-06-20 19:03 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-06-20 19:02 . 2008-04-14 09:00 45672 ----a-w- c:\winxp\system32\perfc007.dat 2009-06-20 19:02 . 2008-04-14 09:00 309810 ----a-w- c:\winxp\system32\perfh007.dat 2009-06-20 18:59 . 2009-06-20 18:59 -------- d-----w- c:\programme\Trust 2009-06-20 18:55 . 2009-06-20 18:55 -------- d-----w- c:\programme\C-Media 3D Audio 2009-06-20 18:31 . 2009-06-20 18:31 -------- d-----w- c:\programme\microsoft frontpage 2009-06-20 18:28 . 2009-06-20 18:28 86315 ----a-w- c:\winxp\pchealth\helpctr\OfflineCache\index.dat 2009-06-20 18:27 . 2009-06-20 18:27 -------- d-----w- c:\programme\Online-Dienste 2009-06-20 18:26 . 2009-06-20 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste 2009-06-20 18:23 . 2009-06-20 18:23 21740 ----a-w- c:\winxp\system32\emptyregdb.dat 2009-06-20 18:22 . 2009-06-20 18:22 -------- d-----w- c:\programme\Windows Media Connect 2 2009-05-01 21:03 . 2009-06-20 19:09 9464 ------w- c:\winxp\system32\drivers\cdralw2k.sys 2009-05-01 21:03 . 2009-06-20 19:09 9336 ------w- c:\winxp\system32\drivers\cdr4_xp.sys 2009-05-01 21:03 . 2009-06-20 19:09 43528 ------w- c:\winxp\system32\drivers\PxHelp20.sys 2009-05-01 21:03 . 2009-06-20 19: ------w- c:\winxp\system32\pxafs.dll 2009-05-01 21:03 . 2009-06-20 19: ------w- c:\winxp\system32\pxcpyi64.exe 2009-05-01 21:03 . 2009-06-20 19: ------w- c:\winxp\system32\pxinsi64.exe 2009-05-01 21:02 . 2009-05-01 21:02 ----a-w- c:\winxp\system32\dpl100.dll 2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx0c.dll 2009-05-01 21:02 . 2009-05-01 21:02 ----a-w- c:\winxp\system32\divx_xx07.dll 2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx0a.dll 2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx16.dll 2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx11.dll 2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\DivX.dll . ------- Sigcheck ------- [-] 2008-12-10 13:31 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360] "ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2009-05-27 1573104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LWBMOUSE"="c:\programme\Trust\250S Series\lwbwheel.exe" [2001-04-20 429568] "NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2006-11-17 7700480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "nwiz"="nwiz.exe" - c:\winxp\system32\nwiz.exe [2006-11-17 1622016] "NvMediaCenter"="NvMCTray.dll" - c:\winxp\system32\nvmctray.dll [2006-11-17 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "_nltide_2"="shell32" [X] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINXP\\system32\\sessmgr.exe"= "c:\\Programme\\MirandaFusion\\miranda32.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R1 aswSP;avast! Self Protection;c:\winxp\system32\drivers\aswSP.sys [20.06.2009 23:38 114768] R2 aswFsBlk;aswFsBlk;c:\winxp\system32\drivers\aswFsBlk.sys [20.06.2009 23:38 20560] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\winxp\system32\TUProgSt.exe [23.06.2009 13:23 604416] S2 amd64si;amd64si;\??\c:\winxp\system32\drivers\amd64si.sys --> c:\winxp\system32\drivers\amd64si.sys [?] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-06-23 c:\winxp\Tasks\1-Click Maintenance.job - c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 11:07] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net Rootkit scan 2009-06-23 22:12 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3308) c:\programme\Trust\250S Series\MOUSEDLL.DLL c:\winxp\system32\wpdshserviceobj.dll c:\winxp\system32\portabledevicetypes.dll c:\winxp\system32\portabledeviceapi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Alwil Software\Avast4\aswUpdSv.exe c:\programme\Alwil Software\Avast4\ashServ.exe c:\winxp\system32\nvsvc32.exe c:\programme\Alwil Software\Avast4\ashMaiSv.exe c:\programme\Alwil Software\Avast4\ashWebSv.exe c:\winxp\system32\wscntfy.exe c:\winxp\system32\rundll32.exe c:\winxp\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-06-23 22:14 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-06-23 17:44 Vor Suchlauf: 7 Verzeichnis(se), 12.125.560.832 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 13.641.318.400 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 180 Ich hoffe das war jetzt alles und mein System bleibt erstmal frei von dem Müll. Könnt ihr mir bitte noch sagen ob es sich lohnt SpyBot drauf zu haben oder nicht, und was man noch am besten haben sollte, um sowas in Zukunft zu vermeiden? Naja und ob ihr wisst woher das jetzt gekommen ist wäre auch Interessant für mich, da ich die letzten Tage nur WoW gezockt habe... Für Antworten wäre ich sehr Dankbar, und ich habe nachträglich im Bericht, über Sigcheck die 10 Zeilen Editiert, da stand meine Skype Nummer irgendwie drin, wie auch immer ich habe sie einfach gelöscht..... Achja und danke für die Erstklassige Hilfe, Prima Arbeit von euch, bin zufrieden ![]() Oh, und das Backup was ich hochladen sollte, finde ich nicht, zwar den Ordner, aber nicht die Zip Datei in dem Ordner, Sorry.... Also ich wünsche allen noch n schönen Abend, und noch gutes Gelingen MFG Danjo187 Geändert von Danjo187 (23.06.2009 um 22:01 Uhr) |
![]() | #6 |
![]() ![]() ![]() ![]() ![]() | ![]() Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! Hi, bitte noch folgende Files online (virustotal.com) prüfen und das gesamte Ergebnis jeweils mit Filename posten: Code:
ATTFilter c:\winxp\system32\drivers\amd64si.sys <-Der ist noch aktiv...(zumindest steht er noch als Dienst in der Reg.) c:\winxp\system32\pxafs.dll c:\winxp\system32\pxcpyi64.exe c:\winxp\system32\pxinsi64.exe
__________________ --> Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! |
![]() | #7 |
![]() ![]() | ![]() Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! Cool, ja dann nochmal besten dank Chris, bist ne echt gute hilfe gewesen... Von mir aus kann der Thread dann geschlossen werden, und wenn was ist melde ich mich bei euch... ![]() Ciao |
![]() |
Themen zu Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner! |
1.exe, 5 minuten, antivirus, avast, avast!, bho, booten, browser, content.ie5, controlset002, einstellungen, entfernen, firefox, flash player, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, log datei, malware.trace, mozilla, nicht sicher, port, problem, registrierungsschlüssel, rootkit.agent, rundll, scan, skype.exe, software, system, taskman, trojan.crypt, trojan.zlob.h, trojaner, trojaner board, tuneup.defrag, windows xp |