Googleergebnisse auf windowsclick umgeleitet

wgh52 · 22.08.2009, 17:43

Hallo Trojanerjäger,

ich habe exakt das gleiche Problem wie JayJayS hier hatte:
http://www.trojaner-board.de/70996-s...tml#post458505

Ein netter Mitforist hat mir geraten einen neuen Thread aufzumachen.

Mein Problem besteht seit heute vormittag, wobei Spybot mich nicht gewarnt hat, ich aber Systeminstabilitäten verzeichne. Und es scheinen Dateien beschädigt zu sein, denn ich werde aufgefordert CHKDSK laufen zu lassen, das funktioniert aber auch nicht so richtig. Mein altes Outlook macht auch Mucken. Erstmal habe ich alle meine Daten in Eigene Dateien auf eine andere (USB-)Platte gerettet, diese dann abgetrennt.

Dann stiess ich auf obigen Thread und las ihn und habe bis gezeigten Schritte von Anfang bis Post 14 gemacht und entsprechende GMER.txt und Avenger.txt Dateien aufgehoben, die wohl Zeigen können wo wir stehen.

Jetzt traue mich wegen der Warnungen zu Combofix ohne Anleitung nicht weiter. Also bitte ich um Hilfe!

Wie gehe ich vor?

Vielen Dank für Eure Hilfe!!

Gruss,
Winfried

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-08-22 17:02:17
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

Code 862DFC10 ZwEnumerateKey
Code 862DFDF8 ZwFlushInstructionCache
Code 862DAAF6 IofCallDriver
Code 862DA1DE IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 862DAAFB
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 862DA1E3
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 862DFDFC
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF0 5 Bytes JMP 862DFC14

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 412D1F8F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 412D1F10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 412D1F54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 412D1E9C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 412D1ED6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 412D1FCA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 411817EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 412D218C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 100129A0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!connect 71A14A07 5 Bytes JMP 100127E0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!send 71A14C27 5 Bytes JMP 100127C0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100127A0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [324] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1044] 0x02D40000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1136] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1240] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1344] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1452] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2268] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [3928] 0x10000000

---- EOF - GMER 1.0.14 ----

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "UACd.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\UACgmhjovph.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\UACgmhjovph.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACneiknnkb.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACneiknnkb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACydsdcmrm.dat" not found!
Deletion of file "C:\WINDOWS\system32\UACydsdcmrm.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACegeifhxy.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACegeifhxy.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACypgrfjml.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACypgrfjml.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACvhsbyagl.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACvhsbyagl.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UAChlmegkqc.db" not found!
Deletion of file "C:\WINDOWS\system32\UAChlmegkqc.db" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACdlstridw.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACdlstridw.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACmehptlax.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACmehptlax.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACdphargvm.log" not found!
Deletion of file "C:\WINDOWS\system32\UACdphargvm.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACtxybmgve.log" not found!
Deletion of file "C:\WINDOWS\system32\UACtxybmgve.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACbnbhjqoi.log" not found!
Deletion of file "C:\WINDOWS\system32\UACbnbhjqoi.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-08-22 17:14:43
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

Code 86370608 ZwEnumerateKey
Code 862CC190 ZwFlushInstructionCache
Code 863EDE56 IofCallDriver
Code 863EC4C6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 863EDE5B
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 863EC4CB
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 862CC194
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF0 5 Bytes JMP 8637060C
? system32\drivers\njdxtta.sys Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\UACwecfgwyvvw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1048] 0x02D80000

---- EOF - GMER 1.0.14 ----

john.doe · 22.08.2009, 18:04

Hallo und

Du hast die alte Gmerversion benutzt. Deinstalliere die zuerst:

Start => Ausführen => c:\windows\gmer_uninstall.cmd => OK

Lade dir das neue Gmer, poste das Log und benutze nie wieder Skripte, die für genau einen User bestimmt sind.

ciao, andreas

wgh52 · 22.08.2009, 19:10

Danke für das Willkommen! Da keimt Hoffnung auf!

Also, ich habe das alte GMER nach Anleitung deinstalliert, das neue vom Link geladen, dann laufen lassen und verlies den PC für ein paar Minuten, weil der vollständige Scan (nach dem ich gefragt wurde) eine ganze Weile zu brauchen schien. Der Scan lieferte auch rot markierte Ergebnisse, ich wollte den PC in Ruhe lassen bis der Scan fertig ist....

Ich weiss nicht was passiert ist, aber als ich zurückkam, führte der PC CHKDSK aus und war bei Schritt 4 von 5, hatte mehrere "vewaiste Dateien" wiederhergestellt usw. Momentan schreibe ich von einem anderen PC aus, denn CHKDSK läuft immernoch und untersucht Dateien...

Ich hoffe nur dass das OK ist und nicht schlecht... Verwirrung...

Gruss,
Winfried

john.doe · 22.08.2009, 19:42

Was du da hast ist die Pest. Ich möchte dir nichts vormachen. Ich empfehle dir auf jeden Fall die schnelle und sichere Alternative => http://www.trojaner-board.de/51262-a...sicherung.html.

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix. Vorher solltest du jedoch deine Daten auf externe Medien oder andere Partitionen sichern.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

wgh52 · 22.08.2009, 20:40

Danke für die "Pest". Na ja, schaun wir mal was geht...

Nachdem CHKDSK fertig war und das System gebootet, fand Avira Antivir

TR/Alureon.BF.2
und
TR/Patched.HB.3

-> Zugriff jeweils verweigert

Ich habe CCleaner nach Anleitung laufen lassen und währenddessen tauchten beide Trojaner wieder auf, ich habe "löschen" angegeben.

Dann habe ich Cofi.exe nach Anleitung laufen lassen. Antivir konnte ich leider nicht ganz ausschalten nur AV-Guard abschalten... Cofi lief wohl normal, Restorepoint wurde angelegt, und die Scans liefen durch.

Beim Anlegen des Logs meldete sich Avira wieder mit den o.g. TRs ich habe wieder "löschen" gewählt. Während des laufes ist ein anderes hintergrundbild geladen worden (dieser Felsbogen); ist das OK?

Inhalt der Log.txt kommt gleich...

Gruss,
Winfried

john.doe · 22.08.2009, 20:45

Zitat:

ist das OK?

Ja, ComboFix stellt viele Einstellungen, die von Schädlingen geändert wurden, wieder auf Windows-Standard zurück. Besonders gründlich ändert er alle Verbindungseinstellungen, deshalb kann es vorkommen, das du nach ComboFix deine Netzwerkeinstellungen reparieren musst.

ciao, andreas

wgh52 · 22.08.2009, 20:46

Hier der gerade erstelle CombiFix Log:

wgh52 · 22.08.2009, 20:50

Hier der gerade erstelle CombiFix Log:

Zitat:

ComboFix 09-08-21.02 - Winfried 22.08.2009 21:19.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.591 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Winfried\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\16793545.msp
c:\windows\system32\AdCache
c:\windows\system32\drivers\FSC__PI__LIFEBOOK E8110__FUJITSU_FJNB1AF__Default System BIOS_FSC - 1190000_Version 1.19 .MRK
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\uacinit.dll
c:\windows\Sysvxd.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_UACd.sys
-------\Service_UACd.sys

((((((((((((((((((((((( Dateien erstellt von 2009-07-22 bis 2009-08-22 ))))))))))))))))))))))))))))))
.

2009-08-22 15:09 . 2009-08-22 15:09 0 ----a-w- C:\backup.reg
2009-08-22 14:58 . 2009-08-22 17:40 -------- d-----w- c:\programme\Tralala.exe
2009-08-22 06:54 . 2009-08-22 06:54 -------- d-----w- c:\windows\system32\XPSViewer
2009-08-22 06:54 . 2009-08-22 06:54 -------- d-----w- c:\programme\MSBuild
2009-08-22 06:54 . 2009-08-22 06:54 -------- d-----w- c:\programme\Reference Assemblies
2009-08-22 06:53 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-22 06:53 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-08-22 06:53 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-22 06:53 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-08-22 06:53 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-22 06:53 . 2009-08-22 06:54 -------- d-----w- C:\f384f7bd828aaf68cb0aac28
2009-08-22 06:53 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-08-22 06:53 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
2009-08-14 12:49 . 2009-08-14 12:49 269 ----a-w- c:\windows\system32\UACnigwidqjbi.dat
2009-08-14 12:49 . 2009-08-22 11:53 74240 ----a-w- c:\windows\system32\UACsvulrtvogr.dll
2009-08-14 12:48 . 2009-08-14 12:48 23552 ----a-w- c:\windows\system32\UACkolqaboulr.dll
2009-08-14 12:48 . 2009-08-14 12:48 49664 ----a-w- c:\windows\system32\drivers\UACwvtftenqtj.sys
2009-08-14 08:26 . 2009-08-14 08:26 152576 ----a-w- c:\dokumente und einstellungen\Winfried\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-13 04:50 . 2009-07-10 13:26 1315328 ------w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 ------w- c:\windows\system32\dllcache\mswebdvd.dll
2009-08-04 11:25 . 2009-08-04 11:28 -------- d-----w- c:\dokumente und einstellungen\Winfried\Anwendungsdaten\GetRightToGo
2009-08-04 11:25 . 2009-08-04 11:29 -------- d-----w- c:\programme\FLV Joiner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 13:34 . 2007-04-22 18:23 -------- d-----w- c:\programme\SuperAntispyware
2009-08-22 09:01 . 2007-03-22 17:32 42280 ----a-w- c:\dokumente und einstellungen\Winfried\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-22 07:03 . 2007-03-25 20:15 -------- d-----w- c:\programme\FlashGet
2009-08-22 06:57 . 2006-01-30 19:41 84722 ----a-w- c:\windows\system32\perfc007.dat
2009-08-22 06:57 . 2006-01-30 19:41 459396 ----a-w- c:\windows\system32\perfh007.dat
2009-08-14 08:27 . 2007-03-22 17:16 -------- d-----w- c:\programme\Java
2009-08-05 15:18 . 2009-05-25 13:28 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2006-01-30 19:40 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2009-01-03 10:13 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:01 . 2006-01-30 19:40 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-01-30 19:41 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-09 22:19 . 2007-04-20 21:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-05 08:16 . 2009-07-05 08:07 -------- d-----w- c:\programme\MRUClear
2009-06-29 15:55 . 2006-01-30 19:41 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2006-01-30 19:40 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2006-01-30 19:40 17408 ----a-w- c:\windows\system32\corpol.dll
2009-06-16 14:36 . 2006-01-30 19:41 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2006-01-30 19:40 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2006-01-30 19:41 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-01-30 19:41 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-01-30 19:40 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-01-30 19:54 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-01-30 19:41 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-01-30 19:41 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-25 13:32 . 2009-05-25 13:28 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2007-04-30 09:50 . 2007-04-07 18:13 43920160 --sha-w- c:\windows\system32\drivers\fidbox.dat
2007-04-30 09:44 . 2007-04-07 18:13 423712 --sha-w- c:\windows\system32\drivers\fidbox2.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FjWirSel"="c:\addon\Fujitsu\WirelessSelector\FJWSLauncher.exe" [2006-06-29 102400]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 761946]
"SSUtility"="c:\addon\Fujitsu\SSUtility\FJSSDMN.exe" [2006-07-22 233472]
"PSUtility"="c:\addon\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 118784]
"LoadFUJ02E3"="c:\programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-04-20 73728]
"IndicatorUtility"="c:\addon\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-08-09 81920]
"LoadFujitsuQuickTouch"="c:\addon\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 353792]
"LoadBtnHnd"="c:\programme\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 61440]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"M-Audio Taskbar Icon"="c:\windows\System32\M-AudioTaskBarIcon.exe" [2008-11-07 358400]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-03-07 16010240]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2006-06-29 89541]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SuperAntispyware\SASSEH.DLL" [2008-09-18 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-09-18 22:17 352256 ----a-w- c:\programme\SuperAntispyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FJWSEL]
2006-06-29 12:45 32768 ----a-w- c:\windows\system32\FJWSWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
2006-06-02 14:04 32768 ----a-w- c:\windows\system32\PSUWNP.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP Drucker und Apps\\Digital Imaging\\bin\\hpoews01.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Webserver\\xampp\\apache\\bin\\apache.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=

R0 FJGSDisk;G-Sensor Application Filter Driver;c:\windows\system32\drivers\FJGSDisk.sys [22.03.2007 19:15 7168]
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [08.07.2005 12:06 34176]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [23.09.2005 05:48 28544]
R1 crlscsi;crlscsi;c:\windows\system32\drivers\crlscsi.sys [15.05.2008 17:32 6144]
R1 SASDIFSV;SASDIFSV;c:\programme\SuperAntispyware\SASDIFSV.SYS [10.10.2006 12:53 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SuperAntispyware\SASKUTIL.SYS [27.02.2007 11:39 55024]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.05.2009 15:28 108289]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [06.03.2007 14:24 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [06.03.2007 14:24 4864]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [16.04.2007 13:56 20160]
S3 MADFUTS;M-Audio Transit DFU Driver;c:\windows\system32\drivers\madfuts.sys [12.04.2009 18:12 42504]
S3 MAUSBTZ;Service for M-Audio Transit (WDM);c:\windows\system32\drivers\mausbts.sys [12.04.2009 18:12 146952]
S3 NRKCTL32;NRKCTL32;\??\e:\programme\WCPUID\NRKCTL32.SYS --> e:\programme\WCPUID\NRKCTL32.SYS [?]
S3 pdcv2;pdcv2;c:\windows\system32\drivers\pdcv2.sys [04.09.2008 16:55 16128]
S3 SASENUM;SASENUM;c:\programme\SuperAntispyware\SASENUM.SYS [16.02.2006 16:51 4096]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Alles mit FlashGet laden - c:\programme\FlashGet\fix\FlashGet v1.5_final_cz_key\fgfix\jc_all.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Mit FlashGet laden - c:\programme\FlashGet\fix\FlashGet v1.5_final_cz_key\fgfix\jc_link.htm
Trusted Zone: myfidelio.net\www
Trusted Zone: synxis.com\reservations
DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} - hxxp://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB
DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} - hxxps://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 21:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\OptionalComponents\SwFlash]
@DACL=(02 0000)
@SACL=
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="D8310B8536EA469A98DAA7FE1FE48AAEC288727D524B429CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC 9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933BA7FD869164D6794C038D530D6EB3452A9C6AECB7A5D14076574E66DCBF9687C0B87BFCFED01B20AF5F883B0665FFBDCD497B5B639 27A39326D04D36A650AC66700FA17BE378F60D075E62D1EFF7FE7860F6266B6EC9315D807AFD0C143CC809699B280DAAF4498C2605C2AB1CCAFCB3DD179EAD926504CD7EF310CAA2B17CC7 F0E0E2F490A9B3125E684E639A66E65A086101F4D60416952E35BEE025D9E9D6067F86B7A9FA9FF5C0794FB15F0C128C9FB353D0B1E7C73A9FA7E752B19419BF2A126A6DCC06DFE75F1DB9 E32136B8BC6A60BFE35B85DA92692B8F37A1F076E165230A439498A66BD2AD9F5CDE0FF7B4B02E1364D105F44E26145B3814B5D0EDC03307F860B30F55B6F6BC8F56F5D00E3E56C11BD4C1 226BF1269717E9DCD9E8CCB62361548F93D2AB3AEA878D7F293AE4865E68E94ECE3F6F9F3127CA92ABAE1B154766551694E0D2AD2EDFCAF14A7BF7E1A53D5B6FCDF3442FBD4D9FB8406B42 AA8084916657D2D5F729CA9A4A626B51FD7320359BD506197572861766F6215CC7FB4B76D104CF60B8258FCE3601744DE3CA2CC88082C49B8BAA62246293268AAF105F36DF27D2A0FE1083 F89A1DD64C93D08D2BFDCF56FE7BE404FB2D3C23EB1A34F7C94AB029CB517A17F38F0FA6B37DD089B6A9A233F7C5442297757F96AA358263EB807577992798CA5ADD95CBEA083773074B3F 28405C8F87B82349D3EE9E3D001BA42D33446FC3B20C08CF81DE0E17B77D5FD1D495A5B194DD4EEEFDE76BC6C21A0EF4A78B09F8792EC046D6825C24D34096E7B0B87DB93CCEC42790C823 28B472C5CCF3B44BD9DBA8ED60B146353BD8B7D57202F033DA0695098DD748C28C70EB0B9A89067DA9AB272D6BC727CED8EF1136CA6607096B0D7F4F22F720B9C32719CF2431CB5DD1CC9A 4D98251F549FD0BC822ACEC836677F2082C6640F6CC19ECABB1883559B60BA36D1FE2BAEE1544B713C2E7F86E6EB234DBD45E7D9B29E2D98A805F077DC8480F272968C5C8BE0C02818D992 18B8BC4CA0D4C520C3D7963EDD25E03C87BB14408C99BD50AF5453A79D7E93F256BE4268784DDA7F1B9C0A55BA74037B62C3883083E7B55335395E0A510B25E29E018575F6DE754AAB357A 84900CA898E7767E989A31A245FC2858870B103F76D2F9350802F86F1CC84913F30816F1D37C493556DBFB0F2A9D80B8D0D290F017D818A5C544BB8261C9749C600B72E1BF06A4145B1385 6758AE9AA0ACF5C5320099BFCC6CABFD4E5C8948899AC93363437165232D4F3A7F7DCBC0CEF5051CDE4403C646C8EAC8562265476B05B79F4119ADDC0E65E5408918"
"OODEFRAG11.00.00.01WORKSTATION"="DD7A7603AC138FCA8B99489C6D887508C654850691257C6CFA2600013EC048078CB656ED8BECA3064DE649DF442D513510B395053CFA7B473A68 E3D5B0A7A1F47498471C3C7BA3E5E2F749C7D532D8736F780E13FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6 A0AC4980AC79338EDD5E5BE2F6E667A6A0AC4980AC7933A2D97226D213B555DF2319E9C0005253AA87C4DEF52585F5114E36FE43097AAD42F1737576CE9BBA72EA472702BE35CC5BB05E6E 466711A3527B66A86C8A290AE6E2CA92CF64E21218417573F9B55D2F95EEAA99AD28D19711C8EC2B7EFB017CA30E73BB7E0DB2093F7FB13EF69BC13EAEDFEA3E3276BD90ABBBDB7059E297 DEFEFBF2085AE161B9B5548F6CE74019F15F7AE1AEFCF48D04E3AB47577E54C646E48BCB84DF8F89F1B143A7D86382DF75C58358B05DD9BD1AE0C74A3316FCADF6246D0C322FD48AB5C9A2 144FA058D5A9E2981C7DC3ED11302C8E814B699AAC69F029C0830B08083A7C1E7690FECB809F9CA8FDC3C6900CD535D48FDA6903EBCC6296FB605B10E9E929B271527C79A6A0BBF7D1A6A0 B5F6D0CDC41A91A71B538173E4D525ADE959E41335AC3DC093D4A6EE9D703A2EE0DE972D5BC810DADF939E0395E8A2AFA5477CE44B54ED135EDA63C586B789722D96586CE74C6FDE5F9D6B 567ED21C376766372AEF96F5E033CDB8B671061392C9B2F38B8FD33A323CA7E614C837493BE6AD4F52F129DA3AFE053E9B72C04759F70BFDEACB966FF730ABC1C672BBD6577157343373C2 1555C49CC03171510FB38FBEBDD2694D02768467E2DE4D0CE44CE7E308046C9E120A18F4BE18A9A4C034F82E33EB0836D8981A5E62307F55087DBC16A1E2A6FB32D5A2B36B572C2A2D90B2 7D0B461E12CEEDE1558FEF824C46F2F7F48BCDC19F4A59A23EAFD75BD715225016ACD3F2A7B32A65D6E9BAA4A69DD8B84C032A2FD124D968422665EFA4AFE777A62F6AA3C04AA13E31A790 061EFC7E2CAA7BC0B7DBFCC059B09DB3F40F2682E11F6045A1A9C9D01DF732D41EF249D798E19CBE741005196EBB9A574B1616B85EB4BF80B0345BD7447E28CD37E6597DD50C3FB2D4C0E0 9535DCD44925BF91744FE081236B37A0F68BE0D9A86CC0F92BCF02F1131C44AB0A4FD037670B949FC2AA600F0F3C0CAB17DDFCCC72B24AEB4087E3F8B660F870EF7216E1F25A2039D77A35 8390658F82C13B74BBA04ED36240109449598BBCB063E6F02712C074CC865D2431D57BA4A127B52E120AD73084D4133B0D9DDD7462270AEB114C41A43DC907B59CF0E73077997654F3E9BE B36F484BC2A3076906ED9ECD4F5890B6CADF413B37FCD9659B678F36D3B45E443AB38B895BA0FC165E2FD1B6AFEDB04A82FDACD43A3FE80754C7A4465FDF6DFE2354"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\programme\SuperAntispyware\SASWINLO.DLL
c:\windows\system32\FJWSWNP.dll
c:\windows\system32\PSUWNP.dll

- - - - - - - > 'explorer.exe'(3232)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\BRSS01A.EXE
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\o2flash.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-22 21:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-22 19:29

Vor Suchlauf: 14 Verzeichnis(se), 19.772.182.528 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 19.686.428.672 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

215 --- E O F --- 2009-08-22 06:58

So, mal sehen was wir jetzt machen können. Danke für die schnellen Antworten!!! Ich bin begeistert vor Deinem Engagement!

Gruss,
Winfried

john.doe · 22.08.2009, 21:11

So wie es aussieht, hast du dich am 2009-08-14 12:49 Uhr infiziert. Weißt du noch, was du gemacht hast? Irgendetwas geladen und installiert? Oder nur gesurft?

1.) Deinstalliere (falls möglich):

Spybot
Google Update
Google Update Helper

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

RegLock::
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\OptionalComponents\SwFlash]

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxpers"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-

File::
C:\backup.reg
c:\programme\Tralala.exe
c:\windows\system32\UACnigwidqjbi.dat
c:\windows\system32\UACsvulrtvogr.dll
c:\windows\system32\UACkolqaboulr.dll
c:\windows\system32\drivers\UACwvtftenqtj.sys
c:\dokumente und einstellungen\Winfried\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

Rootkit::
c:\windows\system32\UACnigwidqjbi.dat
c:\windows\system32\UACsvulrtvogr.dll
c:\windows\system32\UACkolqaboulr.dll
c:\windows\system32\drivers\UACwvtftenqtj.sys

DirLook::
c:\programme\FlashGet\fix
C:\f384f7bd828aaf68cb0aac28

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Poste beide Logs von http://www.trojaner-board.de/74910-a...tion-tool.html

4.) Poste das Log von GMER, der sollte jetzt ohne Abstürze laufen.

ciao, andreas

wgh52 · 22.08.2009, 21:54

Ich glaube zu der Zeit habe ich nichts geladen und installiert. Bin sicherlich surfend unterwegs gewesen.

Spybot - deinstalliert
Google Update - finde kein uninstall...
Google Update Helper - finde kein uninstall...

Muss jetzt rebooten (wegen Spybot deinstallation), dann geht's weiter im Text.

Gruss,
Winfried

wgh52 · 22.08.2009, 23:16

Hallo Andreas!

So, ich war fleissig und habe alle Logs, aber sie scheinen zu gross für's posten im Beitrag, darum als Dateien, siehe unten angehängt.

Hoffe das ist OK...

Nochmals Danke, es scheint als wäre Deine Fernsteuerung (wiedermal) erfolgreich!

Ist noch etwas zu tun??
Wahrscheinlich "aufräumen", oder sind wir noch nicht so weit?

Beste Grüsse,
Winfried

john.doe · 22.08.2009, 23:25

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

3.) Aktiviere den Wächter von Avira.

ciao, andreas

wgh52 · 23.08.2009, 10:04

Hallo Andreas,

So ist das, wenn man als alter Mann vor dem Frühstück liest, was er nach dem Frühstück machen soll!

Beim ersten mal hab ich natürlich AntiVir Guard vergessen abzuschalten und prompt wurde 2x TR/Trash.Gen gefunden und Zugriff verweigern gewählt... Dann fiel's mir erst ein,dass ich den Wächter nicht abgeschaltet hatte!

Na ja... Jetzt poste ich die 53 MB Qoobox Datei und schicke die PN, alles Weitere dann später.

Beste Grüsse,
Winfried

wgh52 · 23.08.2009, 11:50

Hallo Andreas,

der heutige Komplettlauf von Avira brachte einige Infektionen zu Tage, die ich reparieren liess. Hier der Report:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 23. August 2009  12:00

Es wird nach 1651917 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NOTEBOOKC2D

Versionsinformationen:
BUILD.DAT      : 9.0.0.407     17961 Bytes  29.07.2009 10:29:00
AVSCAN.EXE     : 9.0.3.7      466689 Bytes  05.08.2009 15:18:57
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 10:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 08:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 10:30:36
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 15:50:01
ANTIVIR2.VDF   : 7.1.5.146   3087360 Bytes  21.08.2009 15:24:15
ANTIVIR3.VDF   : 7.1.5.149      9728 Bytes  21.08.2009 15:24:16
Engineversion  : 8.2.1.3  
AEVDF.DLL      : 8.1.1.1      106868 Bytes  25.05.2009 13:32:02
AESCRIPT.DLL   : 8.1.2.25     459130 Bytes  12.08.2009 15:22:22
AESCN.DLL      : 8.1.2.4      127348 Bytes  23.07.2009 15:18:05
AERDL.DLL      : 8.1.2.4      430452 Bytes  15.07.2009 15:17:52
AEPACK.DLL     : 8.1.3.18     401783 Bytes  28.05.2009 13:29:14
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  18.06.2009 15:13:37
AEHEUR.DLL     : 8.1.0.155   1921400 Bytes  18.08.2009 15:25:30
AEHELP.DLL     : 8.1.6.0      233846 Bytes  18.08.2009 15:25:08
AEGEN.DLL      : 8.1.1.57     356725 Bytes  18.08.2009 15:25:05
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 12:32:40
AECORE.DLL     : 8.1.7.6      184694 Bytes  23.07.2009 15:18:03
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 12:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 09:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 12:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  25.05.2009 13:32:02
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  09.06.2009 13:33:36
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  25.05.2009 13:32:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +JOKE,+PCK,

Beginn des Suchlaufs: Sonntag, 23. August 2009  12:00

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '49462' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FJWSLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'M-AudioTaskBarIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtnHnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FJSSDMN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Programme\FTP FileZilla\FileZilla_2_2_32_setup.exe
  [0] Archivtyp: NSIS
    --> [ProgramFilesDir]/FileZilla/FzGSS.dll
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Qoobox\Qoobox2.rar
  [0] Archivtyp: RAR
    --> Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACwvtftenqtj.sys.vir
      [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    --> Qoobox\Quarantine\C\WINDOWS\system32\UACkolqaboulr.dll.vir
      [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    --> Qoobox\Quarantine\[4]-Submit_2009-08-22_23.36.00.zip
      [1] Archivtyp: ZIP
      --> UACwvtftenqtj.sys
        [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/TDss.AA.1
C:\Qoobox\Quarantine\[4]-Submit_2009-08-22_23.36.00.zip
  [0] Archivtyp: ZIP
    --> UACwvtftenqtj.sys
      [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/TDss.AA.1
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACkolqaboulr.dll.vir
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACwvtftenqtj.sys.vir
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP903\A0071690.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP903\A0071691.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\Qoobox\Qoobox2.rar
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b001d38.qua' verschoben!
C:\Qoobox\Quarantine\[4]-Submit_2009-08-22_23.36.00.zip
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aee1d14.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACkolqaboulr.dll.vir
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ad41d22.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACwvtftenqtj.sys.vir
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bae1be3.qua' verschoben!
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP903\A0071690.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac11d11.qua' verschoben!
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP903\A0071691.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbc030a.qua' verschoben!


Ende des Suchlaufs: Sonntag, 23. August 2009  12:41
Benötigte Zeit: 40:24 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6918 Verzeichnisse wurden überprüft
 363963 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      6 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 363953 Dateien ohne Befall
   7715 Archive wurden durchsucht
      4 Warnungen
      8 Hinweise
  49462 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Gruss,
Winfried

john.doe · 23.08.2009, 12:18

Hallo Winfried,

Falls du auf dem Laufenden wärst, dann wüsstest du, dass Flashget mittlerweile Freeware ist. Sich also für eine uralte Version einen Keygen zu besorgen, dazu gehört schon eine gehörige Portion Unwissenheit.

Da schau:

Zitat:

2004-02-17 16:48 . 2004-02-17 16:48 76546 ----a-w- c:\programme\FlashGet\fix\FlashGet v1.5_final_cz_key\keygen_flashget1.50 tsrh.zip
c:\programme\FlashGet\fix\FlashGet v1.5_final_cz_key\serial.txt

Damit hast du dir bei dem Wettbewerb "Wie versaue ich mir meinen Rechner am Schnellsten" mit dem Beitrag "Ich lade mir einfach gestohlene Software und führe einen Keygen aus" den Hauptgewinn gezogen. Der Preis lautet => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
Andreas

Googleergebnisse auf windowsclick umgeleitet

Plagegeister aller Art und deren Bekämpfung: Googleergebnisse auf windowsclick umgeleitet