Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
autochk.dll, protect.dll und andere, etwas komplizierter

autochk.dll, protect.dll und andere, etwas komplizierter


Plagegeister aller Art und deren Bekämpfung: autochk.dll, protect.dll und andere, etwas komplizierter

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.09.2009, 13:34   #1
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


Moin,

ich habe seit gestern mehere Trojaner drauf die mir etwas kopfschmerzen bereiten.
Angefangen hat es damit das ich bei mozilla auf falsche links verlinkt wurde. Nachdem ich über SUPERAntiSpyware mehere Sachen gefunden habe und diese versucht habe zu löschen waren sie natürlich nach dem neustart noch da, über msconfig habe ich im autostart jene Programme gefunden die vorher nich da waren: autochk, protect und chkdisk, nach manueller suche ist mir der pc jedesmal abgestürzt als er diese dateien geunden hat mit Bluescreen, von wegen wird auf grund eines fehlers heruntergefahrn mit den anmerkungen ich möchte doch bitte meine antivirenprogramme und ähnliches ausmachen falls das problem weiterhin bersteht.
Dann bin ich auf diese seite hier gestoßen, als erstes habe ich versucht mit CCleaner was zu machen, ist mir aber ebenfalls beim beginn des scannvorgangs abgestürzt.
Dann gings weiter mit Malwarebytes.....nach 21 min scannen stürzt auch er mir ab, nachdem er etwa 33 infektionen gefunden hat.
Nur wenn ich den Scannvorgang manuell abbreche stürzte er nicht ab,
hier der LOG:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2809
Windows 5.1.2600 Service Pack 3

16.09.2009 14:15:46
mbam-log-2009-09-16 (14-15-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 19404
Laufzeit: 4 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\reginv.dll (Backdoor.ProRat) -> Delete on reboot.
C:\Documents and Settings\Igoel\protect.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\winkey.dll (Backdoor.ProRat) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5y99ae78-58tt-11dw-be53-y67078979y} (Backdoor.ProRat) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\reginv.dll (Backdoor.ProRat) -> Delete on reboot.
C:\Documents and Settings\Igoel\protect.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\winkey.dll (Backdoor.ProRat) -> Delete on reboot.
C:\WINDOWS\system\sservice.exe (Backdoor.ProRat) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Nach reboot sind die dateinen immer noch da und die er schon vorher gelöscht haben soll, sind auch wieder da.

Dazu muss ich sagen das er mir auch nach einiger Zeit diesen Bluescreen gerne mal anzeigt, nur halt nicht immer.

Wäre sehr dankbar wenn mir jemand helfen könnte. Würde nur ungern win neuinstallieren.


Mfg Igoel

Alt 16.09.2009, 21:01   #2
kira
/// Helfer-Team
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


Hallo und Herzlich Willkommen!

hier wäre "Format C " angesagt...Backdoor & vermutlich Rootkit


versuche mal bitte folgendedes (als Notlösung":

Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Zitat:
Windows ME,XP u. Vista enthält ein Programm zur Systemwiederherstellung ( Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Beim Ausführen der Systemwiederherstellung gehen keine persönlichen Dateien oder Kennwörter verloren. Dokumente, E-Mail-Nachrichten, Browserverlaufsdateien und die eingegebenen Kennwörter werden gespeichert, wenn Sie mithilfe der Systemwiederherstellung einen früheren Zustand wiederherstellen.
Die Systemwiederherstellung schützt Ihre persönlichen Dateien, indem Dateien im Ordner Eigene Dateien nicht wiederhergestellt werden. Darüber hinaus werden keine Dateien mit bekannten Dateinamenerweiterungen, wie DOC oder XLS, wiederhergestellt. Falls Sie nicht sicher sind, ob Ihre persönlichen Dateien bekannte Dateierweiterungen aufweisen, und Sie diese von der Systemwiederherstellung ausschließen möchten, speichern Sie sie im Ordner Eigene Dateien.
Falls ein Programm nach dem ausgewählten Wiederherstellungspunkt installiert wurde, kann das Programm im Rahmen der Wiederherstellung deinstalliert werden. Die mit diesem Programm erstellten Datendateien gehen nicht verloren. Um die Dateien wieder öffnen zu können, müssen Sie jedoch das entsprechende Programm erneut installieren.
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus auch tun - (drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)
Auf jeden Fall positive als auch negative Rückmeldungen erwünscht

gruß
Coverflow
__________________
Alt 17.09.2009, 09:29   #3
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


Moin,

habs mit systemwiederherstellung versucht auch mehrmals, aber jedesmal zeigt er mir nur an, das es nicht geht

habt ihr vvlt noch ne andere idee : (

trotzdem danke : )
__________________
Alt 17.09.2009, 16:27   #4
kira
/// Helfer-Team
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


hi

dann einen Coctail für deinen Rechner:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
  • - also lade Dir Gmer herunter
    - entpacke es auf deinen Desktop
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - Starte gmer.exe<-hier "umbenannt.com".
    - Achte darauf, dass "Show all" soll nicht angehakt sein! - dann klicke auf "Scan", um das Tool zu starten
    - bitte nichts am Pc machen während der Scan läuft!
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com
2. auf deinem Desktop speichern
3. per Doppelklick SDFix.exe starten
4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
6. öffne den neu entstandenen SDFix Ordner
7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
8. gib ein Y ein, um den Reinigungsprozess zu beginnen
9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!

Achtung!:
Falls SDFix sich nicht installieren lässt o. nicht laufen bekommst, fahre mit Punkt 3 fort!

3.
Reinige dein System mit *SuperAntiSpyware*<- Download & Anleitung

4.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

5.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

6.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

7.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
Alt 18.09.2009, 10:58   #5
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


Moin,
Hier die einzelnen Logfiles:
SDfix konnte ich leider nicht ausführen, da ich nicht in den abgesicherten modus kam, da mir der bluescreen (der gleiche wie erwähnt) mir dazwischen kommt beim hochfahren.


filelist:
Code:
ATTFilter
----- Root ----------------------------- 
 Volume in drive C has no label.
 Volume Serial Number is 78A4-86FA

 Directory of C:\

18.09.2009  11:37                43 filelist.txt
15.09.2009  19:58               389 boot.ini
28.08.2009  05:51               522 hpfr3420.xml
28.08.2009  05:51            28.574 hpfr3425.log
24.08.2009  19:56               794 hpothb07.dat
24.08.2009  19:56             1.491 hpothb07.tif
19.06.2009  16:12     1.227.558.912 pagefile.sys
14.05.2009  13:37            13.030 PDOXUSRS.NET
02.04.2009  08:16               439 nsinst.log
28.01.2009  22:21                 0 MSDOS.SYS
28.01.2009  22:21                 0 AUTOEXEC.BAT
28.01.2009  22:21                 0 CONFIG.SYS
28.01.2009  22:21                 0 IO.SYS
14.04.2008  10:00           250.048 ntldr
14.04.2008  10:00            47.564 NTDETECT.COM
              15 File(s)  1.227.901.806 bytes
               0 Dir(s)     203.427.840 bytes free
 
----- Windows -------------------------- 
 Volume in drive C has no label.
 Volume Serial Number is 78A4-86FA

 Directory of C:\WINDOWS

18.09.2009  11:34         1.105.776 ktd32.atm
18.09.2009  10:13         1.271.397 WindowsUpdate.log
18.09.2009  10:13                50 wiaservc.log
18.09.2009  10:13               159 wiadebug.log
18.09.2009  10:12             2.048 bootstat.dat
18.09.2009  10:09            32.612 SchedLgU.Txt
16.09.2009  13:26                 0 0.log
16.09.2009  10:45           165.752 setupapi.log
15.09.2009  19:58               688 win.ini
15.09.2009  19:58               227 system.ini
15.09.2009  16:20             6.676 comsetup.log
15.09.2009  16:20            49.294 iis6.log
15.09.2009  16:20            13.185 tsoc.log
15.09.2009  16:20             5.357 ntdtcsetup.log
15.09.2009  16:20             1.917 ocmsn.log
15.09.2009  16:20             4.566 imsins.log
15.09.2009  16:20               622 tabletoc.log
15.09.2009  16:20            30.601 ocgen.log
15.09.2009  16:20             1.926 MedCtrOC.log
15.09.2009  16:20             1.162 msgsocm.log
15.09.2009  16:20            17.808 FaxSetup.log
15.09.2009  16:20             3.753 netfxocm.log
15.09.2009  16:20            11.096 msmqinst.log
15.09.2009  16:20             1.864 wmsetup.log
10.09.2009  11:57                28 Robota.INI
02.09.2009  11:13             6.211 mgxoschk.ini
13.08.2009  19:31            24.701 hhdrvi.log
20.07.2009  11:33             5.458 imsins.BAK
20.07.2009  11:31                60 setupact.log
16.07.2009  08:46               754 WORDPAD.INI
14.07.2009  09:31           350.764 services.exe
21.06.2009  19:45           308.282 msxml4-KB954430-enu.LOG
18.05.2009  14:56            19.557 hpoins01.dat
18.05.2009  14:21             7.394 Rock Deinen PC Vol 3 Uninstall Log.txt
10.05.2009  00:01                10 popcinfo.dat
28.04.2009  17:35               531 eReg.dat
28.04.2009  14:15           258.560 uninst.exe
28.04.2009  13:15            17.790 Rock Deinen PC Vol 3 Setup Log.txt
26.03.2009  20:55                 0 osagent.INI
17.02.2009  17:58             2.438 Burnout(TM) Paradise The Ultimate Box Patch Log.txt
01.02.2009  15:59               185 W2W.ini
28.01.2009  23:09                 0 Sti_Trace.log
28.01.2009  23:05                 0 setuperr.log
28.01.2009  22:42                 0 nsreg.dat
28.01.2009  22:26               833 OEWABLog.txt
28.01.2009  22:21                 0 control.ini
28.01.2009  22:21           316.640 WMSysPr9.prx
28.01.2009  22:21             4.161 ODBCINST.INI
28.01.2009  22:20               749 WindowsShell.Manifest
28.01.2009  22:18                37 vbaddin.ini
28.01.2009  22:18                36 vb.ini

 
----- System  --- 
 Volume in drive C has no label.
 Volume Serial Number is 78A4-86FA

 Directory of C:\WINDOWS\system

14.07.2009  09:31           350.764 sservice.exe
14.04.2008  10:00           109.456 AVIFILE.DLL
14.04.2008  10:00            32.816 COMMDLG.DLL
14.04.2008  10:00             2.000 KEYBOARD.DRV
14.04.2008  10:00             9.936 LZEXPAND.DLL
14.04.2008  10:00            73.376 MCIAVI.DRV
14.04.2008  10:00            25.264 MCISEQ.DRV
14.04.2008  10:00            28.160 MCIWAVE.DRV
14.04.2008  10:00            68.768 MMSYSTEM.DLL
14.04.2008  10:00             1.152 MMTASK.TSK
14.04.2008  10:00             2.032 MOUSE.DRV
14.04.2008  10:00           126.912 MSVIDEO.DLL
14.04.2008  10:00            82.944 OLECLI.DLL
14.04.2008  10:00            24.064 OLESVR.DLL
14.04.2008  10:00            59.167 setup.inf
14.04.2008  10:00             5.120 SHELL.DLL
14.04.2008  10:00             1.744 SOUND.DRV
14.04.2008  10:00            69.584 AVICAP.DLL
14.04.2008  10:00             5.532 stdole.tlb
14.04.2008  10:00             3.360 SYSTEM.DRV
14.04.2008  10:00            19.200 TAPI.DLL
14.04.2008  10:00             4.048 TIMER.DRV
14.04.2008  10:00             9.008 VER.DLL
14.04.2008  10:00             2.176 VGA.DRV
14.04.2008  10:00            13.600 WFWNET.DRV
14.04.2008  10:00           146.432 WINSPOOL.DRV
              26 File(s)      1.276.615 bytes
               0 Dir(s)     203.423.744 bytes free
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in drive C has no label.
 Volume Serial Number is 78A4-86FA

 Directory of C:\WINDOWS\system32

18.09.2009  10:13           206.761 nvapps.xml
18.09.2009  10:13            36.864 reginv.dll
18.09.2009  10:13            13.312 winkey.dll
17.09.2009  10:19            20.992 autochk.dll
16.09.2009  14:01         1.133.150 SKYNETkkhauvid.dat
16.09.2009  14:01         3.056.797 ovfsthxmflmmbpu.dat
16.09.2009  13:31                43 SKYNETltamuxfx.dat
15.09.2009  16:20           394.410 perfh009.dat
15.09.2009  16:20            59.876 perfc009.dat
15.09.2009  16:20           461.040 PerfStringBackup.INI
14.09.2009  12:18                45 initdebug.nfo
06.09.2009  10:35             2.206 wpa.dbl
03.09.2009  20:07            41.872 xfcodec.dll
02.09.2009  16:04           210.488 FNTCACHE.DAT
09.08.2009  18:36            18.432 ovfsthxtrltumhx.dll
09.08.2009  18:36            18.944 ovfsthxjyodpske.dll
09.08.2009  18:36            60.928 ovfsthxjkwoivtu.dll
08.08.2009  21:36            20.480 SKYNETuablhcbq.dll
08.08.2009  21:36            43.520 SKYNETpqjnwrix.dll
20.07.2009  10:10             1.518 mvastnet.dll
19.07.2009  23:48         1.847.058 config.zip
15.07.2009  19:51           462.946 logged
15.07.2009  05:45         3.251.520 GameMon.des
14.07.2009  09:31           350.764 fservice.exe
12.07.2009  23:12         1.886.440 l33t tool.exe
12.07.2009  23:11           964.701 configfile.exe
11.07.2009  20:13            22.528 Winiguard.exe
11.07.2009  20:13            21.504 config.exe
07.07.2009  17:10        24.539.592 MRT.exe
06.07.2009  20:41            53.634 login
19.06.2009  21:51            10.012 SKYNETmeyeptbb.dat
19.06.2009  21:44                 4 MSIVXcount
19.06.2009  15:08           361.728 TuneUpDefragService.exe
16.06.2009  16:36           119.808 t2embed.dll
16.06.2009  16:36            81.920 fontsub.dll
03.06.2009  21:12         1.291.264 quartz.dll
29.05.2009  12:46                 0 FOXIT_PDF
10.05.2009  13:36                96 HsInfo.dat
07.05.2009  17:32           345.600 localspl.dll
29.04.2009  06:56           827.392 wininet.dll
29.04.2009  06:56           233.472 webcheck.dll
29.04.2009  06:56         1.159.680 urlmon.dll
29.04.2009  06:56           105.984 url.dll
29.04.2009  06:56           102.912 occache.dll
29.04.2009  06:56            44.544 pngfilt.dll
29.04.2009  06:56           671.232 mstime.dll
29.04.2009  06:56           477.696 mshtmled.dll
29.04.2009  06:56         3.596.288 mshtml.dll
29.04.2009  06:56           193.024 msrating.dll
29.04.2009  06:55         1.830.912 inetcpl.cpl
29.04.2009  06:55            52.224 msfeedsbs.dll
29.04.2009  06:55            27.648 jsproxy.dll
29.04.2009  06:55           459.264 msfeeds.dll
29.04.2009  06:55            44.544 iernonce.dll
29.04.2009  06:55         6.066.176 ieframe.dll
29.04.2009  06:55           268.288 iertutil.dll
29.04.2009  06:55           133.120 extmgr.dll
29.04.2009  06:55           230.400 ieaksie.dll
29.04.2009  06:55           153.088 ieakeng.dll
29.04.2009  06:55           214.528 dxtrans.dll
29.04.2009  06:55            78.336 ieencode.dll
29.04.2009  06:55           383.488 ieapfltr.dll
29.04.2009  06:55            63.488 icardie.dll
29.04.2009  06:55           385.024 iedkcs32.dll
29.04.2009  06:55           347.136 dxtmsft.dll
29.04.2009  06:55           124.928 advpack.dll
28.04.2009  11:06           389.120 html.iec
28.04.2009  11:05            70.656 ie4uinit.exe
28.04.2009  09:55            70.936 PhysXLoader.dll
25.04.2009  07:26           161.792 ieakui.dll
21.04.2009  15:46           183.112 PnkBstrB.exe
17.04.2009  14:26         1.847.168 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll
14.04.2009  22:42         2.134.016 python26.dll
07.04.2009  10:50           288.024 PhysXCompatCplUI.exe
07.04.2009  10:50           214.296 PhysX.cpl
07.04.2009  10:50           288.024 PhysXCplUI.exe
01.04.2009  08:25           107.888 CmdLineExt.dll
26.03.2009  17:19            39.176 mlfcache.dat
26.03.2009  08:37            66.872 PnkBstrA.exe
21.03.2009  16:06           989.696 kernel32.dll
16.03.2009  14:18            22.360 X3DAudio1_6.dll
16.03.2009  14:18           517.448 XAudio2_4.dll
16.03.2009  14:18            69.448 XAPOFX1_3.dll
16.03.2009  14:18           235.352 xactengine3_4.dll
09.03.2009  15:27         4.178.264 D3DX9_41.dll
09.03.2009  15:27         1.846.632 D3DCompiler_41.dll
09.03.2009  15:27           453.456 d3dx10_41.dll
08.03.2009  04:32            36.864 ieudinit.exe
06.03.2009  16:22           284.160 pdh.dll
01.03.2009  00:42                 4 gaopdxcounter
27.02.2009  12:59            13.942 m3.ico
27.02.2009  12:59            19.214 sf.ico
21.02.2009  22:26           258.352 unicows.dll
17.02.2009  23:04         5.242.934 toyhide.bmp
17.02.2009  23:02         2.328.832 TUKernel.exe
17.02.2009  17:57             1.196 ealregsnapshot1.reg
11.02.2009  19:07         1.700.352 gdiplus.dll
09.02.2009  14:10           729.088 lsasrv.dll
09.02.2009  14:10           509.440 sdra64.exe
09.02.2009  14:10           714.752 ntdll.dll
09.02.2009  14:10           617.472 advapi32.dll
09.02.2009  14:10           401.408 rpcss.dll
07.02.2009  19:02         2.066.048 ntkrnlpa.exe
06.02.2009  13:11           110.592 services.exe
06.02.2009  13:08         2.189.056 ntoskrnl.exe
06.02.2009  12:39            35.328 sc.exe
03.02.2009  21:59            56.832 secur32.dll
03.02.2009  00:21           726.016 7z.dll
03.02.2009  00:09            69.632 7-zip.dll
03.02.2009  00:09           150.016 7z.exe
29.01.2009  10:58           212.048 TZLog.log
28.01.2009  23:25                56 ezsidmv.dat
28.01.2009  23:17             6.521 jupdate-1.6.0_07-b06.log
28.01.2009  23:16                 0 h323log.txt
28.01.2009  23:14             4.444 pid.PNF
28.01.2009  22:23               261 $winnt$.inf
28.01.2009  22:21             2.577 CONFIG.NT
28.01.2009  22:21            16.832 amcompat.tlb
28.01.2009  22:21            23.392 nscompat.tlb
28.01.2009  22:20               488 logonui.exe.manifest
28.01.2009  22:20               488 WindowsLogon.manifest
28.01.2009  22:20               749 sapi.cpl.manifest
28.01.2009  22:20               749 cdplayer.exe.manifest
28.01.2009  22:20               749 nwc.cpl.manifest
28.01.2009  22:20               749 ncpa.cpl.manifest
28.01.2009  22:20               749 wuaucpl.cpl.manifest
28.01.2009  22:18            21.640 emptyregdb.dat
07.01.2009  18:21           121.856 xmllite.dll
07.01.2009  18:21            26.144 spupdsvc.exe
07.01.2009  18:20            16.928 spmsg.dll
07.01.2009  18:20            24.576 nlsdl.dll
07.01.2009  18:20            45.794 normnfc.nls
07.01.2009  18:20            59.342 normidna.nls
07.01.2009  18:20            23.552 normaliz.dll
07.01.2009  18:20            39.284 normnfd.nls
07.01.2009  18:20            60.294 normnfkd.nls
07.01.2009  18:20            26.112 idndl.dll
07.01.2009  18:20            66.384 normnfkc.nls
07.01.2009  18:20             8.798 icrav03.rat
07.01.2009  18:20           265.720 msdbg2.dll

 
----- Prefetch ------------------------- 
 Volume in drive C has no label.
 Volume Serial Number is 78A4-86FA

 Directory of C:\WINDOWS\Prefetch

18.09.2009  11:37            11.996 FIND.EXE-0EC32F1E.pf
18.09.2009  11:37            15.380 CMD.EXE-087B4001.pf
18.09.2009  11:37            26.298 VERCLSID.EXE-3667BD89.pf
18.09.2009  11:35            32.950 GOOGLEUPDATE.EXE-1FA240A1.pf
18.09.2009  11:34            36.370 WMIPRVSE.EXE-28F301A9.pf
18.09.2009  11:34            19.982 HIJACKTHIS.EXE-14CED3CD.pf
18.09.2009  11:34            17.740 HJTINSTALL.EXE-28CDF0F9.pf
18.09.2009  11:32            23.900 NOTEPAD.EXE-336351A9.pf
18.09.2009  11:32           156.906 CHROME.EXE-18458931.pf
18.09.2009  11:00            27.548 ONECLICKSTARTER.EXE-165D1788.pf
18.09.2009  10:19            13.512 REGEDIT.EXE-1B606482.pf
18.09.2009  10:16            49.894 SSUPDATE.EXE-003CF786.pf
18.09.2009  10:16            63.774 786E9FB4-6044-4CC9-96E0-D3177-18339937.pf
18.09.2009  10:16            32.940 RUNSAS.EXE-31FA141B.pf
18.09.2009  10:15             5.422 ISADMIN.EXE-34B59F8A.pf
18.09.2009  10:14            30.418 WUAUCLT.EXE-399A8E72.pf
18.09.2009  10:14            23.480 CTFMON.EXE-0E17969B.pf
18.09.2009  10:14            21.492 IMAPI.EXE-0BF740A4.pf
18.09.2009  10:14            26.340 ALG.EXE-0F138680.pf
18.09.2009  10:14            22.814 RSVP.EXE-04E70CF3.pf
18.09.2009  10:14            27.924 SUPERANTISPYWARE.EXE-37C14E11.pf
18.09.2009  10:14            31.740 NVSVC32.EXE-1F9EED18.pf
18.09.2009  10:14            24.564 RUNDLL32.EXE-1857459C.pf
18.09.2009  10:14            28.918 DEVSVC.EXE-2D599844.pf
18.09.2009  10:14            21.652 RUNDLL32.EXE-4BA4C9D4.pf
18.09.2009  10:14            20.092 RUNDLL32.EXE-3E96C3D2.pf
18.09.2009  10:14            41.696 MBAM.EXE-32061666.pf
18.09.2009  10:14            30.578 RUNDLL32.EXE-415F88EC.pf
18.09.2009  10:14            25.512 SVCHOST.EXE-3530F672.pf
18.09.2009  10:14            21.010 NETDDE.EXE-069F07D9.pf
18.09.2009  10:14            25.238 SERVICES.EXE-2B0DDD57.pf
18.09.2009  10:14            22.990 SSERVICE.EXE-219B7DC5.pf
18.09.2009  10:14            17.800 FSERVICE.EXE-2E4F6E14.pf
18.09.2009  10:14           452.592 NTOSBOOT-B00DFAAD.pf
18.09.2009  10:06            54.280 SDFIX.EXE-2343DDB2.pf
18.09.2009  09:40            39.398 BLA.COM.EXE-22F4A172.pf
18.09.2009  09:40            21.196 TASKMGR.EXE-20256C55.pf
18.09.2009  09:38            26.548 7ZG.EXE-232A5FFD.pf
18.09.2009  09:29            77.250 LASTFM.EXE-058BDB40.pf
18.09.2009  09:28            82.486 WINAMP.EXE-2B90D5BD.pf
17.09.2009  20:32            46.590 DFRGNTFS.EXE-269967DF.pf
17.09.2009  20:32            23.618 DEFRAG.EXE-273F131E.pf
17.09.2009  20:32           151.872 Layout.ini
17.09.2009  19:11            35.840 DWWIN.EXE-30875ADC.pf
17.09.2009  19:11            42.100 FIESTAONLINE.EXE-240D4C2B.pf
17.09.2009  14:45            21.632 LOGONUI.EXE-0AF22957.pf
17.09.2009  14:29            18.166 FFMPEG.EXE-04252129.pf
17.09.2009  13:31            22.086 FREEYOUTUBETOMP3CONVERTER.EXE-105E1168.pf
17.09.2009  13:31            23.574 REGSVR32.EXE-25EEFE2F.pf
17.09.2009  13:25            38.328 CASINO.EXE-1979AEA0.pf
17.09.2009  12:47            42.266 FOXITR~1.EXE-06909854.pf
17.09.2009  12:45            23.818 RUNDLL32.EXE-12E27DD0.pf
15.09.2009  19:23           101.650 XFIRE.EXE-01A55DF8.pf
15.09.2009  16:24            89.392 FIREFOX.EXE-03F20888.pf
14.09.2009  16:55            41.082 SNDVOL32.EXE-383480B7.pf
14.09.2009  14:01            64.800 RUNDLL32.EXE-2E5AF1D7.pf
13.08.2009  10:22            17.134 PING.EXE-31216D26.pf
              57 File(s)      2.556.568 bytes
               0 Dir(s)     203.300.864 bytes free
 
----- Tasks ---------------------------- 
 Volume in drive C has no label.
 Volume Serial Number is 78A4-86FA

 Directory of C:\WINDOWS\tasks

18.09.2009  11:35             1.188 GoogleUpdateTaskUserS-1-5-21-1482476501-261478967-1801674531-1003UA.job
18.09.2009  11:00               492 1-Klick-Wartung.job
18.09.2009  10:12                 6 SA.DAT
15.09.2009  16:35             1.136 GoogleUpdateTaskUserS-1-5-21-1482476501-261478967-1801674531-1003Core.job
23.08.2009  19:38               340 FRU Task #Hewlett-Packard#hp psc 1200 series#1242651374.job

       
 
----- Windows/Temp ----------------------- 
 Volume in drive C has no label.
 Volume Serial Number is 78A4-86FA

 Directory of C:\WINDOWS\Temp

16.09.2009  13:31            19.456 SKYNETwmextpetqd.tmp
16.09.2009  13:09            19.456 SKYNETbdrijutxsw.tmp
16.09.2009  11:03            19.456 SKYNETrjibirdccj.tmp
16.09.2009  09:02            19.456 SKYNETraplrrpqrn.tmp
15.09.2009  20:28            19.456 SKYNETftapuljwpc.tmp
15.09.2009  20:13            19.456 SKYNETvicxthbiyh.tmp
15.09.2009  20:08            19.456 SKYNETdlxufmobeb.tmp
15.09.2009  19:58            19.456 SKYNETmlmfkydnib.tmp
15.09.2009  19:48            19.456 SKYNETmpeqvgoikb.tmp
15.09.2009  19:21            19.456 SKYNETbmpdmxgkvr.tmp
15.09.2009  16:17            19.456 SKYNETwbfcgtrquo.tmp
15.09.2009  14:57            19.456 SKYNETtethoixrnc.tmp
15.09.2009  14:36            19.456 SKYNETxplptqbqfn.tmp
15.09.2009  14:19            19.456 SKYNEToufkgqgnih.tmp
15.09.2009  13:13            37.376 popka.exe
15.09.2009  13:13                 0 nsrbgxod.bak
15.09.2009  13:13            20.992 rundll32.dll
15.09.2009  13:05            19.456 SKYNETeontptcrkg.tmp
15.09.2009  09:05            19.456 SKYNETcqohgrdcdb.tmp
14.09.2009  18:27            19.456 SKYNETuhsailetun.tmp
14.09.2009  14:27            19.456 SKYNETxbvrncwois.tmp
14.09.2009  13:38            19.456 SKYNETriuwcuwfji.tmp
14.09.2009  10:20            19.456 SKYNETdmqecqpxmx.tmp
13.09.2009  18:57            19.456 SKYNETjfllnlrfhd.tmp
13.09.2009  14:57            19.456 SKYNETfeewxxnkvs.tmp
13.09.2009  11:41            19.456 SKYNETuiylqbwuxt.tmp
13.09.2009  01:01            19.456 SKYNETaeqnophdgq.tmp
12.09.2009  21:01            19.456 SKYNETdwpywosvqv.tmp
12.09.2009  15:23            19.456 SKYNETsfdatbidry.tmp
12.09.2009  11:23            19.456 SKYNEToibpxphwse.tmp
12.09.2009  08:37            19.456 SKYNEToribuwfbwj.tmp
11.09.2009  21:56            19.456 SKYNETbqjaiqhrse.tmp
11.09.2009  17:56            19.456 SKYNETrpvnfvhivn.tmp
11.09.2009  08:31            19.456 SKYNETcgvnfvhivn.tmp
10.09.2009  20:20            19.456 SKYNETbdrievjwip.tmp
10.09.2009  18:50            19.456 SKYNETsjuefahoyt.tmp
10.09.2009  14:50            19.456 SKYNETihhtkoxmdc.tmp
10.09.2009  10:50            19.456 SKYNETowofvrtcea.tmp
10.09.2009  09:32            19.456 SKYNETiqjlyadmxt.tmp
09.09.2009  07:43            20.480 SKYNETetrprqrjqq.tmp
             
 
----- Temp ----------------------------- 
 Volume in drive G is Spiele
 Volume Serial Number is A046-5B92

 Directory of G:\Temp

18.09.2009  11:32                 0 etilqs_xCwhnfrQHqIvyFbHZcRy
18.09.2009  10:19            13.380 REGSCRIPT.REG
16.09.2009  13:53           311.296 ~DF1B73.tmp
16.09.2009  13:35           311.296 ~DFF858.tmp
16.09.2009  13:32                 0 etilqs_FkkTPk6iKLw0yC5dV3UP
16.09.2009  13:32            12.304 etilqs_9TGNR9w2i1CGpTs5tbuX
16.09.2009  10:55                 0 etilqs_YUkj2mkzU9HaXzF4K9h0
16.09.2009  10:55                 0 etilqs_gXix71xVxsPvLymDzK3C
16.09.2009  10:49                 0 ACD72.tmp
16.09.2009  09:48               240 dw.log
16.09.2009  09:42                 0 ptu32.tmp
15.09.2009  16:30                 0 chrome_installer.log
15.09.2009  16:28             5.824 java_install_reg.log
15.09.2009  13:17                 0 nsrbgxod.bak
15.09.2009  09:51           383.804 WT12.tmp
15.09.2009  09:51           367.112 WT11.tmp
14.09.2009  21:47               141 browserview-f160d8.htm
14.09.2009  12:26           192.512 sfamcc00001.dll
13.09.2009  20:02               141 browserview-f17128.htm
13.09.2009  14:20               141 browserview-f16508.htm
13.09.2009  14:20            16.252 32f1_appcompat.txt
12.09.2009  21:22           383.804 WT2B.tmp
12.09.2009  21:22           367.112 WT2A.tmp
12.09.2009  09:03                 0 etilqs_I3erOJecTTYqqVn
12.09.2009  09:03           383.804 WT27.tmp
12.09.2009  09:03           367.112 WT26.tmp
12.09.2009  00:00               141 browserview-1046268.htm
10.09.2009  20:04            16.384 ~DF46EB.tmp
10.09.2009  18:26        10.049.566 carnavalcasinode.cab
10.09.2009  15:15               141 browserview-f15820.htm
10.09.2009  14:45                 0 etilqs_kXi59zP8y8Ak6JX
10.09.2009  14:44           383.804 WT1D.tmp
10.09.2009  14:44           367.112 WT1C.tmp
09.08.2009  05:06         8.015.872 set3.tmp
23.06.2009  11:01           158.960 SSUPDATE.EXE
11.03.2009  19:35            55.296 sfextra.dll
17.02.2009  17:57            52.736 b1ac6.mst
ccleaner:
Code:
ATTFilter
        
7-Zip 4.32
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Ahead Nero Burning ROM
ANNO 1404
ASAPI Update
Ashampoo Burning Studio 6 FREE
Blender (remove only)
Carnaval Casino
CCleaner (remove only)
EA Download Manager
EasyRecovery Professional
EAX Unified
Fiesta Online(EU_German) 1.02.004
Firebird SQL Server - MAGIX Edition
Foxit Reader
Free YouTube to Mp3 Converter version 3.1
GIMP 2.6.6
Google Chrome
Guitar Pro 5.1
HijackThis 2.0.2
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
InterVideo DeviceService
Java(TM) 6 Update 7
Last.fm 1.5.4.24567
Mafia
MAGIX Music Maker 15 Premium Download version 15.0.1.5 (UK)
MAGIX Screenshare 4.3.6.1987 (UK)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft WSE 3.0 Runtime
Mozilla Firefox (3.5.3)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB925673)
NVIDIA Drivers
NVIDIA PhysX
Python 2.6.2
Skype™ 4.0
SpeedFan (remove only)
Steinberg WaveLab 5.00a
SUPERAntiSpyware Professional
Text-To-Speech-Runtime
TmNationsForever
TuneUp Utilities 2008
Uninstall 1.0.0.1
VLC media player 1.0.0
Wheel of Time
Winamp
Windows Media Format 11 runtime
WonderKing
World of Warcraft


Alt 18.09.2009, 10:59   #6
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


Hier die nächsten:

SuperAntispyware:
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/18/2009 at 11:31 AM

Application Version : 4.28.1010

Core Rules Database Version : 3952
Trace Rules Database Version: 1894

Scan type       : Complete Scan
Total Scan Time : 01:06:28

Memory items scanned      : 361
Memory threats detected   : 3
Registry items scanned    : 4592
Registry threats detected : 6
File items scanned        : 29945
File threats detected     : 26

Trojan.Dropper/Sys-NV
	C:\WINDOWS\SYSTEM32\REGINV.DLL
	C:\WINDOWS\SYSTEM32\REGINV.DLL

Trojan.Agent/Gen-UPX
	C:\WINDOWS\SERVICES.EXE
	C:\WINDOWS\SERVICES.EXE

Trojan.Unknown Origin
	C:\WINDOWS\SYSTEM32\WINKEY.DLL
	C:\WINDOWS\SYSTEM32\WINKEY.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP24\A0003715.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP24\A0003718.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003741.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003742.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003750.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003751.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003763.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003764.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003777.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003778.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003813.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003797.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003798.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003814.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003829.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003830.DLL

Rootkit.Agent/Gen-Rustock
	HKLM\System\ControlSet001\Services\ovfsthxpxowyeay
	C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHXPTQMRPYL.SYS
	HKLM\System\ControlSet001\Enum\Root\LEGACY_ovfsthxpxowyeay
	HKLM\System\ControlSet002\Services\ovfsthxpxowyeay
	HKLM\System\ControlSet002\Enum\Root\LEGACY_ovfsthxpxowyeay
	HKLM\System\CurrentControlSet\Services\ovfsthxpxowyeay
	HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ovfsthxpxowyeay

Adware.Tracking Cookie
	C:\Documents and Settings\Igoel\Cookies\igoel@2o7[2].txt

Adware.Casino Games (Golden Palace Casino)
	G:\CARNAVAL CASINO\CASINO.EXE
	C:\DOCUMENTS AND SETTINGS\ALL USERS\DESKTOP\CARNAVAL CASINO.LNK
	C:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\CARNAVAL CASINO\CARNAVAL CASINO.LNK

Rootkit.BraviaX-Installer
	C:\WINDOWS\SYSTEM32\DLLCACHE\BEEP.SYS

Trojan.Agent/Gen-SDRA
	C:\WINDOWS\SYSTEM32\SDRA64.EXE
HijackThis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:40, on 18.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
G:\Programme\SUPERAntiSpyware\786e9fb4-6044-4cc9-96e0-d3177109b65b.exe
C:\Documents and Settings\Igoel\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Igoel\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 91.121.97.18 thepiratebay.org
O1 - Hosts: 91.121.97.18 www.thepiratebay.org
O1 - Hosts: 91.121.97.18 thepiratebay.org
O1 - Hosts: 91.121.97.18 www.thepiratebay.org
O1 - Hosts: 91.121.97.18 thepiratebay.org
O1 - Hosts: 91.121.97.18 www.thepiratebay.org
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "G:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKCU\..\Run: [SUPERAntiSpyware] G:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\Igoel\protect.dll,_IWMPEvents@16
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3A7735B-7A98-4BFA-9055-8D663CCBCFB4}: NameServer = 213.191.74.18 62.109.123.196
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\iEvony\Skype4COM.dll
O20 - AppInit_DLLs: cru629.dat
O20 - Winlogon Notify: !SASWinLogon - G:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - G:\Progamme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows CardSpace (idsvc) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe (file missing)
O23 - Service: Net.Tcp Port Sharing Service (NetTcpPortSharing) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6679 bytes

Alt 18.09.2009, 11:02   #7
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


Gmer:

da es sich um über 76000 zeichen handelt habe ich sie im anhang hochgeladen.

Alt 18.09.2009, 18:49   #8
kira
/// Helfer-Team
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


hi

Ich muss dir ehrlich sagen, selten so einen verseuchten PC gesehen wie deins
Eine ungesunde Mischung aus mehrere Backdoors und Rootkits und noch Rogue Software drauf. Als ob´s nicht alles schlimm genug wäre, deine Internetverbindungen werden in die Ukraine umgeleitet, zumindest über einem ungewollte ausländische Server
Mein Vorschlag: Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Daten, formatiere dein System & auch Speichermedien (falls Du während die Infektion an den PC angeschlossen hast - USB-Stick, externe Platte etc) und setze dein System neu auf.
Wenn Du etwas Risikofreudig bist, können wir versuchen die Schädlinge zu entfernen, Voraussetzung ist, dass dein PC die Löschvorgang durchhalten kann bzw überlebt...
Also überleg Dir gut und gib mir deine Entscheidung bekannt!
Wenn Du dich jedoch für das Formatieren entscheidest, wir müssen vorher noch ein Tool laufen lassen, den MBR (Master-Boot-Record) zu prüfen
Ohne es zu wissen, ob den MBR auch ev. infiziert, ein Formatierung ergibt keinen Sinn

gruß
Coverflow

Alt 18.09.2009, 20:47   #9
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


nabend

hmmmm joa hatte ich mir schon fast gedacht das es darauf hinaus läuft, da is man nur einmal kurz auf klo, und dann ging alles nich mehr ordentlich -.-.....
najut ich denke dann werde ich mich wohl fürs formatieren entscheiden

mfg igoel

Alt 18.09.2009, 21:13   #10
kira
/// Helfer-Team
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


na Ok

Master Boot Record überprüfen:
  • Lade Dir die MBR.exe von GMER herunter
  • Speichere auf deinem Desktop
  • Per Doppelklick starten.
  • wenn das Programm fertig ist, das erhaltene Log "mbr.log" hier bitte posten
Alt 19.09.2009, 07:26   #11
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


ok hier die logdatei:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x17499f00 size 0x1c1 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x017499F00 !

Alt 19.09.2009, 09:02   #12
Igoel
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


: ))))

so hab nochma was anderes ausprobiert und zwar ist er mir ja immer bei Malwarebytes abgestürzt, habe deshalb über CCleaner bei autostart die autochk und so deaktiviert und entfernt, danach habe ich mit malware einen komplettscan auf meiner win partion gemacht....kein absturz
die logdatei dazu.....bitte nicht erschrecken ^^
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2811
Windows 5.1.2600 Service Pack 3

19.09.2009 09:27:46
mbam-log-2009-09-19 (09-27-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 95270
Laufzeit: 15 minute(s), 14 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 1
Infizierte Dateien: 64

Infizierte Speicherprozesse:
C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\reginv.dll (Backdoor.ProRat) -> No action taken.
C:\WINDOWS\system32\winkey.dll (Backdoor.ProRat) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5y99ae78-58tt-11dw-be53-y67078979y} (Backdoor.ProRat) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\skynetqrmybwwk (Rootkit.TDSS) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\skynetqqplvymp (Rootkit.TDSS) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gaopdxserv.sys (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DirectX For Microsoft® Windows (Backdoor.Prorat) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Sys Startup (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows start (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.177,85.255.112.117 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.177,85.255.112.117 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.177,85.255.112.117 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.ProRat) -> Data: c:\windows\system32\fservice.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.ProRat) -> Data: system32\fservice.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\reginv.dll (Backdoor.ProRat) -> No action taken.
C:\WINDOWS\system32\winkey.dll (Backdoor.ProRat) -> No action taken.
C:\WINDOWS\system\sservice.exe (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Igoel\protect.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Igoel\Start Menu\Programs\Startup\ChkDisk.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\protect.dll (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP24\A0003715.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP24\A0003716.dll (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP24\A0003717.dll (Rootkit.TDSS) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP24\A0003718.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003737.dll (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003741.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003742.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003750.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003751.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP25\A0003758.dll (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003813.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003759.dll (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003763.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003764.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003773.dll (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003777.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003778.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003797.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003798.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003814.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003829.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP26\A0003830.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP27\A0003972.dll (Backdoor.ProRat) -> No action taken.
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP27\A0003973.dll (Backdoor.ProRat) -> No action taken.
C:\WINDOWS\system32\autochk.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ovfsthxptqmrpyl.sys (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\protect.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BW0879GK\Install[1].exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\ChkDisk.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dllcache\beep.sys (Trojan.KillAV) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\fservice.exe (Backdoor.Prorat) -> No action taken.
C:\Documents and Settings\Igoel\Favorites\Cheap Pharmacy Online.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Igoel\Favorites\SMS TRAP.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Igoel\Start Menu\Programs\Startup\ChkDisk.lnk (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\sf.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ftdutil.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\m3.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ntvxdc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ovfsthxmflmmbpu.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\ovfsthxjkwoivtu.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\ovfsthxjyodpske.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\ovfsthxtrltumhx.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\SKYNETltamuxfx.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\SKYNETmeyeptbb.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\wcsydrv.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\SKYNETkkhauvid.dat (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\Igoel\Favorites\Cheap Software.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Igoel\Favorites\MP3 Download.url (Rogue.Link) -> No action taken.
C:\WINDOWS\ios.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\wintgtsv.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\ktd32.atm (Backdoor.ProRat) -> No action taken.

danach hat er auch alles ordentlich entfernt und das sogar nach dem neustart...dann nochma durchlaufen lassen:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2811
Windows 5.1.2600 Service Pack 3

19.09.2009 09:49:46
mbam-log-2009-09-19 (09-49-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 96926
Laufzeit: 14 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4D2B9E55-256E-46FD-AFF7-11BA255D6671}\RP27\A0003980.sys (Trojan.KillAV) -> Quarantined and deleted successfully.

das sieht doch jetzt schon ganz anders aus nich : )

soweit funktioniert auch alles denke ich, trotzdem vielen vielen dank für deine unterstützung (sonst wäre ich ja auch nicht auf die einzelenen Programme gekommen )

falls du noch ne idee hast um zu überprüfen ob auch alles weg ist, immer her damit : )

Mfg Igoel
Alt 19.09.2009, 09:40   #13
kira
/// Helfer-Team
 
autochk.dll, protect.dll und andere, etwas komplizierter - Standard

autochk.dll, protect.dll und andere, etwas komplizierter


hi

Das ist zu früh, wenn man Party machen will...
nämlich dein MBR scheint infiziert zu sein...

zur Nachkontrolle empfehle ich Dir das hier abarbeiten:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys  
ovfsthxpxowyeay 
SKYNETqqplvymp  
SKYNETqrmybwwk  
Files to delete:
C:\WINDOWS\system32\drivers\gaopdxxvmkkypu.sys
C:\WINDOWS\system32\gaopdxtewpbhai.dll
C:\WINDOWS\system32\drivers\ovfsthxptqmrpyl.sys
C:\WINDOWS\system32\ovfsthxjkwoivtu.dll
C:\WINDOWS\system32\ovfsthxmflmmbpu.dat
C:\WINDOWS\system32\ovfsthxjyodpske.dll
C:\WINDOWS\system32\ovfsthxtrltumhx.dll
C:\WINDOWS\system32\ovfsthxladjpakd.dat
C:\WINDOWS\system32\drivers\SKYNETpkiltlwe.sys
C:\WINDOWS\system32\SKYNETkxvngsnv.dll
C:\WINDOWS\system32\SKYNETmeyeptbb.dat
C:\WINDOWS\system32\SKYNETmlxvaswu.dll
C:\WINDOWS\system32\SKYNETirwabcwk.dat
C:\WINDOWS\system32\drivers\SKYNETxjbaqgod.sys
C:\WINDOWS\system32\SKYNETpqjnwrix.dll
C:\WINDOWS\system32\SKYNETkkhauvid.dat
C:\WINDOWS\system32\SKYNETuablhcbq.dll
C:\WINDOWS\system32\SKYNETltamuxfx.dat
C:\WINDOWS\system32\SKYNETfviteooe.dll
C:\WINDOWS\services.exe
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\mvastnet.dll
C:\WINDOWS\system32\GameMon.des
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\Winiguard.exe
C:\WINDOWS\system32\MSIVXcount
C:\WINDOWS\Temp\SKYNETwmextpetqd.tmp
C:\WINDOWS\Temp\SKYNETbdrijutxsw.tmp
C:\WINDOWS\Temp\SKYNETrjibirdccj.tmp
C:\WINDOWS\Temp\SKYNETraplrrpqrn.tmp
C:\WINDOWS\Temp\SKYNETftapuljwpc.tmp
C:\WINDOWS\Temp\SKYNETvicxthbiyh.tmp
C:\WINDOWS\Temp\SKYNETdlxufmobeb.tmp
C:\WINDOWS\Temp\SKYNETmlmfkydnib.tmp
C:\WINDOWS\Temp\SKYNETmpeqvgoikb.tmp
C:\WINDOWS\Temp\SKYNETbmpdmxgkvr.tmp
C:\WINDOWS\Temp\SKYNETwbfcgtrquo.tmp
C:\WINDOWS\Temp\SKYNETtethoixrnc.tmp
C:\WINDOWS\Temp\SKYNETxplptqbqfn.tmp
C:\WINDOWS\Temp\SKYNEToufkgqgnih.tmp
C:\WINDOWS\Temp\popka.exe
C:\WINDOWS\Temp\nsrbgxod.bak
C:\WINDOWS\Temp\SKYNETeontptcrkg.tmp
C:\WINDOWS\Temp\SKYNETcqohgrdcdb.tmp
C:\WINDOWS\Temp\SKYNETuhsailetun.tmp
C:\WINDOWS\Temp\SKYNETxbvrncwois.tmp
C:\WINDOWS\Temp\SKYNETriuwcuwfji.tmp
C:\WINDOWS\Temp\SKYNETdmqecqpxmx.tmp
C:\WINDOWS\Temp\SKYNETjfllnlrfhd.tmp
C:\WINDOWS\Temp\SKYNETfeewxxnkvs.tmp
C:\WINDOWS\Temp\SKYNETuiylqbwuxt.tmp
C:\WINDOWS\Temp\SKYNETaeqnophdgq.tmp
C:\WINDOWS\Temp\SKYNETdwpywosvqv.tmp
C:\WINDOWS\Temp\SKYNETsfdatbidry.tmp
C:\WINDOWS\Temp\SKYNEToibpxphwse.tmp
C:\WINDOWS\Temp\SKYNEToribuwfbwj.tmp
C:\WINDOWS\Temp\SKYNETbqjaiqhrse.tmp
C:\WINDOWS\Temp\SKYNETrpvnfvhivn.tmp
C:\WINDOWS\Temp\SKYNETcgvnfvhivn.tmp
C:\WINDOWS\Temp\SKYNETbdrievjwip.tmp
C:\WINDOWS\Temp\SKYNETsjuefahoyt.tmp
C:\WINDOWS\Temp\SKYNETihhtkoxmdc.tmp
C:\WINDOWS\Temp\SKYNETowofvrtcea.tmp
C:\WINDOWS\Temp\SKYNETiqjlyadmxt.tmp
C:\WINDOWS\Temp\SKYNETetrprqrjqq.tmp
2.
Falls existieren - Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
Code:
ATTFilter
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\Igoel\protect.dll,_IWMPEvents@16
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O20 - AppInit_DLLs: cru629.dat
3.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
ATTFilter
C:\WINDOWS\system32\l33t tool.exe
C:\WINDOWS\system32\configfile.exe
C:\WINDOWS\system32\config.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

4.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
filelist.bat - den letzten sechs Monaten!

5.
MBR wiederherstellen:
Unter "Lösung " nach dieser Anleitung vorgehen,:-> http://virus-protect.org/artikel/tools/mbr.html
Geändert von kira (19.09.2009 um 09:46 Uhr)

Antwort

Themen zu autochk.dll, protect.dll und andere, etwas komplizierter
autostart, backdoor.prorat, bluescree, bluescreen, components, dateien, explorer, falsche, falsche links, gelöscht, links, log, löschen, microsoft, mozilla, neustart, problem, programme, registrierungsschlüssel, scan, seite, setup, software, suche, superantispyware, system, system32, trojan.agent, trojaner


« Maus und Tastatur spinnen | Mit Trojan.DNSChanger begann es... »


Ähnliche Themen: autochk.dll, protect.dll und andere, etwas komplizierter


  1. Download Protect 2.2.8
    Plagegeister aller Art und deren Bekämpfung - 22.07.2015 (12)
  2. Security Protect
    Log-Analyse und Auswertung - 09.11.2014 (11)
  3. windows 7, search protect nicht deinstallierbar, browser installiert automatisch add ons und öffnet andere websites
    Log-Analyse und Auswertung - 06.11.2014 (11)
  4. Download Protect
    Plagegeister aller Art und deren Bekämpfung - 15.07.2014 (9)
  5. Download Protect
    Plagegeister aller Art und deren Bekämpfung - 15.07.2014 (17)
  6. Download Protect 2.2.1 und 1.0 im Firefox lässt sich nicht entfernen und schmeisst andere Erweiterungen raus
    Plagegeister aller Art und deren Bekämpfung - 30.06.2014 (30)
  7. Search Protect (o. ä.) und evtl. auch andere Spyware auf dem Laptop?
    Plagegeister aller Art und deren Bekämpfung - 20.06.2014 (9)
  8. autochk.exe verseucht?
    Plagegeister aller Art und deren Bekämpfung - 22.04.2014 (3)
  9. Google.de nicht erreichbar - andere Seiten sehr langsam - andere normal DNS-Provider Problem oder Trojaner?
    Log-Analyse und Auswertung - 05.09.2012 (2)
  10. Komplizierter Fall: Unbekanntes Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2011 (0)
  11. Bei Start blauer Bildschirm für 5 sek. .../Systemroot/.../Autochk.exe
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (11)
  12. session manager value hinzugefügt bootexecute autocheck autochk *\
    Überwachung, Datenschutz und Spam - 03.10.2009 (3)
  13. "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (31)
  14. Werde autochk.dll nicht mehr los (Trojan horse BackDoor.Generic11.HUH)
    Plagegeister aller Art und deren Bekämpfung - 04.05.2009 (14)
  15. Virus Protect pro 3.7 Need Help
    Log-Analyse und Auswertung - 27.01.2008 (1)
  16. virus protect
    Plagegeister aller Art und deren Bekämpfung - 27.01.2008 (4)
  17. Virus Protect
    Log-Analyse und Auswertung - 14.01.2008 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema autochk.dll, protect.dll und andere, etwas komplizierter - Moin, ich habe seit gestern mehere Trojaner drauf die mir etwas kopfschmerzen bereiten. Angefangen hat es damit das ich bei mozilla auf falsche links verlinkt wurde. Nachdem ich über SUPERAntiSpyware - autochk.dll, protect.dll und andere, etwas komplizierter...
Archiv
Du betrachtest: autochk.dll, protect.dll und andere, etwas komplizierter auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131