| |
| |||||||
Log-Analyse und Auswertung: Links werden umgeleitetWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.10.2009, 23:18
| #1 | |
 |  Links werden umgeleitet Hallo Zusammen, habe das Problem, dass die meisten Links innerhalb meines Browser zu falschen Adressen umgeleitet werden. Im Taskbar des Browsers wird z.b. ein Link hier aus dem Forum wie folgt angezeigt: Zitat:
Vielleicht ist anhand des Log Files was zu erkennen... Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:01:58, on 02.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: F:\WINDOWS\system32\csrss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\sched.exe F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avguard.exe F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avgnt.exe F:\WINDOWS\system32\marc2nt.exe F:\WINDOWS\SOUNDMAN.EXE F:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe F:\Programme\AUDIO\iTunes\iTunesHelper.exe F:\WINDOWS\system32\RUNDLL32.EXE F:\WINDOWS\system32\rundll32.exe F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe F:\Programme\SYSTEM\RK_Launcher_04_Beta\RKLauncher.exe F:\Programme\Bonjour\mDNSResponder.exe F:\Programme\VISUAL\Maya7\docs\wrapper.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\Wacom_Tablet.exe F:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe F:\WINDOWS\system32\Wacom_Tablet.exe F:\Programme\iPod\bin\iPodService.exe F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe F:\WINDOWS\system32\NOTEPAD.EXE F:\Programme\Sandboxie\SbieSvc.exe F:\Programme\Sandboxie\Start.exe F:\Programme\Sandboxie\SandboxieRpcSs.exe F:\Programme\Sandboxie\Start.exe F:\Programme\Sandboxie\Start.exe F:\Programme\Sandboxie\Start.exe F:\Programme\Sandboxie\SbieCtrl.exe F:\Programme\SYSTEM\Opera\opera.exe F:\Programme\SYSTEM\HiJackThis\HijackThis.exe F:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Run: [avgnt] "F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\SYSTEM\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [Runmarc2Manager] marc2nt.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\VISUAL\Adobe\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "F:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "F:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\SYSTEM\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\AUDIO\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] F:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [UpdReg] F:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [calc] rundll32.exe F:\WINDOWS\system32\calc.dll,_IWMPEvents@0 O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [SandboxieControl] "F:\Programme\Sandboxie\SbieCtrl.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: RK Launcher.lnk = ? O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{A22A01B2-F98B-4C92-AA14-96F05556A501}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - F:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - F:\Programme\Sandboxie\SbieSvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - F:\WINDOWS\system32\Wacom_Tablet.exe O23 - Service: Windows-Verwaltungsinstrumentation winmgmtSCardSvr (winmgmtSCardSvr) - Unknown owner - F:\WINDOWS\system32\1037z.exe (file missing) -- End of file - 7491 bytes |
|
02.10.2009, 23:03
| #2 | ||
| /// Helfer-Team    | Links werden umgeleitet Hallo und Herzlich Willkommen!
__________________ Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
03.10.2009, 15:37
| #3 |
| | Links werden umgeleitet Hallo und vielen Dank für die Mühe.
__________________Würde gerne die Systembereinigung versuchen. zu 1. "Geschützte Systemdateien ausblenden" > kein Häkchen "Alle Dateien und Ordner anzeigen" > aktiviert zu 2. Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 00E5-E62A
Verzeichnis von F:\
03.10.2009 01:17 43 filelist.txt
02.10.2009 23:07 2.145.386.496 pagefile.sys
26.07.2009 23:04 8.379 resolve.log
3 Datei(en) 2.145.394.918 Bytes
0 Verzeichnis(se), 54.493.720.576 Bytes frei
----- Windows --------------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 00E5-E62A
Verzeichnis von F:\WINDOWS
03.10.2009 00:30 349 wiadebug.log
02.10.2009 23:08 0 0.log
02.10.2009 23:07 50 wiaservc.log
02.10.2009 23:07 0 TempFile
02.10.2009 23:07 2.048 bootstat.dat
02.10.2009 19:21 32.622 SchedLgU.Txt
02.10.2009 19:21 263.924 WindowsUpdate.log
01.10.2009 23:57 1.408 Sandboxie.ini
01.10.2009 23:17 49 NeroDigital.ini
01.10.2009 15:30 227 system.ini
01.10.2009 15:30 528 win.ini
01.10.2009 13:58 15.075 foker.sys
01.10.2009 13:58 14.831 umano.lib
01.10.2009 13:58 12.433 gisucixilu.exe
01.10.2009 13:58 19.821 imogicyj._dl
27.09.2009 12:14 4.096 d3dx.dat
17.09.2009 18:12 62.074 iis6.log
17.09.2009 18:12 20.417 comsetup.log
17.09.2009 18:12 10.956 ntdtcsetup.log
17.09.2009 18:12 18.287 tsoc.log
17.09.2009 18:12 1.874 tabletoc.log
17.09.2009 18:12 2.631 MedCtrOC.log
17.09.2009 18:12 1.696 ocmsn.log
17.09.2009 18:12 5.465 netfxocm.log
17.09.2009 18:12 1.917 imsins.log
17.09.2009 18:12 26.264 ocgen.log
17.09.2009 18:12 1.647 msgsocm.log
17.09.2009 18:12 24.541 FaxSetup.log
17.09.2009 18:12 14.062 msmqinst.log
14.09.2009 16:48 423.559 setupapi.log
14.09.2009 16:08 56.863 wmsetup.log
17.08.2009 22:37 316.640 WMSysPr9.prx
17.08.2009 22:37 81.959 DirectX.log
27.07.2009 11:49 290.030 ntbtlog.txt
26.07.2009 17:59 64 AlphaPlayer.INI
22.07.2009 16:19 1.174 OEWABLog.txt
03.07.2009 03:57 1.448 COM+.log
01.07.2009 18:29 211.489 setupact.log
14.06.2009 19:39 404 MAXLINK.INI
09.06.2009 20:15 9.052 aksdrvsetup.log
03.06.2009 15:52 1.355 imsins.BAK
03.06.2009 15:52 552 spupdsvc.log
31.05.2009 19:57 169 RtlRack.ini
31.05.2009 12:40 0 nsreg.dat
31.05.2009 03:11 2.446 regopt.log
31.05.2009 02:25 16.051 KB955839.log
31.05.2009 02:24 908.102 setuplog.txt
31.05.2009 02:22 8.192 REGLOCS.OLD
31.05.2009 02:19 0 control.ini
31.05.2009 02:19 4.161 ODBCINST.INI
31.05.2009 02:18 749 WindowsShell.Manifest
31.05.2009 02:16 1.023 sessmgr.setup.log
31.05.2009 02:15 36 vb.ini
31.05.2009 02:15 37 vbaddin.ini
31.05.2009 02:15 130 DtcInstall.log
31.05.2009 02:13 200 cmsetacl.log
30.05.2009 19:09 0 Sti_Trace.log
30.05.2009 19:05 0 setuperr.log
29.05.2009 02:04 524.288 opuc.dll
100 Datei(en) 9.373.153 Bytes
0 Verzeichnis(se), 54.493.712.384 Bytes frei
----- System ---
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 00E5-E62A
Verzeichnis von F:\WINDOWS\system
01.10.2009 13:44 58.880 svchost.exe
28 Datei(en) 998.939 Bytes
0 Verzeichnis(se), 54.493.712.384 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 00E5-E62A
Verzeichnis von F:\WINDOWS\system32
02.10.2009 23:09 243.457 NvApps.xml
01.10.2009 15:23 25.088 calc.dll
01.10.2009 14:15 2.068 1094861353.dat
01.10.2009 14:15 13.312 1028m.dll
01.10.2009 13:58 11.445 caka.pif
01.10.2009 13:58 16.050 vuzypifu.vbs
01.10.2009 13:58 17.082 giher.reg
01.10.2009 11:19 2.206 wpa.dbl
01.10.2009 01:22 167.936 _scui.cpl
15.09.2009 11:26 34.064 lhacm.acm
24.07.2009 13:51 2.368 STEC3.sys
22.07.2009 15:45 78 nk.dat
22.07.2009 15:45 1 idm.dat
22.07.2009 15:45 1 ck.dat
22.07.2009 15:45 1 q1.dat
22.07.2009 15:45 1 c2d.dat
15.07.2009 17:00 15.477 lpd
15.07.2009 17:00 69.120 inform.dat
14.07.2009 20:54 2.189.856 nvcuvid.dll
14.07.2009 20:54 1.706.528 nvcuvenc.dll
14.07.2009 20:54 19.495 nvdisp.nvu
14.07.2009 20:54 1.597.690 nvdata.bin
14.07.2009 20:54 485.920 nvudisp.exe
14.07.2009 20:54 5.842.816 nv4_disp.dll
14.07.2009 20:54 151.552 nvcod.dll
14.07.2009 20:54 868.352 nvapi.dll
14.07.2009 20:54 10.457.088 nvoglnt.dll
14.07.2009 20:54 2.002.944 nvcuda.dll
14.07.2009 20:54 151.552 nvcodins.dll
14.07.2009 13:35 420.384 nvcpl.cpl
14.07.2009 13:35 2.505.248 nvcpluir.dll
14.07.2009 13:35 2.173.472 nvcplui.exe
14.07.2009 13:35 266.240 nvrsptb.dll
14.07.2009 13:35 270.336 nvrspt.dll
14.07.2009 13:35 253.952 nvrspl.dll
14.07.2009 13:35 253.952 nvrsno.dll
14.07.2009 13:35 253.952 nvrssv.dll
14.07.2009 13:35 262.144 nvrsko.dll
14.07.2009 13:35 270.336 nvrsja.dll
14.07.2009 13:35 278.528 nvrsit.dll
14.07.2009 13:35 266.240 nvrsru.dll
14.07.2009 13:35 331.776 nvrshe.dll
14.07.2009 13:35 282.624 nvrsfr.dll
14.07.2009 13:35 249.856 nvrsfi.dll
14.07.2009 13:35 274.432 nvrsesm.dll
14.07.2009 13:35 282.624 nvrses.dll
14.07.2009 13:35 245.760 nvrseng.dll
14.07.2009 13:35 253.952 nvrsth.dll
14.07.2009 13:35 278.528 nvrsde.dll
14.07.2009 13:35 258.048 nvrssk.dll
14.07.2009 13:35 258.048 nvrshu.dll
14.07.2009 13:35 258.048 nvrssl.dll
14.07.2009 13:35 253.952 nvrstr.dll
14.07.2009 13:35 229.376 nvrszhc.dll
14.07.2009 13:35 122.880 nvrszht.dll
14.07.2009 13:35 274.432 nvrsnl.dll
14.07.2009 13:35 282.624 nvrsel.dll
14.07.2009 13:35 245.760 nvrscs.dll
14.07.2009 13:35 253.952 nvrsda.dll
14.07.2009 13:35 81.920 nvwddi.dll
14.07.2009 13:35 331.776 nvrsar.dll
14.07.2009 13:35 4.616.192 nvvitvsr.dll
14.07.2009 13:35 4.026.368 nvvitvs.dll
14.07.2009 13:35 3.674.112 nvwssr.dll
14.07.2009 13:35 3.170.304 nvwss.dll
14.07.2009 13:34 4.923.392 nvdisps.dll
14.07.2009 13:34 8.085.504 nvdispsr.dll
14.07.2009 13:34 3.547.136 nvgames.dll
14.07.2009 13:34 4.640.768 nvgamesr.dll
14.07.2009 13:34 66.834 NvwsApps.xml
14.07.2009 13:34 13.877.248 nvcpl.dll
14.07.2009 13:34 188.416 nvmccss.dll
14.07.2009 13:34 143.360 nvcolor.exe
14.07.2009 13:34 458.752 nvmccssr.dll
14.07.2009 13:34 1.286.144 nvmobls.dll
14.07.2009 13:34 86.016 nvmctray.dll
14.07.2009 13:34 2.854.912 nvmoblsr.dll
14.07.2009 13:34 168.004 nvsvc32.exe
14.07.2009 13:34 229.376 nvmccs.dll
10.07.2009 07:01 485.920 NVUNINST.EXE
03.07.2009 12:41 2.054.960 FNTCACHE.DAT
02.07.2009 21:48 440.684 perfh009.dat
02.07.2009 21:48 71.002 perfc009.dat
02.07.2009 21:48 84.500 perfc007.dat
02.07.2009 21:48 458.402 perfh007.dat
02.07.2009 21:48 1.043.260 PerfStringBackup.INI
01.07.2009 10:47 233.472 REX Shared Library.dll
01.07.2009 10:47 368.640 ReWire.dll
09.06.2009 20:15 383 haspdos.sys
09.06.2009 20:15 6.656 haspvdd.dll
09.06.2009 20:15 2.996 config.nt
01.06.2009 16:06 2.998 config.hsp
31.05.2009 03:12 0 h323log.txt
31.05.2009 02:25 211.660 TZLog.log
31.05.2009 02:21 938 $winnt$.inf
31.05.2009 02:19 16.832 amcompat.tlb
31.05.2009 02:19 23.392 nscompat.tlb
31.05.2009 02:18 488 logonui.exe.manifest
31.05.2009 02:18 488 WindowsLogon.manifest
31.05.2009 02:18 749 ncpa.cpl.manifest
31.05.2009 02:18 749 sapi.cpl.manifest
31.05.2009 02:18 749 wuaucpl.cpl.manifest
31.05.2009 02:18 749 cdplayer.exe.manifest
31.05.2009 02:18 749 nwc.cpl.manifest
31.05.2009 02:15 21.740 emptyregdb.dat
30.05.2009 19:06 4.444 pid.PNF
29.05.2009 02:29 52.736 wzcsapi.dll
29.05.2009 02:29 59.392 dmutil.dll
29.05.2009 02:29 483.840 wzcsvc.dll
29.05.2009 02:29 35.328 pid.dll
29.05.2009 02:29 15.360 pjlmon.dll
29.05.2009 02:29 20.992 hid.dll
29.05.2009 02:29 2.068.352 ntkrnlpa.exe
29.05.2009 02:29 299.008 msh263.drv
29.05.2009 02:29 16.896 msyuv.dll
29.05.2009 02:29 51.712 cnbjmon.dll
29.05.2009 02:29 47.616 iyuv_32.dll
29.05.2009 02:28 69.699 usrcoina.dll
29.05.2009 02:28 57.856 dvdplay.exe
29.05.2009 02:28 45.116 usrvoica.dll
29.05.2009 02:28 72.192 sprio800.dll
29.05.2009 02:28 77.883 usrrtosa.dll
29.05.2009 02:28 77.890 usrdpa.dll
29.05.2009 02:28 323.641 usrdtea.dll
29.05.2009 02:28 49.209 usrv80a.dll
29.05.2009 02:28 86.073 usrfaxa.dll
29.05.2009 02:28 8.192 tsbyuv.dll
29.05.2009 02:28 147.968 mdwmdmsp.dll
29.05.2009 02:28 102.457 usrv42a.dll
29.05.2009 02:28 8.192 streamci.dll
29.05.2009 02:28 61.508 usrprbda.exe
29.05.2009 02:28 41.019 usrsvpia.dll
29.05.2009 02:28 69.632 spnike.dll
29.05.2009 02:28 14.336 wowfaxui.dll
29.05.2009 02:28 53.305 usrlbva.dll
29.05.2009 02:28 157.696 paqsp.dll
29.05.2009 02:28 49.211 usrvpa.dll
29.05.2009 02:28 49.211 usrsdpia.dll
29.05.2009 02:28 61.500 usrcntra.dll
29.05.2009 02:28 77.891 usrmlnka.exe
29.05.2009 02:28 69.700 usrshuta.exe
29.05.2009 02:28 3.200 wowfax.dll
29.05.2009 02:28 70.656 sprio600.dll
29.05.2009 02:04 142.696 MicrosoftUpdateCatalogWebControl.dll
29.05.2009 02:04 208.744 muweb.dll
29.05.2009 02:04 43.544 wups2.dll
29.05.2009 02:04 27.672 wuaucpl.cpl.mui
29.05.2009 02:04 18.968 wuaueng.dll.mui
29.05.2009 02:04 27.496 mucltui.dll.mui
29.05.2009 02:04 268.648 mucltui.dll
29.05.2009 02:04 31.768 wucltui.dll.mui
29.05.2009 02:04 27.672 wuapi.dll.mui
29.05.2009 02:04 693.792 OGACheckControl.dll
29.05.2009 02:04 267.304 wgalogon.dll
29.05.2009 02:04 952.360 wgatray.exe
29.05.2009 02:04 1.486.208 LegitCheckControl.dll
29.05.2009 02:03 635.392 gpprefcl.dll
29.05.2009 02:03 202.776 wuweb.dll
29.05.2009 02:03 34.328 wups.dll
29.05.2009 02:03 323.608 wucltui.dll
29.05.2009 02:03 23.576 wuauserv.dll
29.05.2009 02:03 1.809.944 wuaueng.dll
29.05.2009 02:02 213.528 wuaucpl.cpl
29.05.2009 02:02 51.224 wuauclt.exe
29.05.2009 02:02 561.688 wuapi.dll
29.05.2009 02:02 135.168 wshom.ocx
29.05.2009 02:02 90.112 wshext.dll
29.05.2009 02:02 155.648 wscript.exe
29.05.2009 02:02 2.174.976 wmvcore.dll
29.05.2009 02:02 1.053.696 wmnetmgr.dll
29.05.2009 02:02 671.744 wininet.dll
29.05.2009 02:02 104.960 win32spl.dll
29.05.2009 02:02 1.846.912 win32k.sys
29.05.2009 02:02 430.080 vbscript.dll
29.05.2009 02:02 620.544 urlmon.dll
29.05.2009 02:01 247.326 strmdll.dll
29.05.2009 02:01 8.502.272 shell32.dll
29.05.2009 02:00 1.499.136 shdocvw.dll
29.05.2009 02:00 172.032 scrrun.dll
29.05.2009 02:00 180.224 scrobj.dll
29.05.2009 02:00 144.896 schannel.dll
29.05.2009 02:00 1.293.824 quartz.dll
29.05.2009 02:00 2.191.488 ntoskrnl.exe
29.05.2009 01:59 337.408 netapi32.dll
29.05.2009 01:59 1.307.648 msxml6.dll
29.05.2009 01:59 1.106.944 msxml3.dll
29.05.2009 01:59 247.296 mswsock.dll
29.05.2009 01:59 74.752 msw3prt.dll
29.05.2009 01:59 3.088.896 mshtml.dll
29.05.2009 01:58 74.240 mscms.dll
29.05.2009 01:58 103.936 logagent.exe
29.05.2009 01:58 512.000 jscript.dll
29.05.2009 01:58 691.712 inetcomm.dll
29.05.2009 01:58 286.720 gdi32.dll
29.05.2009 01:57 253.952 es.dll
29.05.2009 01:57 147.968 dnsapi.dll
29.05.2009 01:57 135.168 cscript.exe
29.05.2009 01:57 92.696 cdm.dll
26.05.2009 17:18 57.344 QuickTime.qts
26.05.2009 17:18 90.112 QuickTimeVR.qtx
01.05.2009 00:30 31.186 dcc.tvp
01.05.2009 00:30 33.032 finance.tvp
01.05.2009 00:30 53.768 default.tvp
01.05.2009 00:30 29.892 cad.tvp
22.04.2009 00:20 14.311.680 xlive.dll
22.04.2009 00:20 13.642.496 xlivefnt.dll
22.04.2009 00:19 172.173 xlive.dll.cat
26.03.2009 17:15 2.789.672 Wacom_Tablet.exe
26.03.2009 16:40 213.288 Wacom_Tablet.dll
26.03.2009 16:38 6.561.064 WacomTablet.cpl
26.03.2009 16:10 172.840 Wintab32.dll
20.03.2009 11:53 1.651.768 WacomTablet.znc
16.03.2009 14:18 517.448 XAudio2_4.dll
16.03.2009 14:18 22.360 X3DAudio1_6.dll
16.03.2009 14:18 235.352 xactengine3_4.dll
16.03.2009 14:18 69.448 XAPOFX1_3.dll
383 Datei(en) 168.564.286 Bytes
0 Verzeichnis(se), 54.493.573.120 Bytes frei
Code:
ATTFilter 7-Zip 9.03 alpha
Acrobat.com
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Antivirus Pro 2010
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Bonjour
Canon MP Navigator EX 1.0
CanoScan 8800F
CCleaner (remove only)
DDS Thumbnail Viewer
DesignPro SE eMedia
E-MU Xboard
EVEREST Home Edition v2.20
Exact Audio Copy 0.99pb5
FileZilla Client 3.2.4.1
Gothic II
HijackThis 2.0.2
iTunes
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Games for Windows - LIVE Redistributable
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server Compact 3.5 SP1 (Deutsch)
Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch)
Microsoft Visual C# 2008 Express Edition mit SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Microsoft XNA Framework Redistributable 3.0
Microsoft XNA Framework Redistributable 3.1
Microsoft XNA Game Studio 3.1
Microsoft XNA Game Studio Platform Tools
Mozilla Firefox (3.5.3)
Mozilla Thunderbird (2.0.0.23)
MSXML 6.0 Parser
NameWiz
Nero 6 Ultra Edition
NVIDIA Drivers
NVIDIA nView Desktop Manager
Opera 10.00
QuickTime
Realtek AC'97 Audio
SAMSUNG PC Studio 2.0.9
Samsung USB Driver (MCCI 4.24)
Sandboxie 3.40
ScanSoft OmniPage SE 4
Sentinel System Driver
Skype™ 4.1
SQL Server System CLR Types
Sygate Personal Firewall
TeamSpeak 2 RC2
Vista Rainbar 4.3
VLC media player 0.9.9
Wacom Tablett
Winamp
|
|
03.10.2009, 15:45
| #4 |
| | Links werden umgeleitet zu 4. (das logfile hat zuviel Zeichen für das Forum deshalb hier ein Link zum Textfile selbst - "Show All" war deaktiviert) http://www.kristonovo.de/GMERlog.txt Diese Warnung wurde am Schluss des Scans ausgegeben  |
|
03.10.2009, 20:14
| #5 |
| /// Helfer-Team | Links werden umgeleitet hi dürften da gröbere Probleme vorhanden sein: - Du hast dir ein sogenanntes Rogue-Anti-Spyware-Programm geholt - heise.de/security/Zweifelhafte-Antiviren-Produkte - hat sich zusätzlich ein Rootkit bei dir eingenistet Da eine hundertprozentige Erkennung/Entfernung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung : die komplette Neuinstallation. falls Du risikofreudig bist, können wir versuchen dein System wieder einigermaßen hinzubekommen: - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ → Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich ) → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein Code:
ATTFilter Drivers to delete:
SKYNETttkosbpb
Files to delete:
F:\WINDOWS\system32\drivers\SKYNETatnklvip.sys
F:\WINDOWS\system32\SKYNETetlirnvp.dll
F:\WINDOWS\system32\SKYNETxwsakaxw.dat
F:\WINDOWS\system32\SKYNETbwqvmpcb.dll
F:\WINDOWS\system32\SKYNETfoexnwyt.dat
F:\WINDOWS\system32\SKYNETxtetlwxv.dll
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein |
|
03.10.2009, 22:08
| #6 |
| | Links werden umgeleitet *risikofreudig ist* Erste positive Auswirkung: Nach Benutzung von Avenger nach deiner Vorgabe, kann ich Firefox wieder starten (ist permanent abgestürzt) Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at F:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "awql9f3z" found!
Could not open driver awql9f3z for rootkit scan. Error:c0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Rootkit scan completed.
Driver "SKYNETttkosbpb" deleted successfully.
File "F:\WINDOWS\system32\drivers\SKYNETatnklvip.sys" deleted successfully.
File "F:\WINDOWS\system32\SKYNETetlirnvp.dll" deleted successfully.
File "F:\WINDOWS\system32\SKYNETxwsakaxw.dat" deleted successfully.
File "F:\WINDOWS\system32\SKYNETbwqvmpcb.dll" deleted successfully.
File "F:\WINDOWS\system32\SKYNETfoexnwyt.dat" deleted successfully.
File "F:\WINDOWS\system32\SKYNETxtetlwxv.dll" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
|
|
03.10.2009, 23:02
| #7 |
| /// Helfer-Team | Links werden umgeleitet hi keine Entwarnung, jetzt beginnt erst...  1. C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3.
4. reinige dein System mit Ccleaner:
5. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! filelist.bat - den letzten sechs Monaten! |
|
09.10.2009, 20:33
| #8 |
| | Links werden umgeleitet zu 1. avenger\backup.zip > gelöscht > papierkorb geleert zu 2. nach dem scan von Malwarebytes Anti-Malware und der entfernung der funde ist der "worst case" eingetreten. windows ließ sich seitdem nicht mehr starten. der bootvorgang lief bis zum windows ladebalken - danach kam immer nur ein blue screen. daraufhin habe ich windows ein zweites mal installiert um zumindest mal ein laufendes system zu haben und mit der anleitung weiter gemacht. Malwarebytes Anti-Malware log Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2927
Windows 5.1.2600 Service Pack 3
09.10.2009 01:37:15
mbam-log-2009-10-09 (01-37-15).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|N:\|)
Durchsuchte Objekte: 231953
Laufzeit: 25 minute(s), 51 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 4
Infizierte Dateien: 32
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
F:\WINDOWS\system32\calc.dll (Trojan.Agent) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{544735c9-ae13-4721-9de7-d529be675038} (Password.Stealer) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antiviruspro_2010 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AdobeAlerter (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\BN (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D1 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D2 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D3 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\gd (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\pr (Trojan.Ambler) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: f:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
F:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.
F:\Programme\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\data (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
Infizierte Dateien:
F:\WINDOWS\system32\calc.dll (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Username\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AntivirusPro_2010.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AVEngn.dll (Adware.XPSecurityCenter) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\wscui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\lizkavd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPEFYHUD\Install[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
F:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
F:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AntivirusPro_2010.cfg (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\htmlayout.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\pthreadVC2.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\data\daily.cvd (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Username\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Username\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\c2d.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\ck.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\idm.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\inform.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\nk.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\q1.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> Delete on reboot.
F:\WINDOWS\system32\SKYNETlog.dat (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\system\svchost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
zu 3. (ab hier eben mit neu aufgesetztem windows - allerdings ohne die systemfestplatte vorher zu formatieren) SUPERAntiSpyware Scan Log Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 10/09/2009 at 08:27 PM
Application Version : 4.29.1002
Core Rules Database Version : 4157
Trace Rules Database Version: 2084
Scan type : Complete Scan
Total Scan Time : 00:23:53
Memory items scanned : 409
Memory threats detected : 0
Registry items scanned : 3169
Registry threats detected : 0
File items scanned : 24293
File threats detected : 121
Adware.Tracking Cookie
F:\Dokumente und Einstellungen\Username\Cookies\Username@atdmt[1].txt
F:\Dokumente und Einstellungen\Username\Cookies\Username@adfarm1.adition[2].txt
F:\Dokumente und Einstellungen\Username\Cookies\Username@msnportal.112.2o7[1].txt
F:\Dokumente und Einstellungen\Username\Cookies\Username@doubleclick[2].txt
Trojan.Agent/Gen-FakeAlert[Calc]
D:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DLL
D:\DOKUMENTE UND EINSTELLUNGEN\Username\NTUSER.DLL
D:\DOKUMENTE UND EINSTELLUNGEN\Username\STARTMENü\PROGRAMME\AUTOSTART\SCANDISK.DLL
D:\SANDBOX\Username\DEFAULTBOX\DRIVE\F\WINDOWS\SYSTEM32\CALC.DLL
D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000996.DLL
D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000997.DLL
D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000998.DLL
D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\NTUSER.DLL
D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\STARTMENü\PROGRAMME\AUTOSTART\SCANDISK.DLL
Trojan.Dropper/Gen-NV
D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\SERES.EXE
D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\SVCST.EXE
Rootkit.Agent/Gen-Skynet
D:\WINDOWS\TEMP\SKYNETIUJXQCBULI.TMP
D:\WINDOWS\TEMP\SKYNETVCWKIXXUVV.TMP
D:\WINDOWS\TEMP\SKYNETUOFJQKOYWG.TMP
D:\WINDOWS\TEMP\SKYNETSJAXIGOGLQ.TMP
D:\WINDOWS\TEMP\SKYNETFYFRPXTKVN.TMP
D:\WINDOWS\TEMP\SKYNETCAGIENXORS.TMP
D:\WINDOWS\TEMP\SKYNETLXKIDBNSSA.TMP
D:\WINDOWS\TEMP\SKYNETLXMPCFDLQA.TMP
D:\WINDOWS\TEMP\SKYNETWACEUEQNOT.TMP
D:\WINDOWS\TEMP\SKYNETOTUCYSVMBR.TMP
D:\WINDOWS\TEMP\SKYNETKNCGPXRCTX.TMP
D:\WINDOWS\TEMP\SKYNETFEFVQHBTRH.TMP
D:\WINDOWS\TEMP\SKYNETPSWKXQDTAE.TMP
D:\WINDOWS\TEMP\SKYNETVUHSCTHVJC.TMP
D:\WINDOWS\TEMP\SKYNETQDJXBUYRFU.TMP
D:\WINDOWS\TEMP\SKYNETLIOXUAMMWM.TMP
D:\WINDOWS\TEMP\SKYNETSMYMXTXQOW.TMP
D:\WINDOWS\TEMP\SKYNETUOBNHYIPJV.TMP
D:\WINDOWS\TEMP\SKYNETOXIVNVNDNX.TMP
D:\WINDOWS\TEMP\SKYNETXJKREWPAOK.TMP
D:\WINDOWS\TEMP\SKYNETFMXHDCRQBL.TMP
D:\WINDOWS\TEMP\SKYNETBDRQCGOSWM.TMP
D:\WINDOWS\TEMP\SKYNETBPHWROSBCO.TMP
D:\WINDOWS\TEMP\SKYNETDGCCCGDLGP.TMP
D:\WINDOWS\TEMP\SKYNETYYCDBDEAOH.TMP
D:\WINDOWS\TEMP\SKYNETPXUTGOCOAJ.TMP
D:\WINDOWS\TEMP\SKYNETCWBDUWIIRT.TMP
D:\WINDOWS\TEMP\SKYNETTFYXBMSLOO.TMP
D:\WINDOWS\TEMP\SKYNETIOMBAPOBDF.TMP
D:\WINDOWS\TEMP\SKYNETNSHMMRDLLQ.TMP
D:\WINDOWS\TEMP\SKYNETCKNHHMOYJA.TMP
D:\WINDOWS\TEMP\SKYNETRJLQSWXFCX.TMP
D:\WINDOWS\TEMP\SKYNETMDIGWKCPRD.TMP
D:\WINDOWS\TEMP\SKYNETIJEWTITEDK.TMP
D:\WINDOWS\TEMP\SKYNETLUIYFKGYMQ.TMP
D:\WINDOWS\TEMP\SKYNETJOORXPDDGB.TMP
D:\WINDOWS\TEMP\SKYNETCWRFFDENON.TMP
D:\WINDOWS\TEMP\SKYNETHOSTRQMRPX.TMP
D:\WINDOWS\TEMP\SKYNETDYTFGOIFNB.TMP
D:\WINDOWS\TEMP\SKYNETEDWWJGWXRG.TMP
D:\WINDOWS\TEMP\SKYNETUHENBFGFBQ.TMP
D:\WINDOWS\TEMP\SKYNETBBGBMCPHII.TMP
D:\WINDOWS\TEMP\SKYNETDWTCEJPSNA.TMP
D:\WINDOWS\TEMP\SKYNETYEYFCIMNTR.TMP
D:\WINDOWS\TEMP\SKYNETKRJYEBYXER.TMP
D:\WINDOWS\TEMP\SKYNETQOSIRQOIWW.TMP
D:\WINDOWS\TEMP\SKYNETEXYIJMHYAO.TMP
D:\WINDOWS\TEMP\SKYNETFLILHTLPFA.TMP
D:\WINDOWS\TEMP\SKYNETRYIXJDEDUW.TMP
D:\WINDOWS\TEMP\SKYNETEPMXFPLQSW.TMP
D:\WINDOWS\TEMP\SKYNETCDXYVGVPUY.TMP
D:\WINDOWS\TEMP\SKYNETOARNMDETNW.TMP
D:\WINDOWS\TEMP\SKYNETFAWIPOUWBD.TMP
D:\WINDOWS\TEMP\SKYNETRXYAVSTADN.TMP
D:\WINDOWS\TEMP\SKYNETCMXNQWMIRX.TMP
D:\WINDOWS\TEMP\SKYNETVMCHORTCYR.TMP
D:\WINDOWS\TEMP\SKYNETUEJBOWNFLA.TMP
D:\WINDOWS\TEMP\SKYNETXTRBWKPCFU.TMP
D:\WINDOWS\TEMP\SKYNETWWCFLABISF.TMP
D:\WINDOWS\TEMP\SKYNETUMXGNBBIQF.TMP
D:\WINDOWS\TEMP\SKYNETFVISYCIERW.TMP
D:\WINDOWS\TEMP\SKYNETJEEKTRVIFT.TMP
D:\WINDOWS\TEMP\SKYNETPEXEJQIHQV.TMP
D:\WINDOWS\TEMP\SKYNETDQRVCWLNCL.TMP
D:\WINDOWS\TEMP\SKYNETLBXRTOVSMP.TMP
D:\WINDOWS\TEMP\SKYNETNHQPCBQPQU.TMP
D:\WINDOWS\TEMP\SKYNETWPAXSUYDOH.TMP
D:\WINDOWS\TEMP\SKYNETVDIOYWYPYS.TMP
D:\WINDOWS\TEMP\SKYNETONCINPDQTE.TMP
D:\WINDOWS\TEMP\SKYNETFQSJFTXPWQ.TMP
D:\WINDOWS\TEMP\SKYNETSPQPANFFNL.TMP
D:\WINDOWS\TEMP\SKYNETWRGSSEQIIN.TMP
D:\WINDOWS\TEMP\SKYNETMNBBUTOWKE.TMP
D:\WINDOWS\TEMP\SKYNETYCVUMSWKFJ.TMP
D:\WINDOWS\TEMP\SKYNETFQWFKQFLEX.TMP
D:\WINDOWS\TEMP\SKYNETCWIPJUXTOB.TMP
D:\WINDOWS\TEMP\SKYNETUXXKPUOIPH.TMP
D:\WINDOWS\TEMP\SKYNETLPVRHPQDOH.TMP
D:\WINDOWS\TEMP\SKYNETTRQUFPXXNS.TMP
D:\WINDOWS\TEMP\SKYNETUBFUYGBDWM.TMP
D:\WINDOWS\TEMP\SKYNETVCDBDWOROE.TMP
Trojan.Agent/Gen-Cryptor
D:\WINDOWS\TEMP\SKYNETYBBEYONJPO.TMP
D:\WINDOWS\TEMP\SKYNETYULRPDHNOS.TMP
D:\WINDOWS\TEMP\SKYNETRPXJLLIKMH.TMP
D:\WINDOWS\TEMP\SKYNETPBUYPJMSAB.TMP
D:\WINDOWS\TEMP\SKYNETGBEQVNSECY.TMP
D:\WINDOWS\TEMP\SKYNETTTQOBECIFR.TMP
D:\WINDOWS\TEMP\SKYNETHVILFPYNDM.TMP
D:\WINDOWS\TEMP\SKYNETNLVRKBKGPS.TMP
D:\WINDOWS\TEMP\SKYNETXNSTSIYQXN.TMP
D:\WINDOWS\TEMP\SKYNETBCFHSLXNSV.TMP
D:\WINDOWS\TEMP\SKYNETRSJVIXWXQL.TMP
D:\WINDOWS\TEMP\SKYNETEHSRIXECCO.TMP
D:\WINDOWS\TEMP\SKYNETMCCBJVXYLH.TMP
D:\WINDOWS\TEMP\SKYNETMBUAIRMFJV.TMP
D:\WINDOWS\TEMP\SKYNETGXCIOFBCOA.TMP
D:\WINDOWS\TEMP\SKYNETPVXBRNFYYC.TMP
D:\WINDOWS\TEMP\SKYNETQJKNKSPWXR.TMP
D:\WINDOWS\TEMP\SKYNETIKATRJXNEY.TMP
D:\WINDOWS\TEMP\SKYNETCVRLYPISNW.TMP
D:\WINDOWS\TEMP\SKYNETXKFMEFCHQR.TMP
D:\WINDOWS\TEMP\SKYNETNOGFYULTFK.TMP
D:\WINDOWS\TEMP\SKYNETCQQKPOKCCH.TMP
D:\WINDOWS\TEMP\SKYNETVSSGJNWUAP.TMP
D:\WINDOWS\TEMP\SKYNETWIWORPGXNE.TMP
D:\WINDOWS\TEMP\SKYNETPDFNDTISIT.TMP
zu 4. schritte ausgeführt dann neustart zu 5. Trend Micro HijackThis-Logfile Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:15:56, on 09.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe F:\WINDOWS\system32\spoolsv.exe F:\WINDOWS\Explorer.EXE F:\PROGRA~1\SYSTEM\AVGFRE~1\avgwdsvc.exe F:\WINDOWS\system32\RUNDLL32.EXE F:\PROGRA~1\SYSTEM\AVGFRE~1\avgtray.exe F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe F:\Programme\SYSTEM\SUPERAntiSpyware\SUPERAntiSpyware.exe F:\PROGRA~1\SYSTEM\AVGFRE~1\avgemc.exe F:\PROGRA~1\SYSTEM\AVGFRE~1\avgrsx.exe F:\PROGRA~1\SYSTEM\AVGFRE~1\avgnsx.exe F:\Programme\SYSTEM\AVG Free\avgcsrvx.exe F:\Programme\SYSTEM\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - F:\Programme\SYSTEM\AVG Free\avgssie.dll O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\SYSTEM\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [AVG8_TRAY] F:\PROGRA~1\SYSTEM\AVGFRE~1\avgtray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Programme\SYSTEM\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{A19DDEC9-9AE8-4813-B492-07DFEE766C88}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - F:\Programme\SYSTEM\AVG Free\avgpp.dll O20 - Winlogon Notify: !SASWinLogon - F:\Programme\SYSTEM\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: avgrsstarter - F:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\SYSTEM\AVGFRE~1\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\SYSTEM\AVGFRE~1\avgwdsvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe -- End of file - 4322 bytes filelist.bat (Siehe Anhang) |
|
09.10.2009, 23:23
| #9 | |
| /// Helfer-Team | Links werden umgeleitetZitat:
 - Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. - Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
|
10.10.2009, 00:10
| #10 | |
| | Links werden umgeleitetZitat:
|
|
10.10.2009, 02:10
| #11 |
| | Links werden umgeleitet Kaspersky Online wird z.Zt. überarbeitet. werde also morgen weiter machen. hier mal noch ein SUPERAntiSpyware Scan Log vom "alten" windows (denn das lässt sich nach den scans und entfernungen mit der neuen windows installation wieder starten) Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 10/10/2009 at 02:46 AM
Application Version : 4.29.1002
Core Rules Database Version : 4157
Trace Rules Database Version: 2084
Scan type : Complete Scan
Total Scan Time : 01:30:09
Memory items scanned : 431
Memory threats detected : 0
Registry items scanned : 4606
Registry threats detected : 22
File items scanned : 24209
File threats detected : 10
Rogue.XP AntiSpyware 2009
HKU\.DEFAULT\Control Panel\don't load#wscui.cpl [ No ]
HKU\S-1-5-18\Control Panel\don't load#wscui.cpl [ No ]
Trojan.Agent/Gen-AlerterALG
HKU\.DEFAULT\Software\S45
HKU\S-1-5-18\Software\S45
Rootkit.Agent/Gen
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#start
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#type
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#group
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#imagepath
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main#aid
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main#sid
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\delete
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\injector
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\injector#*
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\tasks
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETrk.sys
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETcmd.dll
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETlog.dat
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETwsp.dll
HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNET.dat
Rootkit.Agent/Gen-Skynet
F:\WINDOWS\SYSTEM32\SKYNETEVXTNTVP.DAT
F:\WINDOWS\SYSTEM32\SKYNETFOEXNWYT.DAT
F:\WINDOWS\SYSTEM32\SKYNETXWSAKAXW.DAT
F:\WINDOWS\SYSTEM32\SKYNETBWQVMPCB.DLL
F:\WINDOWS\SYSTEM32\SKYNETETLIRNVP.DLL
F:\WINDOWS\SYSTEM32\SKYNETVJBBOUOI.DLL
F:\WINDOWS\SYSTEM32\SKYNETXTETLWXV.DLL
Trojan.Agent/Gen-FakeAlert[Calc]
F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000999.DLL
F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0001000.DLL
F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0001001.DLL
|
|
10.10.2009, 20:35
| #12 | |
| /// Helfer-Team | Links werden umgeleitetZitat:
ausserdem erneut ein Scan mit Gmer (laut Anleitung) |
|
| Themen zu Links werden umgeleitet |
| adobe, antivir, antivir guard, askbar, avira, bonjour, browser, desktop, dll, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, log files, logfile, nvidia, opera, problem, programme, rundll, sdra64.exe, software, system, userinit.exe, windows, windows xp |
Linear-Darstellung
