Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wdcfg3xx\SysMap.NET.dll Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.12.2010, 10:46   #1
StuwardSu
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



Hallo liebes Forum,

ich habe seit einigen Tagen wohl einen Trojaner auf meinem PC. Dieses meldet mir Avira Anti-Vir immer wieder.

Name: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Wdcfg3xx\SysMap.NET.dll'

Art: Trojanisches Pferd TR/Spy.81920.505

Habt ihr davon schon mal gehört?

Ich war mir jetzt nicht sicher ob ich ein Log posten sollte, weil es ja schon sicher ist, dass ich einen Virus habe. Nur ich habe keinerlei Ideen, wie ich diesen entfernen könnte. Avira schafft es nicht.

Geändert von StuwardSu (07.12.2010 um 10:53 Uhr) Grund: verschrieben

Alt 07.12.2010, 11:59   #2
markusg
/// Malware-holic
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.
__________________

__________________

Alt 07.12.2010, 18:07   #3
StuwardSu
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



Danke für die schnelle Hilfe!

PHP-Code:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5260

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.12.2010 18:02:08
mbam-log-2010-12-07 (18-02-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 305117
Laufzeit: 1 Stunde(n), 54 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> 2044 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Value: csrcs -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysMap.NET (Trojan.Agent) -> Value: SysMap.NET -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Trojan.Agent) -> Bad: (csrcs.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{eec4e15f-6314-45ef-b511-9327c8a9258d}\RP346\A0075368.exe (PWS.Tibia) -> Quarantined and deleted successfully.
c:\system volume information\_restore{eec4e15f-6314-45ef-b511-9327c8a9258d}\RP348\A0076629.exe (PWS.Tibia) -> Quarantined and deleted successfully.
c:\system volume information\_restore{eec4e15f-6314-45ef-b511-9327c8a9258d}\RP370\A0112259.exe (PWS.Tibia) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\Desktop\Software\m2 multiversionhack by banjo1 v3.87\MULTHACK.exe (Trojan.Fakealert) -> Not selected for removal.
c:\dokumente und einstellungen\***\Desktop\Software\cryptload_1.1.8\ocr\netload.in\asmcaptcha\test.exe (Malware.Packer) -> Not selected for removal.
c:\dokumente und einstellungen\***\Desktop\Software\cryptload_1.1.8\router\fritz!box\nc.exe (PUP.KeyLogger) -> Not selected for removal.
c:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\pwfile.log (Stolen.Data) -> Quarantined and deleted successfully. 
__________________

Alt 07.12.2010, 18:25   #4
markusg
/// Malware-holic
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.12.2010, 15:30   #5
StuwardSu
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



Hallo,

nach dem Combo bei mir nach infizierten Objekten sucht, startet der PC neu und wirft mir keinen Log aus.

Was mach ich denn falsch? Bzw. was kann man falsch machen? Mann muss ja nur Combo. starten.


Alt 08.12.2010, 15:34   #6
markusg
/// Malware-holic
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



versuchs mal im abgesicherten modus ohne netzwerk, bei pc start sollte das menü mit f8 aufzurufen sein.
__________________
--> Wdcfg3xx\SysMap.NET.dll Trojaner

Alt 08.12.2010, 20:14   #7
StuwardSu
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



Hier der Scan. Hab ich wie du gesagt hast, im abgespeicherten Modus gemacht. Combo hat zwar gemeldet, das Anti-Vir an wäre, war es aber nicht. War auch nicht unter den Processen aufgeführt.

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-12-07.04 - *** 08.12.2010  19:45:20.3.4 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.3051 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\autorun.i
c:\windows\system32\autorun.in

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-08 bis 2010-12-08  ))))))))))))))))))))))))))))))
.

2010-12-07 13:19 . 2010-12-07 13:19	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-12-07 13:19 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-07 13:19 . 2010-12-07 13:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-07 13:19 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-07 09:34 . 2010-12-07 09:34	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-12-06 21:26 . 2010-12-06 21:26	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-12-06 21:25 . 2010-12-06 21:25	--------	d-----w-	c:\programme\iPod
2010-12-06 21:25 . 2010-12-06 21:25	--------	d-----w-	c:\programme\iTunes
2010-12-06 21:21 . 2010-12-06 21:21	--------	d-----w-	c:\programme\Bonjour
2010-12-06 18:15 . 2010-12-06 18:15	85465960	----a-w-	c:\programme\Gemeinsame Dateien\Windows Live\.cache\wlc15D.tmp
2010-11-11 21:59 . 2010-11-11 22:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-11-11 21:59 . 2010-11-11 21:59	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\AOL
2010-11-09 23:03 . 2008-04-17 11:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-11-09 23:00 . 2010-11-09 23:00	--------	d-----w-	c:\programme\Apple Software Update

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 11:23 . 2010-10-07 11:23	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2010-10-07 11:23 . 2010-10-07 11:23	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-10-07 11:23 . 2010-10-07 11:23	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-09-28 14:44 . 2010-03-26 16:44	4184352	----a-w-	c:\windows\system32\usbaaplrc.dll
2010-09-28 14:44 . 2008-12-21 00:02	41984	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2008-11-22 00:20 . 2009-03-12 15:41	7725	-c--a-w-	c:\programme\Sims2 eXtreme uninstall.bat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296]
"Kone"="c:\programme\ROCCAT\Kone Mouse\KoneHID.EXE" [2008-10-06 151552]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2009-08-13 357384]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2009-08-13 1573384]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2009-08-13 3161608]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-03-17 1040384]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Stardock ObjectDock.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Stardock ObjectDock.lnk
backup=c:\windows\pss\Stardock ObjectDock.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07	932288	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-09-18 15:34	205976	----a-w-	c:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-11-17 19:59	421160	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\programme\Spiele\Combat Arms EU\CombatArms.exe"= c:\programme\Spiele\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
"c:\programme\Spiele\Combat Arms EU\Engine.exe"= c:\programme\Spiele\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
"c:\\Programme\\Spiele\\Combat Arms EU\\NMService.exe"=
"c:\\Programme\\Ventrilo\\Ventrilo.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonEU\\NGM\\NGM.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Spiele\\League of Legends\\Air\\LolClient.exe"=
"c:\\Programme\\Spiele\\League of Legends\\Game\\League of Legends.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56758:TCP"= 56758:TCP:Pando Media Booster
"56758:UDP"= 56758:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6906:TCP"= 6906:TCP:League of Legends Launcher
"6906:UDP"= 6906:UDP:League of Legends Launcher
"6928:TCP"= 6928:TCP:League of Legends Launcher
"6928:UDP"= 6928:UDP:League of Legends Launcher
"8395:TCP"= 8395:TCP:League of Legends Launcher
"8395:UDP"= 8395:UDP:League of Legends Launcher
"6917:TCP"= 6917:TCP:League of Legends Launcher
"6917:UDP"= 6917:UDP:League of Legends Launcher
"6899:TCP"= 6899:TCP:League of Legends Launcher
"6899:UDP"= 6899:UDP:League of Legends Launcher
"6941:TCP"= 6941:TCP:League of Legends Launcher
"6941:UDP"= 6941:UDP:League of Legends Launcher
"6950:TCP"= 6950:TCP:League of Legends Launcher
"6950:UDP"= 6950:UDP:League of Legends Launcher
"8396:TCP"= 8396:TCP:League of Legends Launcher
"8396:UDP"= 8396:UDP:League of Legends Launcher
"6980:TCP"= 6980:TCP:League of Legends Launcher
"6980:UDP"= 6980:UDP:League of Legends Launcher
"6923:TCP"= 6923:TCP:League of Legends Launcher
"6923:UDP"= 6923:UDP:League of Legends Launcher
"6921:TCP"= 6921:TCP:League of Legends Launcher
"6921:UDP"= 6921:UDP:League of Legends Launcher
"6948:TCP"= 6948:TCP:League of Legends Launcher
"6948:UDP"= 6948:UDP:League of Legends Launcher
"6945:TCP"= 6945:TCP:League of Legends Launcher
"6945:UDP"= 6945:UDP:League of Legends Launcher

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [16.11.2008 14:47 150568]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.11.2008 20:10 722416]
R3 KoneFltr;ROCCAT Kone;c:\windows\system32\drivers\Kone.sys [12.04.2009 14:25 13056]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [14.07.2009 15:35 19720]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.01.2010 19:03 108289]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [19.07.2009 11:53 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [19.07.2009 11:53 36608]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 21:22 34064]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = plimus.com;www.plimus.com;regnow.com;www.regnow.com;*.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\qhrpwvf6.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\npNxGameeu.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\qhrpwvf6.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Makro - c:\dokumente und einstellungen\***\Desktop\makro\Makro.exe
MSConfigStartUp-{D5A4E63C-7B56-3CF4-4A07-A7F59218CC37} - c:\dokumente und einstellungen\***\Anwendungsdaten\Veekez\uksa.exe
AddRemove-EADM - c:\programme\Spiele\EA SPORTS\FUSSBALL MANAGER 10\EADM\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-08 19:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-1844237615-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:49,09,bf,1b,02,cb,e7,cd,df,11,66,06,41,db,b7,ba,1b,23,2d,5c,2c,
   17,6f,5f,f3,03,1b,9b,df,c8,0f,a8,af,fb,69,e4,bf,06,e8,4d,22,f2,75,8c,93,5c,\
"rkeysecu"=hex:b1,e1,b4,85,e8,28,5b,59,4c,9a,71,1b,3e,60,84,ee
.
Zeit der Fertigstellung: 2010-12-08  20:01:06
ComboFix-quarantined-files.txt  2010-12-08 19:00

Vor Suchlauf: 11 Verzeichnis(se), 24.838.664.192 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 25.622.781.952 Bytes frei

- - End Of File - - E5A7A75AD583693D988D6CF888777329
         
--- --- ---

Alt 08.12.2010, 20:27   #8
markusg
/// Malware-holic
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



start programme zubehör editor.

kopiere rein:

Killall::
Folder::
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Wdcfg3xx

* durch namen ersetzen

Datei speichern unter, ort dort wo sich combofix befindet. typ alle dateien name cfscript.txt
cfscript auf combofix ziehen programm startet, log posten.
evtl. im abgesicherten modus combofix laufen lassen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 10.12.2010, 19:29   #9
StuwardSu
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



Hatte den Ordner schon manuell geöscht => Syntax falsch.

PHP-Code:
Datei speichern unterort dort wo sich combofix befindettyp alle dateien name cfscript.txt
cfscript auf combofix ziehen programm startet
log posten.
evtlim abgesicherten modus combofix laufen lassen
Das hatte ich nicht ganz verstanden

Alt 10.12.2010, 19:48   #10
markusg
/// Malware-holic
 
Wdcfg3xx\SysMap.NET.dll Trojaner - Standard

Wdcfg3xx\SysMap.NET.dll Trojaner



auf datei, speichern unter, typ alle dateien. ist unter dem name feld die auswahlliste.
im feld name
cfscript.txt
und speicherort, wo sich die combofix.exe befindet.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Wdcfg3xx\SysMap.NET.dll Trojaner
.dll, anwendungsdaten, avira, dokumente, einstellungen, entferne, entfernen, forum, ideen, keinerlei, log, lokale, melde, meldet, nicht sicher, poste, posten, schafft, tagen, tr/spy., troja, trojane, trojaner, virus




Zum Thema Wdcfg3xx\SysMap.NET.dll Trojaner - Hallo liebes Forum, ich habe seit einigen Tagen wohl einen Trojaner auf meinem PC. Dieses meldet mir Avira Anti-Vir immer wieder. Name: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Wdcfg3xx\SysMap.NET.dll' Art: Trojanisches Pferd TR/Spy.81920.505 - Wdcfg3xx\SysMap.NET.dll Trojaner...
Archiv
Du betrachtest: Wdcfg3xx\SysMap.NET.dll Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.