Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   virus W32.Myzor.FK@yf (https://www.trojaner-board.de/31086-virus-w32-myzor-fk-yf.html)

seitzo 02.08.2006 21:15
virus W32.Myzor.FK@yf
 
Hallo
ich hab mir anscheinend den Virus W32.Myzor.FK@yf eingefangen.
Das meldet zumindest der Internetexplorer, wenn ich ihn starte.
Da ich mich nicht besonders mit dem Entfernen von Viren auskenne bin ich auf eure Hilfe angewiesen.
Weitere Symptome
Beim Systemsart von WinXP kommt als erstes eine Fehlermeldung, dass die Datei cmd32 im Verzeichnis C:\Windows\system32 fehlt
In der Taskeiste erscheint ein neues Logo Namens Virus Alert.
Der PC läuft langsamer.
Zeitweise Interntverbindung, dann aber sehr langsam.

Hab hier das,..

Logfile of HijackThis v1.99.1
Scan saved at 18:23:41, on 02.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\YMBOLS~1\cmd.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\?ecurity\n?tepad.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroDist.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alltheweb.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R3 - URLSearchHook: (no name) - {EF41B64D-2DFD-250F-D9A7-2117C0805FE1} - C:\WINDOWS\system32\iuncnz.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\cmd32.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [CMD] cmd32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fc52d965.exe] C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\fc52d965.exe
O4 - HKCU\..\Run: [Oece] "C:\WINDOWS\system32\YMBOLS~1\cmd.exe" -vt yax
O4 - HKCU\..\Run: [Lxum] C:\Dokumente und Einstellungen\******\Eigene Dateien\?ecurity\n?tepad.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spx: C:\Programme\OpenSpxPlugin\npspx32.dll
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.tbcode.com/ist/softwares/v4.0/0006_serial.cab
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - h**p://www.euras.com/euras/activex2/euras.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E85B213-311C-492A-9C3C-EA1046F21AEC}: NameServer = 192.168.50.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05654E2-ADF7-4C45-86CE-F0416251A457}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F23BDD9F-594C-41E1-9483-D90D500CBB36}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4912330-5E91-4889-80FA-AA4C64A75041}: NameServer = 192.168.50.50
O20 - AppInit_DLLs: dllhost.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FinePrint Dispatcher v5 - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe



............. mit dem kann ich aber nicht viel anfangen

wie mach ich jetzt weiter, wie gesagt ich hab keine Ahnung

BataAlexander 03.08.2006 09:53
Hallo,

lade Dir http://siri.geekstogo.com/SmitfraudFix_De.php, gehe wie unter Reinigung beschrieben vor und poste dannach die rapport.txt und ein neues HJT Logfile.

Gruß

Schrulli

felix1 03.08.2006 10:20
Mal sehen, ob es etwas bringt?
Ich denke, dass sollte auch noch vorhanden sein:
http://www.sophos.de/virusinfo/analyses/w32dumarua.html

http://www.sophos.de/security/analys...dloaderjw.html

@Schrulli
Moin, Moin:)

seitzo 03.08.2006 11:43
@felix1

Hab alles gemacht wie beschrieben,
der Hintergrund im normalen Modus, hat sich jetzt allerdings geändert!

Hier die neue rapport.txt........

SmitFraudFix v2.79

Scan done at 12:11:06,52, 03.08.2006
Run from C:\Dokumente und Einstellungen\****\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\pmnqguh.dll ->
C:\WINDOWS\system32\pmnqguh.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

..........und hier die neue HJT.log

Logfile of HijackThis v1.99.1
Scan saved at 12:33:10, on 03.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\YMBOLS~1\cmd.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\?ecurity\n?tepad.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HiJackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - {EF41B64D-2DFD-250F-D9A7-2117C0805FE1} - C:\WINDOWS\system32\iuncnz.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\cmd32.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [CMD] cmd32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fc52d965.exe] C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\fc52d965.exe
O4 - HKCU\..\Run: [Oece] "C:\WINDOWS\system32\YMBOLS~1\cmd.exe" -vt yax
O4 - HKCU\..\Run: [Lxum] C:\Dokumente und Einstellungen\******\Eigene Dateien\?ecurity\n?tepad.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spx: C:\Programme\OpenSpxPlugin\npspx32.dll
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_serial.cab
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - http://www.euras.com/euras/activex2/euras.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E85B213-311C-492A-9C3C-EA1046F21AEC}: NameServer = 192.168.50.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05654E2-ADF7-4C45-86CE-F0416251A457}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F23BDD9F-594C-41E1-9483-D90D500CBB36}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4912330-5E91-4889-80FA-AA4C64A75041}: NameServer = 192.168.50.50
O20 - AppInit_DLLs: dllhost.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FinePrint Dispatcher v5 - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe



......könnt Ihr mir vieleicht erklären, warum ich im Abgesicherten Modus die wahl zwischen meinem Benutzernamen und dem Administartor hatte, im Normalbetrieb jedoch nicht.


Und tut mir leid das ich solang gebraucht habe, da meine Internetverbindung so langsam ist, muss ich die Daten immer per USB-Stick auf einen anderen PC übertragen und von da aus posten.

Übrigens das Logo Virus Alert in der Taskleiste ist jetzt weg.

Muss ich noch weitere Sachen entfernen ? Und wie mach ich das? Ich bedanke mich schon mal im vorraus.

BataAlexander 03.08.2006 12:03
Hallo,

diese Einträge mittels HJT fixen:

R3 - URLSearchHook: (no name) - {EF41B64D-2DFD-250F-D9A7-2117C0805FE1} - C:\WINDOWS\system32\iuncnz.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\cmd32.exe
O4 - HKCU\..\Run: [fc52d965.exe] C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\fc52d965.exe
O4 - HKCU\..\Run: [Oece] "C:\WINDOWS\system32\YMBOLS~1\cmd.exe" -vt yax
O4 - HKCU\..\Run: [Lxum] C:\Dokumente und Einstellungen\******\Eigene Dateien\?ecurity\n?tepad.exe

dannach Killbox laden und die Dateien

C:\WINDOWS\system32\iuncnz.dll
C:\WINDOWS\system32\cmd32.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\fc52d965.exe
C:\WINDOWS\system32\YMBOLS~1\cmd.exe:\Dokumente und Einstellungen\******\Eigene Dateien\?ecurity\n?tepad.exe

mit der Option delete on reboot löschen.

Dannach reinige das System mittels diesem, poste dann die vier Logs der datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli

seitzo 03.08.2006 15:28
Hab die Dateien gefickt
Die Links die du angegeben hast funktionieren bei mir leider nicht?
Was ist eine Killbox?

BataAlexander 03.08.2006 15:44
Hallo,

was hast Du mit den Dateien gemacht?

Was passiert, wenn Du den Links nachgehst?

Gruß

Schrulli

seitzo 03.08.2006 15:54
:pfui: Sorry Schreibfehler gefixt

Wenn ich die Seiten lade erscheinen blaue Hintergründe, sonst nichts.

seitzo 03.08.2006 16:29
Hab mal meine Mails durchgeschaut und siehe da, bei den abonierten Beiträgen funktioniert der Link. Wiso aber nicht der vom Forum? Ich schreibe doch nicht von dem Infiizierten PC? Werd mal das jetzt ausprobieren.

seitzo 03.08.2006 18:58
habs endlich hinbekommen :aplaus:
denk ich zumindest?

hier der Inhalt der Dateien....

Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

03.08.2006 19:47 0 sys.txt
03.08.2006 19:47 10.216 system.txt
03.08.2006 19:46 292 systemtemp.txt
03.08.2006 19:46 107.297 system32.txt
03.08.2006 19:34 301.989.888 pagefile.sys
03.08.2006 12:12 1.364 rapport.txt
16.07.2006 08:53 1.118 INSTALL.LOG
02.06.2006 19:44 11 (M).BAT

Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

03.08.2006 19:34 1.042.428 ntbtlog.txt
03.08.2006 19:34 2.048 bootstat.dat
03.08.2006 19:33 1.601.951 WindowsUpdate.log
03.08.2006 19:29 32.634 SchedLgU.Txt
03.08.2006 19:29 216 wiadebug.log
03.08.2006 19:29 50 wiaservc.log
03.08.2006 19:18 4.230 ModemLog_Agere Systems AC'97 Modem.txt
03.08.2006 19:16 0 0.log
03.08.2006 12:11 222.872 setupact.log
02.08.2006 17:48 170.970 setupapi.log
30.07.2006 21:34 370 win.ini
30.07.2006 17:59 42 AcrobatSetupStatus.ini
30.07.2006 14:23 41.175 wmsetup.log
30.07.2006 13:51 506 Directx.log
30.07.2006 13:43 316.640 WMSysPr9.prx
30.07.2006 13:41 4.161 ODBCINST.INI
29.07.2006 22:06 432 BRWMARK.INI
23.07.2006 22:38 116 NeroDigital.ini
16.07.2006 07:57 767 cdplayer.ini
12.07.2006 14:23 22.631 ocmsn.log
12.07.2006 14:23 91.668 iis6.log
12.07.2006 14:23 29.915 msgsocm.log
12.07.2006 14:23 305.360 ocgen.log
12.07.2006 14:23 99.672 ntdtcsetup.log
12.07.2006 14:23 233.510 tsoc.log
12.07.2006 14:23 164.736 comsetup.log
12.07.2006 14:23 1.374 imsins.log
12.07.2006 14:23 603.496 FaxSetup.log
12.07.2006 14:23 11.822 KB917159.log
12.07.2006 14:23 12.332 KB914388.log
12.07.2006 14:23 35.485 updspapi.log
12.07.2006 14:23 1.374 imsins.BAK
12.07.2006 14:23 10.261 KB916595.log
10.07.2006 11:55 7.326 WgaNotify.log
15.06.2006 11:17 31.600 spupdsvc.log
14.06.2006 18:55 10.966 KB917734.log
14.06.2006 18:54 14.215 KB918439.log
14.06.2006 18:54 14.575 KB917344.log
14.06.2006 18:54 14.350 KB917953.log
14.06.2006 18:54 14.329 KB911280.log
14.06.2006 18:54 17.651 KB916281.log
14.06.2006 18:53 11.414 KB914389.log

Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

03.08.2006 19:46 206.880 tuwvw.ini2
03.08.2006 19:18 1.158 wpa.dbl
03.08.2006 16:05 262.321 tuwvw.bak2
03.08.2006 15:04 143 mcrh.tmp
30.07.2006 21:35 14.848 cool.exe
30.07.2006 20:00 57.384 avsda.dll
30.07.2006 19:05 50.458 interceptor.sys
30.07.2006 18:58 2.953 CONFIG.NT
30.07.2006 18:30 207.143 tuwvw.tmp
30.07.2006 18:30 16.384 tuwvw.ini
30.07.2006 14:23 217.656 FNTCACHE.DAT
30.07.2006 14:20 205.918 tuwvw.bak1
30.07.2006 14:19 573.492 wvwut.dll
30.07.2006 14:10 2 wnscpcc.exe
30.07.2006 14:08 40.973 urqrpop.dll
30.07.2006 13:40 108.544 pxcpyi64.exe
30.07.2006 13:40 56.832 pxcpya64.exe
30.07.2006 13:40 109.568 pxinsi64.exe
30.07.2006 13:40 405.504 px.dll
30.07.2006 13:40 56.320 pxinsa64.exe
30.07.2006 13:40 61.440 pxhpinst.exe
30.07.2006 13:40 1.191.936 pxsfs.dll
30.07.2006 13:40 172.032 pxmas.dll
30.07.2006 13:40 339.968 pxwave.dll
30.07.2006 13:40 28.672 vxblock.dll
30.07.2006 13:40 434.176 pxdrv.dll
13.07.2006 12:08 384.930 perfh009.dat
13.07.2006 12:08 54.614 perfc009.dat
13.07.2006 12:08 65.866 perfc007.dat
13.07.2006 12:08 396.586 perfh007.dat
13.07.2006 12:08 911.074 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll

Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp

03.08.2006 19:27 203 jusched.log
1 Datei(en) 203 Bytes
0 Verzeichnis(se), 1.763.000.320 Bytes frei

Kannst du mir jetzt sagen ob ich alles richtig gemacht habe, muss ich eventuell noch mehr löschen und was muss ich machen, dass soetwas nicht wieder vorkommt

Hab das alles immer im Abgesicherten Modus gemacht, war das nötig.
Manches war allerdings nicht ganz so wie in den Anleitungen

BataAlexander 03.08.2006 23:46
Hallo,

Du hast alles richtig gemacht, die neuen Informationen bringen mich aber dahin Dir sagen zu müssen, dass Du Deinen Rechner neu machen musst, Du hast u.a. auch noch diesen im System.

Lies Dir dazu diese Anleitung duch.

Gruß

Schrulli

seitzo 04.08.2006 12:36
Kann ich den meine Daten die ich noch benötige ca. 5Gbyte per Netzwerk auf den anderen PC übertragen, oder ist das zu unsicher?

kloeschen 05.08.2006 14:14
schönen guten tag

hatte mir eben gerade dass selbe blöde ding eingefangen...bin nach ner anleitung zum entfernen vorgegeangen mit smidfraudfix und ewido..
startseite is jetzt wieder normal aber ich bin mir nicht sicher, ob alles weg ist !
deshalb hier mal das hijack file, vielleicht kann jemand mich oder besser gesagt meine freundin beruhigen, da es ihr rechner ist (;

Logfile of HijackThis v1.99.1
Scan saved at 15:08:24, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\E_S00RP2.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Katja\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ITD7] "C:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe" -boot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {33D25BD2-1F65-4C7A-8BAA-35979B0D83FE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {33D25BD2-1F65-4C7A-8BAA-35979B0D83FE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E18C449-44AA-4109-8301-3A0E3F70EF12}: NameServer = 217.237.148.33 217.237.151.33
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

mfg und danke

BataAlexander 07.08.2006 17:00
Hallo,

@seitzo: Du kannst die Daten auch via Netzwerk transferieren, aber danach direkt scannen lassen.

@kloeschen: Das Log ist sauber, sagt aber noch nicht viel aus, scanne hiermit und poste das Log.

Gruß

Schrulli


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131