Trojaner-Board - iddC.tmp.exe Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - iddC.tmp.exe Trojaner (https://www.trojaner-board.de/33661-iddc-tmp-exe-trojaner.html)

iddC.tmp.exe Trojaner

Tach,

also ich hoff ihr könnt mir helfen, bei mir kommt nach paar min nach nem Systemstart immer eine Warnung:

Von iddC.tmp

NON HO TRAVATO NESSUN MODEM PER LA CONNESSIONE

Keine Ahnung was das für ne sprache is:D

Und nach diesem Zeitpunkt startet sich der Prozess iddC.tem.exe!

Ich hoffe ihr könnt mir helfen ihn wieder loszukriegen!

Danke schon mal im Vorraus!

Code:

Logfile of HijackThis v1.99.1

Scan saved at 15:47:56, on 19.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

D:\Programme\ICQLite\ICQLite.exe

C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802060031}\Update.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\svchost.exe

D:\Programme\Xfire\Xfire.exe

D:\Programme\Teamspeak2_RC2\TeamSpeak.exe

C:\WINDOWS\TEMP\win79.tmp.exe

C:\WINDOWS\TEMP\iddC.tmp.exe

C:\WINDOWS\system32\taskmgr.exe

C:\DOKUME~1\Lennix!\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box

O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"

O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)

UPDATE

Logfile of HijackThis v1.99.1
Scan saved at 17:18:07, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802060031}\Update.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Xfire\Xfire.exe
C:\WINDOWS\TEMP\win79.tmp.exe
D:\Programme\GUILD WARS\Gw.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Lennix!\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe

Hi

Also die Sprache ist Italienisch und das heisst:
"Es wurde kein Modem für die Verbindung gefunden"..

Das deutet für mich auf einen Dialer hin.

Check mal die Files bei Virustotal.com

C:\WINDOWS\TEMP\win79.tmp.exe

(Schmeiss eventuell mal alles aus deinem Temp Verz. raus, sollte an sich nix passieren dabei, eventuell ändert der den Namen bei jedem Start).

C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802
060031}\Update.exe

C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\MsPMSPSv.exe

Lg

Also ich hab die Datein hochgeladen und wurden gescannt!

Haben aber nirgends einen Virus gefunden!

Aber dieses Fenster kommt immer noch *grrr*

Und im temp verzeichniss kann ich nicht alle datein löschen!

Hi

packed die Datei

C:\WINDOWS\TEMP\win79.tmp.exe

in ein RAR oder Zip und stell sie mir irgendwo rauf wo ich sie mir runterladen kann, ich schau mir die dann genauer an und sage dir was Sache ist :)

lg

Welche Files im Temp Verz. kannst du nicht löschen ?
(Welche Programme rennen gerade ? )

Also die Win79.tmp datei gibts nicht mehr!

Sind nur noch:

idd1D.tmp
idd2B.tmp
idd2C.tmp
idd19.tmp
idd20.tmp
win1C.tmp
win1F.tmp
win2A.tmp
win18.tmp
22 -29 jeweils win**.tmp

Drin! Ich glaub die win79.tmp hab ich gelöscht!

Und löschen kann ich davon die "win1C.tmp" datei nicht!
Soll ich dir die Datei mal packen?

Auch wenn ich keine Programme mehr offen hab!

gruß

Hi

Ja pack die mal und stell die wo rauf, ich schau mir die morgen genauer an :)

Du kannst die nat. auch bei Virustotal raufladen, und schauen was rauskommt dabei :)

lg

Ok also jetzt konnt ich alle Datein im "temp" verzeichniss löschen!

Ich starte eben mein pc neu und schreib ein neues HiJackThis Log file rein!

Zitat:

Zitat von Lennix (Beitrag 240855)

Also ich hab die Datein hochgeladen und wurden gescannt!

Haben aber nirgends einen Virus gefunden!

Das mag wohl im ersten Moment richtig sein, hast du denn mal die Größe der Datei kontrolliert?! Diese lag sicherlich bei der Auswertung bei 0Kb, das ist ein Selbstschutz des Trojaners bzw. Schädlings.

Versuch daher mal folgendes, benenne die Datei win79.tmp.exe um, in z.B. Virus.exe, lass diese dann nochmals auswerten und poste das Ergebnis. (alles kopieren und hier einfügen in deinen Beitrag!)

Gruß
Sunny

Hi :)

Ja gute Idee, ich hoffe nur nicht das der seinen Namen ändert, aber auch dann finden wir ihn ;)

PM Sunny :):daumenhoc

Also ich hab nen restart gemacht, und alles war weg!

Gut, aber nach 10min kam dieses Italienische fenster wieder und es waren wieder 2 Prozesse offen und 2 Datein im Temp ordner!

Dateinamen:

idd4.tmp
win3.tmp

Beide bei Totalvirus.com hochgeladen und diesmal haben sie ne menge gefunden!

Werden gerade noch gescannt! Werd sie gleich posten!

So es gibt arbeit:D

Complete scanning result of "idd4.tmp.exe", received in VirusTotal at 11.19.2006, 20:12:45 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 TR/PCK.Klone.G.69.A

Authentium 4.93.8 11.17.2006 Possibly a new variant of W32/Dialer.TCS-behavior!Maximus

Avast 4.7.892.0 11.18.2006 no virus found

AVG 386 11.18.2006 Potentially harmful program Dialer.DCH

BitDefender 7.2 11.19.2006 Dialer.Zicapli.A

CAT-QuickHeal 8.00 11.18.2006 no virus found

ClamAV devel-20060426 11.19.2006 Dialer-747

DrWeb 4.33 11.19.2006 no virus found

eSafe 7.0.14.0 11.19.2006 suspicious Trojan/Worm

eTrust-InoculateIT 23.73.59 11.18.2006 no virus found

eTrust-Vet 30.3.3197 11.17.2006 no virus found

Ewido 4.0 11.19.2006 Dialer.Small

Fortinet 2.82.0.0 11.19.2006 Dial/TDial

F-Prot 3.16f 11.17.2006 Possibly a new variant of
W32/Dialer.TCS-behavior!Maximus

F-Prot4 4.2.1.29 11.17.2006 W32/Dialer.TCS-behavior!Maximus

Ikarus 0.2.65.0 11.19.2006 no virus found

Kaspersky 4.0.2.24 11.19.2006 Trojan.Win32.Dialer.qn

McAfee 4899 11.18.2006 potentially unwanted program Dialer-gen

Microsoft 1.1609 11.19.2006 no virus found

NOD32v2 1871 11.19.2006 no virus found

Norman 5.80.02 11.17.2006 W32/Dialer.AYTX

Panda 9.0.0.4 11.19.2006 Dialer.IBW

Prevx1 V2 11.19.2006 no virus found

Sophos 4.11.0 11.16.2006 Dial/TDial-B

TheHacker 6.0.3.122 11.18.2006 Dialer/Generico

UNA 1.83 11.17.2006 no virus found

VBA32 3.11.1 11.19.2006 Trojan.Win32.Dialer.qn

VirusBuster 4.3.15:9 11.19.2006 no virus found

Aditional Information
File size: 13080 bytes
MD5: a80d258e26de139372e95e42767878f1
SHA1: 9e482dec29d6c71a2871db6af907c1940e0436a6
packers: UPX
packers: UPX
packers: UPX

So und die andere Datei scannt noch, aber hängt anscheinend!

File "win3.tmp.exe" received on 11.19.2006 at 20:13:21 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 TR/PCK.Klone.G.69

Authentium 4.93.8 11.17.2006 no virus found

Avast 4.7.892.0 11.18.2006 Win32:Pakes-EO

AVG 386 11.18.2006 Generic2.EZZ

Aditional Information
File size: 33280 bytes
MD5: 8dd9eb58bef7d41eb9f37b832c83d1f5
SHA1: d0675e5e1e6fa0910aea014a9c71d255f17f45aa

Also wenn ich mein TEMP ordner lösche is alles weg, also leer!
Wenn ich neustart mach is er auch noch leer, aber wenn dann das fenster wieder kommt! Siehts so aus:

http://mitglied.lycos.de/lennix/FU.JPG

Dann nach 5-10min kommt wieder so ein ITL. Fenster und dann siehts so aus!

http://mitglied.lycos.de/lennix/PIC.JPG

ich glaub die vermehren sich:D

Helft mir doch!:(

Ehe Njall Deinem PC noch ernsthaften Schaden zu zufügen kann:
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Hi Felix

Sei bitte so nett und unterstelle mir nichts, was nicht da ist.

Jeder hat seine eigene Art und Weise mit Dingen umzugehen (das zeigt sich schon an der Tatsache das jeder ein anderes AntiSpyware Programm etc. empfiehlt), aber irgendwie beleidigend muss ja nicht sein.

lg

Blacklight LOG file

11/19/06 20:59:57 [Info]: BlackLight Engine 1.0.47 initialized
11/19/06 20:59:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/19/06 20:59:57 [Note]: 7019 4
11/19/06 20:59:57 [Note]: 7005 0
11/19/06 20:59:59 [Note]: 7006 0
11/19/06 20:59:59 [Note]: 7011 1932
11/19/06 21:00:00 [Note]: 7026 0
11/19/06 21:00:00 [Note]: 7026 0
11/19/06 21:00:03 [Note]: FSRAW library version 1.7.1020
11/19/06 21:00:03 [Info]: Hidden file: c:\__oddysee.sys
11/19/06 21:00:46 [Note]: 7002 0
11/19/06 21:00:46 [Note]: 7003 1
11/19/06 21:00:46 [Note]: 10002 1
11/19/06 21:02:37 [Note]: 2000 1012

Wenn man nur so tut, als hätte man Ahnung: http://http--www.cosgan.de/images/smilie/boese/k025.gif

Das wurde Dir aber hier schon von anderen bereits gesagt.

@Lennix
Mache weiter, das Log vom BL ist i.O.
Dieses dumme Zwischengequatsche von so einem Typen :pukeface:mich an.

http://security.over-blog.com/

Ich will ja nicht unfreundlich wirken!
Aber könnt ihr euch ned über PM weiter streiten? danke

Ich hab nämlich im mom andere Problem!

Ja , kein Problem ;)
Nachdem ich dir sowieso nicht helfen soll, klinke ich mich sowieso aus.

lg

@Njall
Einsicht sollte der erste Weg zur Besserung sein. Beschreite den Weg weiter, denn er ist richtig:blabla:

AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:32:33 19.11.2006

+ Scan-Ergebnis:

[428] C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802060031}\Update.exe -> Adware.Softomate : Keine Aktion durchgeführt.
C:\WINDOWS\system32\ddcyxvv.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\win3.tmp.exe -> Backdoor.Rbot : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\win7.tmp.exe -> Backdoor.Rbot : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\winE.tmp.exe -> Backdoor.Rbot : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\idd4.tmp.exe -> Dialer.Small : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\idd8.tmp.exe -> Dialer.Small : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\iddF.tmp.exe -> Dialer.Small : Keine Aktion durchgeführt.
:mozilla.316:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.36:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.37:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.38:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.39:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.65:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.71i : Keine Aktion durchgeführt.
:mozilla.191:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
:mozilla.98:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
:mozilla.99:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
:mozilla.155:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.156:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.157:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.158:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.74:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
:mozilla.67:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Com : Keine Aktion durchgeführt.
:mozilla.23:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.140:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.141:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.77:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
:mozilla.78:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
:mozilla.79:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
:mozilla.80:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
:mozilla.81:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
:mozilla.105:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.106:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.107:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.108:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.109:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.116:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.117:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.118:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.119:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.126:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.127:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.128:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.129:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.167:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Googleadservices : Keine Aktion durchgeführt.
:mozilla.32:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Googleadservices : Keine Aktion durchgeführt.
:mozilla.40:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Googleadservices : Keine Aktion durchgeführt.
:mozilla.283:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.285:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.95:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Hotlog : Keine Aktion durchgeführt.
:mozilla.25:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.134:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.135:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.136:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.137:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.159:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Reliablestats : Keine Aktion durchgeführt.
:mozilla.47:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Reliablestats : Keine Aktion durchgeführt.
:mozilla.48:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Reliablestats : Keine Aktion durchgeführt.
:mozilla.49:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Reliablestats : Keine Aktion durchgeführt.
:mozilla.272:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.273:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.274:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.275:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.276:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.217:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Smartadserver : Keine Aktion durchgeführt.
:mozilla.218:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Smartadserver : Keine Aktion durchgeführt.
:mozilla.219:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Smartadserver : Keine Aktion durchgeführt.
:mozilla.96:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Spylog : Keine Aktion durchgeführt.
:mozilla.87:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.88:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.89:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.90:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.91:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.26:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.27:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.130:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Tribalfusion : Keine Aktion durchgeführt.
:mozilla.24:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
:mozilla.100:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Yieldmanager : Keine Aktion durchgeführt.
:mozilla.277:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Zedo : Keine Aktion durchgeführt.
:mozilla.278:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Zedo : Keine Aktion durchgeführt.
:mozilla.279:C:\Dokumente und Einstellungen\Lennix!\Anwendungsdaten\Mozilla\Firefox\Profiles\nvk5zc31.default\cookies.txt -> TrackingCookie.Zedo : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Lennix!\Cookies\lennix!@zedo[1].txt -> TrackingCookie.Zedo : Keine Aktion durchgeführt.
C:\WINDOWS\system32\winhab32.dll -> Trojan.Agent.vg : Keine Aktion durchgeführt.
[1932] C:\WINDOWS\system32\hwnewxlg.dll -> Trojan.BHO.g : Keine Aktion durchgeführt.

::Berichtende

Diese Zeilen sehen nicht gut aus. Man sollte in diesem Fall eine Neuinstallation in Erwägung ziehen.
C:\WINDOWS\Temp\win3.tmp.exe -> Backdoor.Rbot : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\win7.tmp.exe -> Backdoor.Rbot : Keine Aktion durchgeführt.
C:\WINDOWS\Temp\winE.tmp.exe -> Backdoor.Rbot : Keine Aktion durchgeführt.
In dem Kuddelmuddel habe ich das hier schon gesehen, aber vielleicht falsch eingeschätzt:
\__oddysee.sys

Mache zur Sicherheit einen escan.
http://www.trojaner-board.de/24192-e...en-ab-7-x.html

Also den escan hab ich kein bock, wegen reg!

AVG Anti Spyware bringt bei mir die ganze ezit warnungen zu Dialer!
Gibts da nicht n Remove tool dafür?

Zitat:

Zitat von Lennix (Beitrag 240983)

Also den escan hab ich kein bock, wegen reg!

AVG Anti Spyware bringt bei mir die ganze ezit warnungen zu Dialer!
Gibts da nicht n Remove tool dafür?

Wegen eScan. Nimm diesen Direktlink zur mwav.exe => http://www.mwti.net/download/tools/mwav.exe
Dann brauchste Dich nicht zu registrieren. ;)
Gehen sonst wie beschrieben in der Anleitung vor.

Habe das Drecksding mit Spyware Doctor wegbekommen:party:
(4andere Progs sind da gescheitert.....)

Naja, wirklich sicher bekommt man den Rbot nur mit einem Neuaufsetzen weg.

Da ich sowieso mit Router/Dsl ins Net gehe,hat der Dialer eh ins Leere gegriffen,-das Nervende waren die ewig öffnenden Hinweisfenster.
Fenster sind nu weg,weitere Infektionen diebezüglich wurden weder gefunden,noch gibt es Hinweise hierauf,System läuft einwandfrei und stabil,--also nach mir die Sinnflut....

schau nach den Gromozon Rootkit mit den removal tool vom Prevx:

http://aknow.prevx.com/zeroL/1774FA6.exe <--Direkt Download Link!

oder hier lesen. http://www.prevx.com/gromozon.asp

Zitat:

Zitat von derekX (Beitrag 241040)

Das Problem ist hier definitiv nicht der Dialer, sondern das gefundene Rootkit! Vllt. wird der gefundene Dialer quasi als "Sündenbock" dafür herhalten müssen (gewollt vom Malwareautor) damit der arme befallene User nach der Entfernung des Dialers glaubt, sein System wäre nun sauber.
Wenn Du wirklich ein sauberes System haben willst, bleibt Dir nur das neuaufsetzen, alles andere ist ohne Erfolgsgarantie. Wenn Du ein sauberes Image hast kannst Du auch das einspielen, kommt einem Neuaufsetzen gleich.