Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Viren (https://www.trojaner-board.de/46381-viren.html)

craVen-cH 27.11.2007 20:13
Viren
 
Hallo

Ich habe in letzer Zeit immer beim Starten des PC`s etwa 3-4 Viren Meldungen (eine davon Vundo doch Vundofix findet nichts). Könnt ihr mir ev. helfen?
Hier mein Hijackthislog:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 20:09:53, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\****\Desktop\Dateien\VundoFix.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\Dateien\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearflix.com/ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.windowsxlive.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8088
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: XBTP05231 Class - {031F120A-BBAF-45d8-B306-375F2A6B9398} - C:\PROGRA~1\ALCOHO~1\ALCOHO~2\a120_tb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B} - C:\WINDOWS\system32\urqrsts.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AE148D8E-292F-4AB8-99BC-4BA84D5E57B0} - (no file)
O2 - BHO: (no name) - {BF7EFD23-E8FC-4402-BE3F-A4ADC8EB0D36} - C:\Programme\MSN\hosedu83122.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: (no name) - {D9B28031-FB1D-4031-B775-0DA2D1CBF79C} - C:\Programme\MSN\hosedu4444.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - C:\Programme\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: &Vorlesen - C:\Programme\MeinFreund\plugins\InternetExplorer\MeinFreundIE.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: RaptisoftGameLoader -
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - h**p://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BE964208-66F0-48FB-8F53-0C2BC35A610A} (UMediaPlayer Class) - http://w*w.umediaserver.net/bin/UMediaControl3.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} - http://activex.matcash.com/speedtest2.dll
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - h**p://by18fd.bay18.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: urqrsts - C:\WINDOWS\SYSTEM32\urqrsts.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

undoreal 28.11.2007 06:25
Halli hallo.

Überprüfe bitte folgende Datei auf VT und poste das Ergebnis: " C:\WINDOWS\SYSTEM32\urqrsts.dll ".

Danach fixe alle ........(no file) und alle .......... (file missing) Einträge mit HJT.

Zusätzlich fixe folgende Einträge:

* O20 - Winlogon Notify: urqrsts - C:\WINDOWS\SYSTEM32\urqrsts.dll *

* O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} - http://activex.matcash.com/speedtest2.dll *

* O16 - DPF: {BE964208-66F0-48FB-8F53-0C2BC35A610A} (UMediaPlayer Class) - http://w*w.umediaserver.net/bin/UMediaControl3.cab *

* O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - h**p://cdn.drivecleaner.com/installdrivecleanerstart_de.cab *

* O16 - DPF: RaptisoftGameLoader - *

* O2 - BHO: (no name) - {2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B} - C:\WINDOWS\system32\urqrsts.dll *


Räume danach mit cCleaner auf. Die Registry musst du mehrmals durchsuchen und bereinigen lassen..

Danach lösche die Datei: " C:\WINDOWS\system32\urqrsts.dl " beachte den Link aus meiner Signatur zum Suchen und Finden von Dateien.


Starte den Rechner neu und erstelle ein frisches HJT log.

craVen-cH 28.11.2007 12:49
Also ich habs mal mit VT überrüft:

AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - SpywareQuake
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - Adware.Vundo.V.Gen
Webwasher-Gateway - - Win32.UPXpacked.gen (suspicious)

craVen-cH 28.11.2007 13:28
Hier mein neues Logfile:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 13:19:42, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\***\Desktop\Dateien\Sicherheit\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8088
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XBTP05231 Class - {031F120A-BBAF-45d8-B306-375F2A6B9398} - C:\PROGRA~1\ALCOHO~1\ALCOHO~2\a120_tb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B} - C:\WINDOWS\system32\urqrsts.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {49537987-7305-4AD6-AEFC-6BEFFE6765BE} - C:\Programme\MSN\hosedu4444.dll
O2 - BHO: (no name) - {BF7EFD23-E8FC-4402-BE3F-A4ADC8EB0D36} - C:\Programme\MSN\hosedu83122.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - C:\Programme\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: &Vorlesen - C:\Programme\MeinFreund\plugins\InternetExplorer\MeinFreundIE.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - h**p://by18fd.bay18.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**tp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: urqrsts - C:\WINDOWS\SYSTEM32\urqrsts.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

und die Datei konnte ich nicht löschen.
Als ich den PC neugetartet habe kam die Meldung:

Code:
C:\WINDOWS\tk58.exe

Ist das Trojanische Pferd TR/BHO.AB.4
und die Vundo Warnung kam auch wieder sobald ich den AntiVir Guard aktiviere. Nur mit einem anderen Dateinamen (gebca.dll)

Was nun?

undoreal 28.11.2007 16:15
Gut, um mal alle infizierten Dateien zu erwischen führe bitte einen eScan durch. Anleitung findest du in meiner Sigantur.

Bevor du startest mach dich schon mal mit Avenger und cCleaner vertraut.

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete: (Dateien löschen!)
Folders to delete: (Verzeichnisse löschen)
Files to replace with dummy: (setzt einen Dummy statt der Ursprungsdatei)
Registry keys to delete: (eindeutig!)
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


cCleaner


Nachdem du also den eScan gemacht hast wäre es super wenn du den Rechner nicht neustartest sondern das log z.B. auf einen USB-Stick ziehst und hier postest. Das verhindert neu generierte Schädlingsdateien zwischen dem eScan und der Bereinigung durch Avenger.

craVen-cH 29.11.2007 20:51
Hier is der eScan:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "avsystemcare Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "drivecleaner2006 Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "newdotnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen.
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula toptext Spyware/Adware (button_small.gif)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula toptext Spyware/Adware (button_small.gif)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (remote.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (mdx.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.screenspymonitor Spyware/Adware (C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\~df2129.tmp)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\urqrsts.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\urqrsts.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\urqrsts.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\rEpTilE\Desktop\Dateien\Sicherheit\backups\backup-20071128-125420-629.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ljjhhij.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\urqrsts.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\rEpTilE\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-6b13a7e7-79fcb755.zip/vmain.class infiziert von "Exploit.Java.Gimsh.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\rEpTilE\Desktop\Dateien\Sicherheit\backups\backup-20071128-125420-629.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0ws7johk.Nicolas\Cache\ADA15EB6d01//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.epa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\MaxTV\setup_maxtv2.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\NetMeeting\pronylaza.html infiziert von "Trojan-Clicker.HTML.IFrame.dn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Xfire\54.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Xfire\55.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0227002.exe infiziert von "VirTool.Win32.Delf.e" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP600\A0228538.exe infiziert von "Trojan.Win32.BHO.ab" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP600\A0229531.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP600\A0229533.dll infiziert von "Trojan.Win32.BHO.ab" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP600\A0229625.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.epa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ljjhhij.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\urqrsts.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\PROGRA~1\ALCOHO~1\ALCOHO~2\a120_tb.dll markiert als "not-a-virus:AdWare.Win32.Mostofate.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\PROGRA~1\ALCOHO~1\ALCOHO~2\a120_tb.dll markiert als "not-a-virus:AdWare.Win32.Mostofate.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MSN\hosedu4444.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MSN\hosedu83122.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\rEpTilE\Desktop\Dateien\Sicherheit\backups\backup-20071128-125420-720.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_38.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall7_48.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\TTC-4444.exe//data0002 markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\rodkautp.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\rEpTilE\Desktop\Dateien\Sicherheit\backups\backup-20071128-125420-720.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Program Files\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
File C:\Programme\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll markiert als "not-a-virus:AdWare.Win32.Mostofate.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MSN\hosedu4444.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MSN\hosedu83122.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0226940.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0226944.dll markiert als "not-a-virus:AdWare.Win32.Aureate.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0226948.exe/Acm.dll markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0226949.exe markiert als not-a-virus:NetTool.Win32.AccessDiver.4170. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0227000.exe markiert als not-a-virus:NetTool.Win32.Scan.11. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0227001.exe markiert als not-a-virus:PSWTool.Win32.Brutus. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0227003.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0227004.exe//UPX markiert als not-a-virus:NetTool.Win32.Portscan.c. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0227005.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP599\A0228314.exe//data0002 markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP599\A0228394.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP599\A0228401.exe//data0002 markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP599\A0228509.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP599\A0228519.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP599\A0228529.exe//data0002 markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Temp\e002A477.exe//data0002//UPX markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_38.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall7_48.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\m4\ejup83122.exe//data0002 markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\rodkautp.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\TTC-4444.exe//data0002 markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~ Offending files

Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\war3_install.exe
Offending file found: C:\Dokumente und Einstellungen\rEpTilE\Desktop\dateien\dreamwaver\850 web templates by ednosj\web templates 3 (397)\613\myweb117\_themes\gears\button_small.gif
Offending file found: C:\Dokumente und Einstellungen\rEpTilE\Desktop\dateien\dreamwaver\850 web templates by ednosj\web templates 3 (397)\613\myweb117\_themes\gears\_vti_cnf\button_small.gif
Offending file found: C:\Dokumente und Einstellungen\rEpTilE\Desktop\dateien\kommunikation\mirc\weisseradler-script 1.071\remote.ini
Offending file found: C:\Dokumente und Einstellungen\rEpTilE\Desktop\dateien\kommunikation\mirc\weisseradler-script 1.071\scripts\lol\mdx.dll
Offending file found: C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\temp\nsg41.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\temp\war3_install.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\~df2129.tmp
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\winupdate
Offending Folder found: C:\Dokumente und Einstellungen\rEpTilE\Anwendungsdaten\macromedia\dreamweaver 8\configuration\menus\cache\tools
Offending Folder found: C:\Dokumente und Einstellungen\rEpTilE\Anwendungsdaten\sopcast\adv
Offending Folder found: C:\Dokumente und Einstellungen\rEpTilE\Desktop\dateien\games\wormsarm\data\custom\tools
Offending Folder found: C:\Dokumente und Einstellungen\rEpTilE\Desktop\dateien\games\wormsarm\data\level\tools
Offending Folder found: C:\Dokumente und Einstellungen\rEpTilE\Desktop\dateien\sicherheit\regseeker\languages
Offending Folder found: C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\anwendungsdaten\macromedia\flash mx 2004\de\configuration\tools
Offending Folder found: C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\Anwendungsdaten\macromedia\flash mx 2004\de\configuration\tools

Registry

Offending Key found: HKLM\Software\avsystemcare !!!
Offending Key found: HKLM\Software\drivecleaner 2006 free !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\new.net startup !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\whenusave !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\winupdate !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aed5e861-c17c-11d9-89e2-806d6172696f} !!!


~~~~~~~~~~~~
Diverses
~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {aed5e861-c17c-11d9-89e2-806d6172696f}\Name\Shell\AutoRun\command: E:\autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\rEpTilE\Desktop\mwav.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\GLB19.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\L_IMAG32.OC1 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\MFC40.DL1 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\rEpTilE\LOKALE~1\Temp\MSWNG300.DL1 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\rEpTilE\Desktop\mwav.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\Temp\GLB19.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\Temp\L_IMAG32.OC1 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\Temp\MFC40.DL1 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\rEpTilE\Lokale Einstellungen\Temp\MSWNG300.DL1 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Microsoft Games\Age of Empires III\AOE3Update1.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{B375CA17-393E-4464-83BF-F07A87C1C1D9}\RP585\A0226943.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Resources\Themes\Eclipse\shell\normalcolor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\93a233c2dff315e0408559775486f5b2\BIT15C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 165541
Gefundene Viren: 117
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 43
Dauer des Scans bisher: 02:19:59
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

[/CODE]

undoreal 29.11.2007 20:55
Was zum Henker ist das denn?

" C:\Dokumente und Einstellungen\rEpTilE\Desktop\Dateien\N1\IceCold ReLoaded2.exe/ "

Lade die Datei mal bitte auf Virustotal hoch und poste das Ergebnis.

craVen-cH 29.11.2007 20:57
Code:
AhnLab-V3        -        -        Win-Trojan/HackTool.Gen
AntiVir        -        -        -
Authentium        -        -        is a virus tool named W32/Hacktool.BM
Avast        -        -        Win32:Homac-B
AVG        -        -        Potentially harmful program HackTool.A
BitDefender        -        -        Trojan.Hacktool.Homac.D
CAT-QuickHeal        -        -        HackTool.Homac (Not a Virus)
ClamAV        -        -        Virtool.Hotfreezer
DrWeb        -        -        -
eSafe        -        -        Win32.Homac
eTrust-Vet        -        -        -
Ewido        -        -        Not-A-Virus.HackTool.Win32.Homac
FileAdvisor        -        -        High threat detected
Fortinet        -        -        HackerTool/Homac
F-Prot        -        -        W32/Hacktool.BM
F-Secure        -        -        HackTool.Win32.Homac
Ikarus        -        -        HackTool.Win32.Homac
Kaspersky        -        -        HackTool.Win32.Homac
McAfee        -        -        potentially unwanted program Generic PUP
Microsoft        -        -        HackTool:Win32/Homac.A
NOD32v2        -        -        Win32/HackTool.Homac
Norman        -        -        W32/Homac.A
Panda        -        -        Application/IceCold.A
Prevx1        -        -        Generic.Malware
Rising        -        -        Hack.Homac
Sophos        -        -        Mal/Heuri-D
Sunbelt        -        -        Trojan.Hacktool.Homac.D
Symantec        -        -        Hacktool
TheHacker        -        -        Trojan/Hacktool.Homac
VBA32        -        -        HackTool.Win32.Homac
VirusBuster        -        -        Hacktool.Homac.A

undoreal 29.11.2007 21:03
Das wäre mir nicht geheuer..

Setzte den Rechner am allerbesten neu auf. Anleitung findest du in meiner Sigantur.

Ich hab' keine vernünftige Bedrohungsanalyse gefunden aber ich hatte schon vor dem Ergebnis auf einen Rootkit getippt und bei Verwandten unseres Freundes ist eine solche Vorgehensweise durchaus üblich..

Wie hast du dir den Mist eingefangen?? Das sieht ja fast so aus als wenn jemand physikalischen Zugriff auf deinen Rechner hatte..

Ändere nach dem Neuaufsetzten auch unbedingt alle Passwörter und Zugangs-Acc.!.

craVen-cH 29.11.2007 21:05
Ok werd ich machen. Vielen Dank für deine Hilfe.

craVen-cH 30.11.2007 18:38
Mein grösstes Problem ist eigentlicher der Vundo.
Wie krieg ich den weg?? Hab schon mit Vundo Fix versucht dort wird er aber nicht gefunden :(

Mfg

craVen

undoreal 01.12.2007 13:15
Dein Rechner ist höchstgradig infiziert und der Vundo (der imho gar keiner ist) ist garantiert nur dein kleinstes Problem.

Mach die Kiste platt !

craVen-cH 01.12.2007 17:21
Wie setzt man den PC richtig neu auf?
So ne kleine Ahnung hab ich schon will aber nichts falsch machen.
Ich hab meine Festplatte in 2 Teile aufgeteilt (C und D)
Auf D sind keine Viren vorhanden. (Sind auch nur spezielle Dateien)
Der verseuchte Teil ist C. Kann man auch nur C neu aufsetzen?

Mfg

craVen

undoreal 01.12.2007 21:58
Zitat:
Kann man auch nur C neu aufsetzen?
Theoretisch ja. Ist aber nicht ganz so sicher. Anleitung findest du in meiner Signatur.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19