|
"search daily" Bitte Log File überprüfen Hallo Leute, habe folgendes Problem beim öffnen von google suchergebnissen öffnet sich meistens "www.search-daily.com" hat jemand eine ahnung was das ist. Beim Spywaredoctor habe ich schon den Trojan.Nuklus gefunden und entfernt.Zurzeit benutze ich Firefox dort hab ich das Problem bis jetzt noch nicht.Wäre euch dankbar wenn ihr mir helfen könntet. Vielen Dank tobsen87 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:19:06, on 17.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - (no file) O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6665 bytes |
Hi, eine Auffälligkeit: c:\windows\system32\connapih.dll ist BHO und ist bei Logon eingetragen Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll was nicht sein kann bzw. sehr ungewöhnlich ist... Und dann gibt es noch ein weiteres BHO (BrowserhelperObject), C:\WINDOWS\system32\cdmodemo.dll Es gibt Hinweise auf "ADSPY/Yatool.A", darum kümmern wir uns später... Daher onlinecheck: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Zitat:
chris |
Danke für die schnelle Antwort so hier hab ich jetz mal gemacht hoffe du kannst mir weiterhelfen. C:\WINDOWS\SYSTEM32\connapih.dll Datei ConnAPIh.dll empfangen 2007.12.17 00:48:03 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/Crypt.Morphine.Gen Authentium - - - Avast - - - AVG - - Obfustat.ACUA BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - Suspicious File eTrust-Vet - - - Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - VirTool:Win32/Obfuscator.Q NOD32v2 - - - Norman - - - Panda - - Suspicious file Prevx1 - - - Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - Trojan.Crypt.Morphine.Gen weitere Informationen MD5: d603fa7d866891263f42f333867834cd C:\WINDOWS\system32\cdmodemo.dll Datei cdmodemo.dll empfangen 2007.12.18 09:16:55 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/Spy.BZub.NGP.7 Authentium - - - Avast - - - AVG - - BHO.CVX BitDefender - - Trojan.Spy.Bzub.NGP CAT-QuickHeal - - - ClamAV - - - DrWeb - - Trojan.DownLoader.38058 eSafe - - - eTrust-Vet - - Win32/Kvol!generic Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - BZub.ARU Ikarus - - Trojan-PWS.Win32.Lmir Kaspersky - - - McAfee - - - Microsoft - - Trojan:Win32/Boaxxe.C NOD32v2 - - - Norman - - BZub.ARU Panda - - Trj/Downloader.RKS Prevx1 - - Trojan.DoS.Win32.Opdos Rising - - - Sophos - - - Sunbelt - - Trojan-Spy.Bzub.NGP Symantec - - Trojan.Adclicker TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - Trojan.Spy.BZub.NGP.7 weitere Informationen MD5: b9c228372922f8901791e9c11274d5c7 |
Hi, bitte das hier abarbeiten, danach ein neues HJ-Log (nenne vorher die HJ-Exe auf test.com um). Also: Avenger http://filepony.de/download-the_avenger/ Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträgen Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat:
|
Vielen Dank für deine schnelle Hilfe.Hier die LogFile. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:50:48, on 18.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6475 bytes |
Hi, hast Du das Logfile vor Ausführung von Avenger und HJ gemacht? Es sind nämlich alle Einträge nach- wie vor da! Hat Avenger bzw. HJ einen Fehler gebracht? chris |
Hab ich danach gemacht. Hier die Logfile von Avenger.Bei HJ war nix. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\skakhtvw ******************* Script file located at: \??\C:\WINDOWS\rlstkafr.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file c:\windows\system32\connapih.dll for deletion Deletion of file c:\windows\system32\connapih.dll failed! Could not process line: c:\windows\system32\connapih.dll Status: 0xc0000022 Could not open file C:\WINDOWS\system32\cdmodemo.dll for deletion Deletion of file C:\WINDOWS\system32\cdmodemo.dll failed! Could not process line: C:\WINDOWS\system32\cdmodemo.dll Status: 0xc0000022 Could not open registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks for deletion Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks failed! Status: 0xc0000022 Completed script processing. ******************* Finished! Terminate. |
Hi, shit, Avenger wird blockiert! Trenne den Rechner vom Internet, schalte eventuell mitlaufende Virenscanner aus und probiere es dann noch mal im abgesicherten Modus... Poste das Avenger-Log! Chris |
Glaube hat wieder nich funktioniert. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\rjkjtqaa ******************* Script file located at: \??\C:\WINDOWS\system32\fxnufbvp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file c:\windows\system32\connapih.dll for deletion Deletion of file c:\windows\system32\connapih.dll failed! Could not process line: c:\windows\system32\connapih.dll Status: 0xc0000022 Could not open file C:\WINDOWS\system32\cdmodemo.dll for deletion Deletion of file C:\WINDOWS\system32\cdmodemo.dll failed! Could not process line: C:\WINDOWS\system32\cdmodemo.dll Status: 0xc0000022 File registry keys to delete not found! Deletion of file registry keys to delete failed! Could not process line: registry keys to delete Status: 0xc0000034 Could not open file HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks for deletion Deletion of file HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks failed! Could not process line: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. |
Hi, okay, Killbox: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html oder http://www.wintotal.de/Software/index.php?id=4101 Options: Delete on Reboot --> anhaken reinkopieren: c:\windows\system32\connapih.dll C:\WINDOWS\system32\cdmodemo.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten Poste auch hier das Log, Virenscanner etc. abschalten. Die Killbox meldet sofort, wenn Ihre Einträge wieder entfernt werden... Dann haben wir allerdings ein Problem... chris |
Pocket Killbox version 2.0.0.881 Running on Windows XP as bp_tobsen(Administrator) was started @ Dienstag, Dezember 18, 2007, 4:37 PM # 1 [Delete on Reboot] Path = c:\windows\system32\connapih.dll # 2 [Delete on Reboot] Path = C:\WINDOWS\system32\cdmodemo.dll PendingFileRenameOperations Registry Data has been Removed by External Process! @ 4:37:55 PM Killbox Closed(Exit) @ 4:38:03 PM __________________________________________________ |
Hi, genau das habe ich erwartet, die netten Viecher überwachen den Rechner und wenn was für sie "unbekömmliches" kommt, wird es entfernt... Kannst Du von einer CD booten und die Dateien dann per Hand umbennen? Bei der neuen Ct ist eine Notefall-CD dabei.... Chris Ps.: Okay, combofix: In diesem Fall: Schwereres Geschütz: Combofix (Link im Anhang); Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Falls das nicht klappt: 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: c:\windows\system32\connapih.dll C:\WINDOWS\system32\cdmodemo.dll 2. Schleppe diese Datei zur ComboFix.exe und lasse sie dort fallen. ComboFix wird jetzt starten und die Datei ausfuehren Nach Neustart des Rechners, poste das log von ComboFix. |
Ich hol mir schnell die ct hoffe die gibts hier noch. Ist das Problem noch zu lösen oder ist es zu krass. Welche Daten soll ich dann umbenennen.Danke echt für deine Hilfe. |
Hi, nenne die beiden Dateien: c:\windows\system32\connapih.dll C:\WINDOWS\system32\cdmodemo.dll um, in dem Du z. B. ein .vir anhängst: c:\windows\system32\connapih.dll.vir C:\WINDOWS\system32\cdmodemo.dll.vir Dann findet Windows sie nicht mehr und kann sie nicht starten (was zu Fehlermeldungen führen kann). Auf der CD ist auch Antivir drauf, das wie folgt einstellen und über die Festplatte laufen lassen, alles in Qurantäne verschieben lassen, da dort mit der Heuristik gearbeitet wird und die Fehlerkennung hoch ist: Stelle Avira wie folgt ein: http://www.trojaner-board.de/showthread.php?t=54192 Führe einen Systemscan durch und poste das Ergebnis! So, bin jetzt weg aber morgen wieder zu erreichen (ca. 07:30 uhr)... chris |
ComboFix 07-12-18.1 - bp_tobsen 2007-12-18 16:54:16.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.231 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\bp_tobsen\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\plus32.ocx C:\WINDOWS\system32\connapih.dll . . . . Nicht in der Lage zu löschen . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_GRNAETZI -------\grnaetzi ((((((((((((((((((((((( Dateien erstellt von 2007-11-18 bis 2007-12-18 )))))))))))))))))))))))))))))) . 2007-12-18 16:00 . 2007-12-18 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser 2007-12-18 15:59 . 2006-04-08 14:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-12-18 15:59 . 2007-12-18 16:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-12-17 21:19 . 2007-12-17 21:19 <DIR> d-------- C:\Programme\Trend Micro 2007-12-17 20:24 . 2007-12-17 20:24 0 --a------ C:\WINDOWS\nsreg.dat 2007-12-16 17:38 . 2007-12-17 20:03 <DIR> d-------- C:\Programme\Spyware Doctor 2007-12-16 17:38 . 2007-12-16 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\PC Tools 2007-12-16 17:38 . 2007-12-18 16:28 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-16 17:38 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-12-16 17:38 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-12-16 17:38 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-12-16 17:38 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-12-16 17:38 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-12-16 17:36 . 2007-12-17 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2007-12-16 17:17 . 2007-12-16 17:17 256 --a------ C:\WINDOWS\adaway.lic 2007-12-14 16:43 . 2007-12-14 16:43 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll 2007-12-14 16:43 . 2007-12-14 16:43 741,632 --a------ C:\WINDOWS\system32\kqgpbpmq.dat 2007-12-14 16:43 . 2007-12-14 16:43 246,545 --a------ C:\WINDOWS\system32\libssl32.dll 2007-12-14 16:43 . 2007-12-14 16:43 119,552 --a------ C:\WINDOWS\system32\llcsbaxv.dat 2007-12-14 16:43 . 2007-12-14 16:43 42,240 --a------ C:\WINDOWS\system32\kxgpnrji.dat 2007-12-14 16:43 . 2007-12-14 16:43 36,096 --a------ C:\WINDOWS\system32\pymohqls.dat 2007-12-14 16:43 . 2007-12-14 16:43 35,072 --a------ C:\WINDOWS\system32\ikqualhr.dat 2007-12-14 16:29 . 2007-12-14 16:36 <DIR> d-------- C:\WINDOWS\system32\AppCert 2007-12-14 16:29 . 2007-12-18 16:56 83,456 --a------ C:\WINDOWS\system32\connapih.dll 2007-12-14 16:29 . 19,456 C:\WINDOWS\system32\drivers\brwadndm.dat 2007-12-14 16:28 . 2002-08-29 13:00 84,992 --a------ C:\WINDOWS\system32\cdmodemo.dll 2007-11-22 17:37 . 2007-11-23 19:55 29 --a------ C:\WINDOWS\AudACM.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-18 15:58 22,575,648 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-12-18 15:57 46,904 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-12-18 15:57 455,712 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-12-18 15:57 307,580 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-12-16 16:36 --------- d-----w C:\Programme\Google 2007-11-08 21:27 --------- d-----w C:\Programme\MSN Messenger 2007-10-24 14:48 --------- d-----w C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\AdobeUM 2005-05-11 21:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6DB9DF30-ED61-421D-8607-9DAB7D70EC1F}] 2007-12-18 16:56 83456 --a------ c:\windows\system32\connapih.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9BEE2A7-EEE3-4971-8F30-78CC54AC4677}] 2002-08-29 13:00 84992 --a------ C:\WINDOWS\system32\cdmodemo.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "TuneUp MemOptimizer"="E:\tuneup2004\MemOptimizer.exe" [2004-11-09 20:16] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-16 17:37] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2006-03-09 14:29 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "kis"="E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2006-03-24 19:09] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=E:\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer] 2005-03-31 08:30 1106944 --a------ C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Programme\Messenger\msmsgs.exe /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "PcSync"=E:\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog "Steam"=E:\Valve\Steam\\Steam.exe -silent "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "DAEMON Tools-1033"="E:\daemon.exe" -lang 1033 "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "HP Software Update"=E:\Drucker\HP\HP Software Update\HPWuSchd2.exe "HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe "PCSuiteTrayApplication"=E:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_07\bin\jusched.exe R0 kwspborh;kwspborh;C:\WINDOWS\system32\drivers\brwadndm.dat [] R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 16:34] R2 vcool;vcool;C:\WINDOWS\system32\vcool.sys [2002-11-27 14:55] S3 Ca100v;Smart Cam, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca100v.sys [2002-08-30 05:35] S3 drhard;DRHARD;C:\WINDOWS\System32\DRIVERS\DRHARD.SYS [2005-12-01 09:49] S3 RushTopDevice;RushTopDevice;E:\MSI\Core Center\RushTop.sys [] S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk100.sys [2002-07-26 01:19] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-18 16:58:52 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180] -> C:\WINDOWS\system32\AppCert\prx93f.dll . Zeit der Fertigstellung: 2007-12-18 17:00:21 - machine was rebooted |
So habe Knoppicillin drüberlaufen lassen also im WINDOWS Ordner sind die beiden Dateien nicht mehr vorhanden. Bei HJ steht das die Datei fehlt hoffe das ist positiv. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:14:47, on 18.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\HPZipm12.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6437 bytes |
Hi, was macht der Rechner bzw. die Redirection? Was mir nicht gefällt, combofix konnte die Datei C:\WINDOWS\system32\connapih.dll nicht löschen, im HJ-Log fehlt sie und unter den New-Files ist sie ebenfalls wieder gelistet.... Auch der Eintrag -------\LEGACY_GRNAETZI -------\grnaetzi gefällt mir nicht wirklich... Berate mich mal, melde mich dann wieder... chris |
Na also der Rechner läuft eigentlich ganz gut hat mir bis jetzt nichts gesagt.Von wegen Fehler oder so und im Windows Ordner sind die Dateien auch nicht mehr vorhanden hab Knoppicilin drüberlaufen lassen und dort wurden die Dateien eigentlich angezeigt.Der Spyware Doctor zeigt mir auch keine Tojaner mehr an. -------\LEGACY_GRNAETZI -------\grnaetzi Was sind das für Einträge kann damit nix anfangen. Wie kann ich sonst noch vorgehen. Danke P.S. Die Systemwiederherstellung lässt sich nich deaktivieren also beim Neustart ist sie wieder aktiviert hängt das eventuell mit dem Problem zusammen. |
Hi, bitte noch einmal combofix laufen lassen, poste das Log von Combofix! Folgende Datei bitte online prüfen lassen: C:\WINDOWS\system32\AppCert\prx93f.dll Und unbedingt das Logfile vom Scan posten! virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Zitat:
-------\LEGACY_GRNAETZI -------\grnaetzi waren Diensten zugeordnet, die von combofix gelöscht wurden, leider haben wir keine Kenntnis was das war... Danach noch mal bitte ein neues HJ-Log (nenne vorher die HJ-Exe auf test.com um)... chris Nachtrag: Systemwiederherstellung: Rufe Regedit (C:\windows\regedit.exe) auf, navigiere zum Schlüssel: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ SystemRestore Zitat:
Zitat:
Zitat:
DisableSR = 0 (Systemwiederherstellung aktiviert) DisableConfig = 0 (Änderungen erlaubt) LimitSystemRestoreCheckpointing = 0 (bei jeder Installation einen Wieder.punkt) |
Datei prx93f.dll empfangen 2007.12.10 17:49:32 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - Heuristic: Suspicious File With Bad Parent Associations Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - - weitere Informationen MD5: 1e9d71857afb52ad8bc9743156cd3475 ComboFix 07-12-19.3 - bp_tobsen 2007-12-19 14:09:41.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.117 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\bp_tobsen\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-11-19 bis 2007-12-19 )))))))))))))))))))))))))))))) . 2007-12-18 21:10 . 2007-12-18 21:10 1,142 --a------ C:\WINDOWS\mozver.dat 2007-12-18 20:23 . 2007-12-18 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-12-18 18:56 . 2007-12-18 19:10 <DIR> d-------- C:\INFECTED 2007-12-18 18:51 . 2007-12-18 18:51 102,800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-12-18 16:00 . 2007-12-18 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser 2007-12-18 15:59 . 2006-04-08 14:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-12-18 15:59 . 2007-12-18 17:31 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-12-17 21:19 . 2007-12-17 21:19 <DIR> d-------- C:\Programme\Trend Micro 2007-12-17 20:24 . 2007-12-17 20:24 0 --a------ C:\WINDOWS\nsreg.dat 2007-12-16 17:38 . 2007-12-17 20:03 <DIR> d-------- C:\Programme\Spyware Doctor 2007-12-16 17:38 . 2007-12-16 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\PC Tools 2007-12-16 17:38 . 2007-12-19 14:00 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-16 17:38 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-12-16 17:38 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-12-16 17:38 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-12-16 17:38 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-12-16 17:38 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-12-16 17:36 . 2007-12-18 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2007-12-16 17:17 . 2007-12-16 17:17 256 --a------ C:\WINDOWS\adaway.lic 2007-12-14 16:43 . 2007-12-14 16:43 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll 2007-12-14 16:43 . 2007-12-14 16:43 741,632 --a------ C:\WINDOWS\system32\kqgpbpmq.dat 2007-12-14 16:43 . 2007-12-14 16:43 246,545 --a------ C:\WINDOWS\system32\libssl32.dll 2007-12-14 16:43 . 2007-12-14 16:43 119,552 --a------ C:\WINDOWS\system32\llcsbaxv.dat 2007-12-14 16:43 . 2007-12-14 16:43 42,240 --a------ C:\WINDOWS\system32\kxgpnrji.dat 2007-12-14 16:43 . 2007-12-14 16:43 36,096 --a------ C:\WINDOWS\system32\pymohqls.dat 2007-12-14 16:43 . 2007-12-14 16:43 35,072 --a------ C:\WINDOWS\system32\ikqualhr.dat 2007-12-14 16:29 . 2007-12-14 16:36 <DIR> d-------- C:\WINDOWS\system32\AppCert 2007-12-14 16:29 . 19,456 C:\WINDOWS\system32\drivers\brwadndm.dat 2007-11-22 17:37 . 2007-11-23 19:55 29 --a------ C:\WINDOWS\AudACM.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-19 13:12 468,000 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-12-19 13:11 22,781,728 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-12-18 21:30 47,936 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-12-18 21:30 310,004 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-12-16 16:36 --------- d-----w C:\Programme\Google 2007-11-08 21:27 --------- d-----w C:\Programme\MSN Messenger 2007-10-24 14:48 --------- d-----w C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\AdobeUM 2005-05-11 21:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll . ((((((((((((((((((((((((((((( snapshot@2007-12-18_16.59.37.82 ))))))))))))))))))))))))))))))))))))))))) . + 2007-11-20 15:52:00 2,884,992 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll + 2007-11-20 15:52:00 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6DB9DF30-ED61-421D-8607-9DAB7D70EC1F}] c:\windows\system32\connapih.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9BEE2A7-EEE3-4971-8F30-78CC54AC4677}] C:\WINDOWS\system32\cdmodemo.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "TuneUp MemOptimizer"="E:\tuneup2004\MemOptimizer.exe" [2004-11-09 20:16] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-16 17:37] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2006-03-09 14:29 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "kis"="E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2006-03-24 19:09] "SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-10-02 16:27] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=E:\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer] 2005-03-31 08:30 1106944 --a------ C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Programme\Messenger\msmsgs.exe /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "PcSync"=E:\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog "Steam"=E:\Valve\Steam\\Steam.exe -silent "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "DAEMON Tools-1033"="E:\daemon.exe" -lang 1033 "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "HP Software Update"=E:\Drucker\HP\HP Software Update\HPWuSchd2.exe "HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe "PCSuiteTrayApplication"=E:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_07\bin\jusched.exe R0 kwspborh;kwspborh;C:\WINDOWS\system32\drivers\brwadndm.dat [] R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 16:34] R2 vcool;vcool;C:\WINDOWS\system32\vcool.sys [2002-11-27 14:55] S3 Ca100v;Smart Cam, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca100v.sys [2002-08-30 05:35] S3 drhard;DRHARD;C:\WINDOWS\System32\DRIVERS\DRHARD.SYS [2005-12-01 09:49] S3 RushTopDevice;RushTopDevice;E:\MSI\Core Center\RushTop.sys [] S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk100.sys [2002-07-26 01:19] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-19 14:12:37 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-19 14:13:44 C:\ComboFix2.txt ... 2007-12-18 17:31 C:\ComboFix3.txt ... 2007-12-18 17:00 |
Hier die HJ Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:23:59, on 19.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6479 bytes |
Hi, kein Scanner erkennt was besonderes, im Internet findet man nichts richtiges zu der Datei... schwierig... Schicke sie mal zur Überprüfung an z. B. Kaspersky (den hast Du ja jetzt drauf?) So, die connapih.dll schein jetzt weg zu sein, versuchen wir die Einträge jetzt mit HJ zu fixen: Hijackthis, fixen: Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, den Teatimer von Spybot unbedingt deaktieren!) Zitat:
Schau Dir bitte in dem vorangegangen Posting von mir den Nachtrag an, vielleicht bekommen wir die Systemwiederherstellung so wieder unter Kontrolle, die müssen wir auch noch bereinigen... chris |
Der Spyware Doctor zeigt mir diese Trojaner an hatte sie schon des öfteren gelöscht sind aber immer wieder da. Was kann ich da machen. Trojan-PWS.Tanspy Trojan.Generic |
Also irgendwie tut sich da nix sind immer noch da und HJ gibt auch nach dem fixen keine Rückmeldung ich fixe und dann ist das Feld leer und ich könnte nochmal scannen.Sagt der mir nich eigentlich das er die gelöscht hat oder sie nich löschen kann. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:40:02, on 19.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6479 bytes |
Hi, wo tauchen die beiden Trojaner auf (File)? Versuche im abgesicherten Modus mit HJ zu fixen, alle Programm geschlosse, kein Internet, KIS und Spyware Dr. ausgeschaltet... Lasse HJ dann noch mal scannen und schaue ob die Einträge weg sind... Boote dann neu und prüfe dann noch mal... Fixen gemäß http://www.trojaner-board.de/17493-a...ijackthis.html, ganz unten (Häkchen setzen, Fix checked auswählen, ja auswählen... etc... chris |
So hab es so gemacht wie du gesagt hast aber sieht nich so aus als ob sich was getan hat oder. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:07:12, on 19.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6398 bytes |
Dort hat Spyware Doctor die Trojaner localisiert. Trojan.PWS.Tanspy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ControlPanel\load Trojan.Generic HKEY_USERS\S-1-5-21-220523388-1604221776-1801674531-1004\Software\Wget |
Hi, jetzt reichts, jetzt machen wir Hardcore: Speichere das hier als File "hauweg.reg" auf dem Desktop: Zitat:
Falls ja, läuft definitiv noch ein Process der die Einträge überwacht und sie zurecht biegt. Das kann ein Virenscanner sein (Proaktiverschutz z. B. bei Kaspersky oder der Teatimer von Spybot), oder eben noch ein Trojaner teil. Rufe mal Regedit auf, navigiere zu dem Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ControlPanel\load" und schaue was da alles geladen wird, vielleicht kommen wir so drauf... Das gleiche mit dem zweiten Schlüssel... Deaktiviere die Systemwiederherstellung wie angegeben (in einem meiner Posts weiter unten)... chris |
Sorry aber was meinst du damit die als File speichern: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DB9DF3 0-ED61-421D-8607-9DAB7D70EC1F}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C9BEE2A 7-EEE3-4971-8F30-78CC54AC4677}] |
Diese beiden Schlüssel kann ich nicht finden der andere steht auf 0 HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore DisableConfig HKEY_LOCAL_MACHINE\ Software\ Policies\ Microsoft\ Windows\ Installer LimitSystemRestoreCheckpointing |
Hi, den Test abkopieren (mit der Mouse markieren), dann den Editor öffnen (Start->Programme->Zubehör->editor) dort einfügen, als hauweg.reg auf dem Desktop speichern. Dann Doppelklick drauf, Sicherheitsabfrage bejahen, mit HJ überprüfen ob die Einträge weg sind... Hast Du schon nachgesehen was unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ControlPanel\load" zu finden ist (unbekannte Programme, Programme die aus Temp-Ordnern gestartet werden etc.). Könnte auch ein Fehlalarm sein, Prevx ist etwas besser (http://www.prevx.com/freescan.asp)... chris |
So hab ich gemacht Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:02:55, on 19.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn...taller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6479 bytes P.S.Hier hat Prevx was gefunden Malware.Generic C:\WINDOWS\system32\swreg.exe |
Hi, ok ändert nichts... D. h. es ist nach was ätzendes da... Noch mal alles durchgehen... So, nach Rücksprache mit raman sollten wir uns da mal näher ansehen: C:\WINDOWS\system32\drivers\brwadndm.dat C:\WINDOWS\system32\kqgpbpmq.dat C:\WINDOWS\system32\libssl32.dll C:\WINDOWS\system32\llcsbaxv.dat C:\WINDOWS\system32\kxgpnrji.dat C:\WINDOWS\system32\pymohqls.dat C:\WINDOWS\system32\ikqualhr.dat und das Verzeichnis C:\WINDOWS\system32\AppCert So, offiziell wir die brwadndm.dat nicht geladen, mache wir mal ein Silentrunner-Log: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Kannst Du uns mitteilen, was alles in dem Verzeichnis C:\WINDOWS\system32\AppCert an Dateien liegt? (Commandline öffnen, in das Verzeichnis navigieren ( cd \ enter, danach cd C:\WINDOWS\system32\AppCert enter) dann folgender Befehl: dir > files.txt enter, anschießend die Datei mit dem Editor öffnen, abkopieren und hier posten)... Und wenn möglich, dass Verzeichnis packen (zippen), mit Passwort versehen und unter der Angabe des Passwortes an virus@protecus.de schicken... chris (Jetzt wird es mühsam, es scheint sehr neu zu sein, was du da hast).. Edit: Wow, scheint ein neues rootkit zu sein (zumindest was ich im internet gefunden habe ist eine Datei wohl dabei die fltdrv.dll heisst (ein Filtertreiber?)) |
Wie bekomme ich die Dateien vom Ordner in den Editor damit ich es anschließend verschicken kann sry kenne mich nich so gut aus damit. OHH was neues das wird sicherlich sehr schwierig. Diese Dateien sind im besagten Ordner: filter.drv options.dat prx93f.dll wsil32.dll wnl32.dll "Silent Runners.vbs", revision 55, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "TuneUp MemOptimizer" = ""E:\tuneup2004\MemOptimizer.exe" autostart" ["TuneUp Software GmbH"] "msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "kis" = ""E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"" ["Kaspersky Lab"] "SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++} "(Default)" = (empty string) [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "c:\windows\system32\connapih.dll" [file not found] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Sign-in Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."] {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\cdmodemo.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""E:\tuneup2004\sdshelex.dll"" ["TuneUp Software GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "E:\Real Player\rpshell.dll" ["RealNetworks, Inc."] "{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser" -> {HKLM...CLSID} = "Nokia Phone Browser" \InProcServer32\(Default) = "E:\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View" -> {HKLM...CLSID} = "Contact View" \InProcServer32\(Default) = "E:\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"] "{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View" -> {HKLM...CLSID} = "Message View" \InProcServer32\(Default) = "E:\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Web-Anti-Virus" -> {HKLM...CLSID} = "Web-Anti-Virus" \InProcServer32\(Default) = "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll" ["Kaspersky Lab"] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = "E:\KASPER~1\KASPER~1.0\adialhk.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\shellex.dll" ["Kaspersky Lab"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""E:\tuneup2004\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""E:\tuneup2004\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\bp_tobsen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Web-Anti-Virus" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll" ["Kaspersky Lab"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0007-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_07" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll" ["Sun Microsystems, Inc."] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ "ButtonText" = "Web-Anti-Virus" {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ "ButtonText" = "PartyPoker.com" "MenuText" = "PartyPoker.com" "Exec" = "E:\PartyGaming\PartyPoker\RunApp.exe" [empty string] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found] Miscellaneous IE Hijack Points ------------------------------ HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"] Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] Kaspersky Internet Security 6.0, AVP, ""E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r" ["Kaspersky Lab"] Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\MSN Messenger\usnsvc.exe"" [MS] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"] PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"] Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ hpzlnt12\Driver = "hpzlnt12.dll" ["HP"] ---------- (launch time: 2007-12-19 16:41:31) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 45 seconds, including 10 seconds for message boxes) |
Okay, sehr neu (ende letzten Monat), und zumindestens für mich ganz neu... Versuche auf jeden Fall die Dateien aus dem Verzeichnis vorher zu packen! (C:\WINDOWS\system32\AppCert) und an die angegebene Adresse zu schicken (falls Du kein Winzip hast ->IZarc: IZArc 3.8 Deutsch - Download - CHIP Online) Got them: Jetzt lassen wir ComboFix von der Leine: ComboFix-Script Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior) kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!). Zitat:
Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log! Chris |
Wenn ich das mache schliesst ComboFix irgendwann und auf dem Desktop erscheint eine Verknüpfung zum Internet Explorer aber bekomme keine LogFIle. Noch ne Frage die Dateien aus dem Ordner C:\WINDOWS\system32\AppCert komplett so schicken ja? |
Ich glaube ich werde formatieren ist mir einfach zu unsicher mit diesem Trojaner oder was auch immer weiter im Netz zu surfen und ich habe ja auch Online-Banking oder was sagst du ist es vielleicht soch nich so schlimm. Schliesslich merke ich ja nix mehr kann normal surfen und alles. Aber trotzdem vielen Dank für deine Hilfe wäre aber besser wenn ich mir das formatieren sparen könnte. |
Hi, wenn alles klappt, dann sollte das Verzeichnis gelöscht sein komplett mit allen Dateien... Wenn Du Homebanking machen solltest, dann ist es auf jeden Fall besser zu formatieren und ändere Deine Pin etc. von einem sauberen Rechner aus! Werde mich morgen noch mal mit raman abstimmen... Chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board