Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Tr/Crypt.Xpack.gen - Vieles ausprobiert, nichts hat geholfen. (https://www.trojaner-board.de/51564-tr-crypt-xpack-gen-vieles-ausprobiert-nichts-hat-geholfen.html)

Meow 14.04.2008 17:28
Tr/Crypt.Xpack.gen - Vieles ausprobiert, nichts hat geholfen.
 
Folgendes: habe wohl Mist gebaut und mir irgendeinen Schrott ausversehen
runtergeladen, Ich weiß es wirklich nicht, aber mein Antivir meldet eben seit
c.a. einer Woche ständig, dass ein DLL Datei im System 32 Ordner ein Trojaner ist.

Immer, wenn ich eine exe Datei ausführe, so meldet sich der Virus.
Auch einfach so kommen Meldungen, und es nervt einfach höllisch.
Klar könnte ich auch Antivir ausschalten, aber damit wäre die Ursache
nicht behoben.

Was ich alles versucht habe: Datei zu löschen (System 32 Ordner wird auch
nicht angezeigt, obwohl die Ordneroptionen richtig eingestellt sind, auch
super), geht nicht. Habe dann mit Unlocker geschaut, in welchen Prozessen
die Datei aktiv ist - hier winlogon.exe. Hab den Prozess gekillt, hat natürlich
sofort rebootet, aber nachdem der PC wieder hochgefahren war war der
Prozess wieder geöffnet. Löschen geht also nicht, auch nich mit
Shredderprogrammen und abgesichertem Modus.

Systemwiederherstellung - klappt nicht.
Letzte kann ich vom 3. April machen und da hatte ich das Problem schon.

Habe auch sämtliche Programme, die über Google empfohlen wurden sind,
ausprobiert - nix geholfen. Gut nun wende ich mich an euch. Werde dann
wohl formatieren, wenn nix hilft - aber wenigstens fürs erste kann ich viell
Besserung erzeugen.

Malewareprogs hab ich durchlaufen lassen, weiß aber nicht, welche zu
empfehlen sind. Habe jetzt Spybot ausprobiert und Adaware.

HijackThisLog:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:24:36, on 14.04.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\SatSrv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = *~ Internet Explorer ~*
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {826A5ED9-1316-4EFD-87F8-AA400C5D551A} - C:\WINDOWS\System32\efcDUoLE.dll
O2 - BHO: (no name) - {C4672603-174C-4A79-9C61-D48996E094D0} - C:\WINDOWS\System32\rqRHwTKD.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: efcDUoLE - C:\WINDOWS\SYSTEM32\efcDUoLE.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\System32\\SatSrv.exe

--
End of file - 5521 bytes
Die Problemdatei heißt übrigens efcudole.dll.

Habe Windows XP, immernoch (Kaufe bald Vista) und naja ansonsten weiß nich ob es was nennenswertes gibt.

Sabina 14.04.2008 18:30
Hallo,

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.
Zitat:
O2 - BHO: (no name) - {826A5ED9-1316-4EFD-87F8-AA400C5D551A} - C:\WINDOWS\System32\efcDUoLE.dll

O2 - BHO: (no name) - {C4672603-174C-4A79-9C61-D48996E094D0} - C:\WINDOWS\System32\rqRHwTKD.dll (file missing)

O20 - Winlogon Notify: efcDUoLE - C:\WINDOWS\SYSTEM32\efcDUoLE.dll
««
wende bitte CCleaner an
CCleaner

««
dann wende combofix an (Warnmeldung wegklicken) + poste hier den Report
combofix

Meow 14.04.2008 19:39
Dankeschön für die Antwort.
Habe all das gemacht, was du gesagt hast, auch in der Reihenfolge.
Ich glaube, es hat geholfen, denn AntiVir zickt nicht mehr rum.
Auch VundoGen is verschwunden (Ein anderer Virus.)
Hier der Log von CmboFix (Den wolltest Du ja, ist eben bisschen groß)

Habe Namen verändert.

Zitat:
ComboFix 08-04-13.3 - Lalala- 2008-04-14 20:24:18.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.290 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Lalala\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\dwnrpofk.dll
C:\WINDOWS\norlatmx.exe
C:\WINDOWS\system32\ddcYsTJy.dll
C:\WINDOWS\system32\DKTwHRqr.ini
C:\WINDOWS\system32\DKTwHRqr.ini2
C:\WINDOWS\system32\efcDUoLE.dll
C:\WINDOWS\system32\yJTsYcdd.ini
C:\WINDOWS\system32\yJTsYcdd.ini2
C:\WINDOWS\vbgtorfd.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-14 bis 2008-04-14 ))))))))))))))))))))))))))))))
.

2008-04-14 20:15 . 2008-04-14 20:15 294 ---hs---- C:\WINDOWS\system32\nlfjbbme.ini
2008-04-14 20:12 . 2008-04-14 20:12 3,648 --a------ C:\WINDOWS\system32\hjrtcjto.dll
2008-04-14 20:04 . 2008-04-14 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Lalala\WINDOWS
2008-04-14 20:04 . 2008-04-14 20:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-04-14 20:04 . 2008-04-14 20:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-14 20:04 . 2008-04-14 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-14 20:04 . 2008-04-14 20:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-14 20:04 . 2008-04-14 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-04-14 18:39 . 2008-04-14 20:03 <DIR> d-------- C:\Programme\CCleaner
2008-04-13 21:55 . 2007-12-10 14:24 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-04-13 14:57 . 2008-04-13 14:57 3,648 --a------ C:\WINDOWS\system32\cgbrmbgw.dll
2008-04-12 14:56 . 2008-04-12 14:56 3,648 --a------ C:\WINDOWS\system32\ccicoygn.dll
2008-04-12 02:02 . 2008-04-14 20:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-12 02:02 . 2008-04-14 20:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-12 02:02 . 2008-04-14 20:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-12 02:02 . 2008-04-14 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-12 02:01 . 2008-04-12 02:05 330 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-04-12 01:36 . 2008-04-12 01:36 <DIR> d-------- C:\Programme\Trend Micro
2008-04-11 13:53 . 2008-04-11 13:53 3,648 --a------ C:\WINDOWS\system32\biwnktsh.dll
2008-04-10 20:10 . 2008-04-10 20:10 <DIR> d-------- C:\kav
2008-04-10 20:03 . 2008-04-14 20:04 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-10 20:03 . 2008-04-14 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-10 13:53 . 2008-04-10 13:53 3,648 --a------ C:\WINDOWS\system32\djggxpkn.dll
2008-04-09 13:53 . 2008-04-09 13:53 3,648 --a------ C:\WINDOWS\system32\pfvddcnf.dll
2008-03-27 00:08 . 2008-03-27 00:09 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-27 00:08 . 2002-01-11 14:55 847,632 --a------ C:\WINDOWS\system32\msdxm.ocx
2008-03-27 00:08 . 2002-01-11 14:55 500,496 --a------ C:\WINDOWS\system32\dxmasf.dll
2008-03-27 00:08 . 2002-01-11 14:55 251,904 --a------ C:\WINDOWS\system32\strmdll.dll
2008-03-27 00:07 . 2008-04-12 01:04 <DIR> d-------- C:\WINDOWS\Windows Update Setup-Dateien
2008-03-27 00:07 . 2008-03-27 00:07 <DIR> d-------- C:\WINDOWS\Verlauf
2008-03-27 00:05 . 2008-03-27 00:05 <DIR> d---s---- C:\Dokumente und Einstellungen\Lalala\UserData
2008-03-23 07:01 . 2008-03-23 07:01 <DIR> d-------- C:\Programme\IrfanView
2008-03-21 01:46 . 2008-04-02 23:24 <DIR> d-------- C:\Programme\Viewpoint
2008-03-21 01:46 . 2008-04-02 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
2008-03-21 01:46 . 2008-03-21 01:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL OCP
2008-03-21 01:46 . 2008-04-14 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2008-03-21 01:45 . 2008-03-21 01:46 444 --ah----- C:\IPH.PH
2008-03-16 01:26 . 2008-03-16 02:13 <DIR> d-------- C:\s-winprosa

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-07 19:09 --------- d-----w C:\Programme\intocartoonpro
2008-12-07 19:04 82 --sh--w C:\Programme\Desktop.ini
2008-12-07 03:04 --------- d-----w C:\Programme\audiograbber
2008-12-07 02:15 --------- d-----w C:\Programme\QT Lite
2008-12-07 02:15 --------- d-----w C:\Dokumente und Einstellungen\Lalala\Anwendungsdaten\Apple Computer
2008-12-07 02:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 01:54 --------- d-----w C:\Programme\Ad-Aware 2007
2008-12-07 01:51 --------- d-----w C:\Dokumente und Einstellungen\Lalala\Anwendungsdaten\Lavasoft
2008-12-07 01:50 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-12-07 00:58 --------- d-----w C:\Programme\FLV Player
2008-04-14 18:30 --------- d-----w C:\Dokumente und Einstellungen\Lalala\Anwendungsdaten\OpenOffice.org2
2008-04-14 18:12 --------- d-----w C:\Programme\Lavasoft
2008-04-14 18:03 --------- d-----w C:\Programme\eMule
2008-04-14 16:07 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-04-13 20:18 --------- d-----w C:\Programme\Tales of Pirates Online
2008-04-11 23:22 --------- d-----w C:\Programme\Unlocker
2008-04-02 21:22 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-26 22:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-18 23:54 675,616 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-18 23:54 4,340 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-18 23:54 35,104 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-18 23:54 11,168 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-16 23:35 22,661,470 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_03_16_00_19_03_full.dmp.zip
2008-03-15 20:43 2,620 ----a-w C:\WINDOWS\ssconf2.bin
2008-03-08 14:15 512 ----a-w C:\ScanSectorLog.dat
2008-03-08 14:04 --------- d-----w C:\Programme\Folder Marker
2008-03-08 13:58 19,995,010 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_03_07_22_44_31_full.dmp.zip
2008-03-08 13:57 20,105,839 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_03_02_22_10_55_full.dmp.zip
2007-12-09 00:26 52,603 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_12_31_04_28_05_small.dmp.zip
2007-11-15 21:51 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2006-11-22 03:09 842584]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22 1126400]
"CmCardRun"="C:\WINDOWS\system32\CmWatch.exe" [2003-09-16 17:50 229376]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-25 23:41 249896]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 14:00 13312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"GreyMSIAds"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcDUoLE]
efcDUoLE.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:06 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-11-25 23:41]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-11-25 23:41]
R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2007-04-26 10:21]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2001-08-18 14:00]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Programme\Everest Ultimate\EVEREST Ultimate Edition\kerneld.wnt [2006-02-21 01:00]
S3 UMSSSTOR;C-Media Storage;C:\WINDOWS\System32\DRIVERS\UMSS.SYS [2004-07-13 12:40]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 20:30:37
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\C:\Programme\Everest Ultimate\EVEREST Ultimate Edition\kerneld.wnt"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-14 20:32:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-14 18:32:52

12 Verzeichnis(se), 66,444,632,064 Bytes frei
14 Verzeichnis(se), 66,393,890,816 Bytes frei

Sabina 15.04.2008 00:04
Hallo,

1.
gehe in die Registry
Start - Ausführen - regedit

oben links ..die Suchfunktion:
suchen - efcDUoLE

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcDUoLE] - löschen
efcDUoLE.dll

------------
ODER:
noch mal mit HijackThis folgenden Eintrag löschen:
O20 - Winlogon Notify: efcDUoLE - C:\WINDOWS\SYSTEM32\efcDUoLE.dll
-------------


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"GreyMSIAds"= 1 - in 0 ändern

siehe:
Windowspage - Alles rund um Windows


[HKEY_LOCAL_MACHINE\software\policies\microsoft\win dows\windowsupdate\au]
"NoAutoUpdate"= 1 - in 0 ändern

----------------------------------------------------------
2.
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move
Zitat:
C:\WINDOWS\system32\nlfjbbme.ini
C:\WINDOWS\system32\hjrtcjto.dll
C:\WINDOWS\system32\cgbrmbgw.dll
C:\WINDOWS\system32\ccicoygn.dll
C:\WINDOWS\system32\biwnktsh.dll
C:\WINDOWS\system32\djggxpkn.dll
C:\WINDOWS\system32\pfvddcnf.dll
Klicke auf den Roten MoveIt!

----------------------------------------------
3.
««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

4.
««
OTMoveIt
klicken: CleanUp! button
cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

5.
««
wende dial-fix an , damit die WindowsUpdates wieder funktionieren
Dial-a-fix

----------------------------------------------

6.
««
scanne mit Malwarebytes, lasse alles Gefundene enfernen
Malwarebytes Anti-Malware

7.
««
du kannst dann auch noch einen Onlinescan mit Bitdefender machen
Online Virenscanner

dann sollte wieder alles o.k. sein :)


Gruss
Sabina
___________


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131