Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge (https://www.trojaner-board.de/54822-viren-werbung-ie-bitte-um-hilfe-hijackthis-loge.html)

Maichen 27.06.2008 08:12

Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge
 
Hallo,
ich hoffe ihr könnt mir helfen ;)
Denn seit einiger Zeit komme ich nicht mehr auf alle Internet Seiten und es öffnet sich Werbung, Teils normale, teils welche wo ich aufgefordert werde einen Virenscanner zu Installieren. Diese Fenster kommen auch, wenn ich den Internet Explorer schon einige Minuten geschlossen habe.
Ich sollte anmerken, dass ich mit einem Bekannten schon sämtliche Viren von meinem PC gelöscht habe, denn Viren versäucht war ich auch:(

Hier nun also mein HiJackThis Log
Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:40:43, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.web.de/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.net/de/?status=login
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht**tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [146b1df4] rundll32.exe "C:\WINDOWS\system32\fchdwgyw.dll",b
O4 - HKLM\..\Run: [BM17582e68] Rundll32.exe "C:\WINDOWS\system32\acmjexrx.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**tp://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196957286750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht**tp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197100059562
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**tp://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - h**p://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - ht**p://www.shockwave.com/content/peggle/sis/popcaploader_v10_en.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://www.flatcast.info/objects/NpFv415.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - h**p://www.flatcast.info/objects/NpFv41629.dll
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://www.gutchat.de/control/msnchat45.cab
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7962 bytes

Danke schon einmal im Vorraus
Maichen

MightyMarc 27.06.2008 08:37

Zitat:

Zitat von Maichen (Beitrag 349682)
Ich sollte anmerken, dass ich mit einem Bekannten schon sämtliche Viren von meinem PC gelöscht habe, denn Viren versäucht war ich auch.

Nicht so voreilig, bitte.

Diese beiden Dateien bitte bei virustotal.com hochladen und prüfen lassen. Anschliessend den vollständigen Scanreport inklsuive sämtlicher Angaben wie Größe, Hash etc hier posten:

Code:

C:\WINDOWS\system32\fchdwgyw.dll
C:\WINDOWS\system32\acmjexrx.dll

Unter Umständen müssen vorher versteckte Dateien sichtbar gemacht werden: Anleitung

%ComSpec%

Maichen 27.06.2008 08:58

Naja aber ich war schon geschockt, als ich Bitdefender durch laufen ließ, was da so alles kam. Wobei ich Antivir regelmäßig hatte durchlaufen lassen und der mir nie was angezeit hat.
Unsichtbare Datein müssten aufgedeckt sein
Hoffe ich mach das jetzt richtig:confused:

C:\WINDOWS\system32\fchdwgyw.dll

Code:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.26.0 2008.06.26 -
AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen
Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado
Avast 4.8.1195.0 2008.06.26 -
AVG 7.5.0.516 2008.06.26 -
BitDefender 7.2 2008.06.27 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.27 -
eSafe 7.0.17.0 2008.06.26 Suspicious File
eTrust-Vet 31.6.5910 2008.06.27 -
Ewido 4.0 2008.06.26 -
F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.27 -
GData 2.0.7306.1023 2008.06.27 -
Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo
Kaspersky 7.0.0.125 2008.06.27 -
McAfee 5326 2008.06.26 -
Microsoft 1.3704 2008.06.27 -
NOD32v2 3222 2008.06.26 -
Norman 5.80.02 2008.06.26 -
Panda 9.0.0.4 2008.06.26 Suspicious file
Prevx1 V2 2008.06.27 Fraudulent Security Program
Rising 20.50.41.00 2008.06.27 -
Sophos 4.30.0 2008.06.27 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.27 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.27 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen
weitere Informationen
File size: 84944 bytes
MD5...: acb3c4c003e59257b6987773ac79fdf8
SHA1..: e97989a1e55760da1c910d533cfbca28153861f6
SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f
SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807
a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100261af
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52
.rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9
.data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7
.rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940
.reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a
dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14

( 2 imports )
> KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA
> USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA

( 0 exports )

C:\WINDOWS\system32\acmjexrx.dll
Code:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.26.0 2008.06.26 -
AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen
Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado
Avast 4.8.1195.0 2008.06.26 -
AVG 7.5.0.516 2008.06.26 -
BitDefender 7.2 2008.06.27 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.27 -
eSafe 7.0.17.0 2008.06.26 Suspicious File
eTrust-Vet 31.6.5910 2008.06.27 -
Ewido 4.0 2008.06.26 -
F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.27 -
GData 2.0.7306.1023 2008.06.27 -
Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo
Kaspersky 7.0.0.125 2008.06.27 -
McAfee 5326 2008.06.26 -
Microsoft 1.3704 2008.06.27 -
NOD32v2 3222 2008.06.26 -
Norman 5.80.02 2008.06.26 -
Panda 9.0.0.4 2008.06.26 Suspicious file
Prevx1 V2 2008.06.27 Fraudulent Security Program
Rising 20.50.41.00 2008.06.27 -
Sophos 4.30.0 2008.06.27 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.27 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.27 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen
weitere Informationen
File size: 84944 bytes
MD5...: acb3c4c003e59257b6987773ac79fdf8
SHA1..: e97989a1e55760da1c910d533cfbca28153861f6
SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f
SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807
a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100261af
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52
.rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9
.data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7
.rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940
.reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a
dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14

( 2 imports )
> KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA
> USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA

( 0 exports )


MightyMarc 27.06.2008 09:42

Vundo/Virtumonde, ein Klassiker, aber leider habe ich das solange nicht mehr gemacht, dass ich das Lieber einem der anderen Helfer überlassen möchte. Ansonsten laufe ich Gefahr, Dir und mir viel Arbeit zu machen und die Sache ist am Ende doch nicht richtig gemacht.

%ComSpec%

BataAlexander 27.06.2008 09:55

1. Malwarebytes
Bitte lasse zuerst Malwarebytes wie beschrieben laufen.

2. Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl :)

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

3. Erstellung eines neuen HiJackThis Logs.
Erstelle bitte ein neues HiJackThis File und editiere es wie beschrieben vor dem Posten.

Maichen 27.06.2008 12:13

So nun hab ich es endlich geschafft.
Das eine wirkt wie eine mamut Datei also bitte nicht wundern

1.File-Upload.net - mbam-log-6-27-2008--12-39-12-.txt

2.File-Upload.net - filelist27.txt

3.File-Upload.net - hijackthis2.txt

BataAlexander 27.06.2008 16:38

Gehe wiefolgt vor

1. Mit HiJackThis Einträge fixen und Dateien löschen

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {5B63AA4D-BB46-4EE1-95CC-0FB3548E8475} - (no file)
O2 - BHO: {f89bd4cf-559c-1d5a-2744-9341ff1b683b} - {b386b1ff-1439-4472-a5d1-c955fc4db98f} - C:\WINDOWS\system32\xobjnyfe.dll


(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Stelle Deinen Rechner wie hier beschrieben ein.
Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\ebluimvr.ini
C:\WINDOWS\system32\bdss.log
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\vEhOYcdd.ini
C:\WINDOWS\system32\fchdwgyw.dll
C:\WINDOWS\system32\acmjexrx.dll
C:\WINDOWS\system32\ddcYOhEv.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\eoayhuwa.ini
C:\WINDOWS\system32\xobjnyfe.dll
C:\WINDOWS\system32\ppadgbyu.dll
C:\WINDOWS\system32\pbwskvmd.ini
C:\WINDOWS\system32\stfasamf.dll
C:\WINDOWS\system32\rqcylggq.dll
C:\WINDOWS\system32\nonxgril.dll
C:\WINDOWS\system32\fqskmkal.ini
C:\WINDOWS\system32\cljybuhw.dll
C:\WINDOWS\system32\fbjnvqeo.dll
C:\WINDOWS\system32\qnutahvf.ini
C:\WINDOWS\system32\lkUutBeg.ini
C:\WINDOWS\system32\ldgaurlx.dll
C:\WINDOWS\system32\lkUutBeg.ini2
C:\WINDOWS\system32\iqddrakx.dll
C:\WINDOWS\system32\qwlrlbjf.dll
C:\WINDOWS\system32\hgyqntph.ini
C:\WINDOWS\system32\lewjjgvc.ini
C:\WINDOWS\system32\posfounl.ini
C:\WINDOWS\system32\nmplcykg.ini
C:\WINDOWS\system32\mhxnidxs.ini
C:\WINDOWS\Kyor.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\BM17582e68.xml
C:\WINDOWS\_delis32.ini
C:\WINDOWS\BM17582e68.txt

Dann starte den Rechner neu.

2. Dateien bei virustotal prüfen lassen


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:

C:\TEST.XML
c:\windows\IsUn0407.exe

3. Die Temporären Dateien auf Deinem Rechner löschen.

ATF - The Cleaner

- Lade ATF - The Cleaner
- Doppelklicke die ATF-CLeaner.exe um das Programm zu starten
- Unter Main, wähle alle
- Klicke den Empty selected Button
- Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Wenn Du Opera benutzt, klicke Opera und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Klicke Exit im Main Menü um das Programm zu schließen

4. Den ADS prüfen

ADS In HiJackThis nutzen

Maichen 27.06.2008 17:49

Wow, danke schon mal

bei 1. habe ich alles gelöscht

2. sieht bei mir so aus
C:\TEST.XML
Code:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
weitere Informationen
MD5: 0a9c8d85bfa9b31d1bd3907524c3fd7f
SHA1: 5c2e8d61fd39fd138f283ace88e8c7fe44205f1b
SHA256: f46a6494dc2a99e400048b672684db6c88c4aa6ccfcdb5ee05dbda284f8e6d55
SHA512: 064d3ae4e13a8295a2e865ad86f1bf2cf8f5bd40e0caa9e89c8d45d1514ba50b3d35728b79bbeb4233e186a1a67cd0e8410364eafe98747f8af1f8e429bd7ded

c:\windows\IsUn0407.exe
Code:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.26 -
AVG 7.5.0.516 2008.06.27 -
BitDefender 7.2 2008.06.27 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.27 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.27 -
GData 2.0.7306.1023 2008.06.27 -
Ikarus T3.1.1.26.0 2008.06.27 -
Kaspersky 7.0.0.125 2008.06.27 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.27 -
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.26 -
Panda 9.0.0.4 2008.06.26 -
Prevx1 V2 2008.06.27 -
Rising 20.50.42.00 2008.06.27 -
Sophos 4.30.0 2008.06.27 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.27 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.27 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.27 -
weitere Informationen
File size: 262144 bytes
MD5...: ac7bd8195aef068f855076af057e44a9
SHA1..: 7390885f0f8e819aaaab7af0d04be4ea936b1bf1
SHA256: b3662aa7c32fb99a73b903f3993737d7ed19c0798e5feb4995281db7e2dd1d6b
SHA512: 5066961a4654a6e320b446b48b094f38169fb865896cefd618572179579caf0e
f43f8098daadf6f20d775632ec3ee55378496d70af9ca8ba91db24f95e8f342f
PEiD..: InstallShield 2000
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41c330
timedatestamp.....: 0x3638e561 (Thu Oct 29 22:00:01 1998)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f315 0x1f400 6.24 fd4f4cbddcd33f76b523739b629cc3b3
.rdata 0x21000 0x1c0c 0x1e00 5.39 01668df29e4d91578a2309cc44649fc8
.data 0x23000 0x4a7c 0x3800 2.51 8383ed0cfd9809552c7023805b5c9170
.rsrc 0x28000 0x2c000 0x2b600 5.38 b4f02f26b8622aa2101dcdced784f30a

( 7 imports )
> KERNEL32.dll: DosDateTimeToFileTime, GetPrivateProfileStringA, GetCurrentProcess, LocalFileTimeToFileTime, SetFileTime, MoveFileExA, SetFilePointer, WriteFile, MoveFileA, GetFileAttributesA, lstrcmpA, SetEndOfFile, lstrcpynA, GetLocalTime, SetCurrentDirectoryA, GetDriveTypeA, GetDiskFreeSpaceA, CreateDirectoryA, GetLastError, GetCurrentThread, GetCurrentDirectoryA, GlobalReAlloc, FileTimeToLocalFileTime, GetFileTime, FileTimeToDosDateTime, GetPrivateProfileSectionA, SetFileAttributesA, DeleteFileA, FindNextFileA, FindClose, WinExec, Sleep, GetModuleFileNameA, GetSystemDefaultLCID, MulDiv, GetWindowsDirectoryA, GetTickCount, lstrcatA, lstrcmpiA, lstrlenA, lstrcpyA, CreateFileA, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GetModuleHandleA, GetSystemInfo, FindResourceA, LoadResource, SizeofResource, FreeResource, LockResource, OpenFile, _hwrite, _lclose, GetVersion, IsDBCSLeadByte, GetSystemDirectoryA, WriteProfileSectionA, WritePrivateProfileSectionA, WritePrivateProfileStringA, GlobalCompact, WriteProfileStringA, GetFileType, LCMapStringA, GetProfileSectionA, GlobalHandle, SetErrorMode, GlobalFree, LoadLibraryA, GetProcAddress, FreeLibrary, FindFirstFileA, RemoveDirectoryA, RtlUnwind, GetStdHandle, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, TerminateProcess, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetSystemTime, GetTimeZoneInformation, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapFree, HeapAlloc, LCMapStringW, GetStringTypeA, GetStringTypeW, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapReAlloc
> USER32.dll: SetDlgItemTextA, LoadStringA, MessageBoxA, EndDialog, DialogBoxParamA, wsprintfA, PeekMessageA, SendDlgItemMessageA, BeginPaint, EndPaint, DefWindowProcA, LoadCursorA, GetClassInfoA, OemToCharA, KillTimer, PostQuitMessage, RegisterClassA, GetSysColor, IsDialogMessageA, CharLowerA, CreateWindowExA, EnableWindow, GetWindow, GetClassNameA, CharUpperA, GetWindowTextA, GetDlgItem, SendMessageA, PostMessageA, SetWindowTextA, GetSystemMetrics, SetWindowPos, ShowWindow, UpdateWindow, SetFocus, IsWindow, RegisterWindowMessageA, GetDC, ReleaseDC, ScreenToClient, SetTimer, LoadIconA, DestroyWindow, LoadBitmapA, CreateDialogParamA, InvalidateRect, IsWindowVisible, CharNextA, InflateRect, CharPrevA, CharToOemA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, ExitWindowsEx, FindWindowA, GetClientRect, FillRect, SetRect, SetRectEmpty, GetWindowLongA, GetWindowRect, DispatchMessageA, TranslateMessage, MessageBeep
> GDI32.dll: CreateDIBitmap, SelectPalette, GetDeviceCaps, CreatePalette, GetSystemPaletteEntries, LineTo, MoveToEx, DeleteObject, CreatePen, CreateFontIndirectA, GetObjectA, DeleteDC, BitBlt, CreateCompatibleDC, RestoreDC, Rectangle, GetStockObject, CreateSolidBrush, IntersectClipRect, SaveDC, CreateCompatibleBitmap, SetBkColor, CreateBitmap, SetPixel, GetTextExtentPointA, SelectObject, RealizePalette
> comdlg32.dll: GetOpenFileNameA, GetSaveFileNameA
> ADVAPI32.dll: AllocateAndInitializeSid, RegCloseKey, RegConnectRegistryA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, CloseServiceHandle, OpenSCManagerA, FreeSid, RegCreateKeyExA, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, RegOpenKeyA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegEnumValueA, EqualSid, GetTokenInformation, OpenThreadToken
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )

3. der ATF-Cleaner gibt bei mir jedes mal "Keine Rückmeldung"

4. Sieht bei mir so aus
Code:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2  (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980  (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2  (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980  (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtest  (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtest  (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)


BataAlexander 29.06.2008 13:48

Sorry hat was gedauert, mir gehts grad etwas xx'*#^o.

Ich werde nicht ganz aus dem ADS Scan schlau, und würde Dich bitten gmer laufen zu lassen.

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

Maichen 29.06.2008 16:13

Kein Problem ;)
File-Upload.net - gmer.txt

Gute Besserung ;)

MightyMarc 29.06.2008 23:08

Zitat:

Zitat von BataAlexander (Beitrag 350252)
Ich werde nicht ganz aus dem ADS Scan schlau, und würde Dich bitten gmer laufen zu lassen.

Mal so aus einer Bierlaune heraus: Wie wäre es, das Benutzerprofil "Rechner" auf eine FAT-Partition zu verschieben um es dann wieder an den alten Ort zu packen?

%ComSpec%

BataAlexander 30.06.2008 07:08

Zitat:

Zitat von %ComSpec% (Beitrag 350370)
das Benutzerprofil "Rechner" auf eine FAT-Partition zu verschieben um es dann wieder an den alten Ort zu packen?

Damit hätten wir den ADS, allerdings ist da noch was anderes.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131