Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spyware Secure bei Firefox. !!!! (https://www.trojaner-board.de/54826-spyware-secure-firefox.html)

efes.p 27.06.2008 09:45
Spyware Secure bei Firefox. !!!!
 
Hallo,

seit einiger zeit öffnet sich bei mir unter firefox immer ein TAB Spyware Secure, der mir sagt ich soll mir ein Anti-Spyware Programm auf meinen Rechner installieren, da mein Antiviren Programm nicht effizient wäre.
Wenn ich ja Klicke kommt als Datei SpywareSecure_trial_Setup.exe.

Habe als Antivirenprogramm AVAST, und mit Spybot Search und Destroy habe ich auch nichts gefunden.

hier mal ein Post, vieleicht kann mir ja jemand weiterhelfen.??
Danke

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

undoreal 27.06.2008 15:11
Hallo Murat.

Editiere bitte deinen Real-Namen und alle aktiven Links in deinem Logfile.

Poste das frische Log sowie einen VT Bericht.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\dokumente und einstellungen\**dein Name**\lokale einstellungen\anwendungsdaten\aoyqc.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

efes.p 27.06.2008 20:47
hoffe das ist jetzt richtig so:
ich kenne mich kaum aus, was ist ein VT bericht und das mit Virtustotal habe ich auch nicht verstanden:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:28:19, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\aoyqc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\hijackthis.exe\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cobepbn] c:\windows\system32\cobepbn.exe cobepbn
O4 - HKCU\..\Run: [aoyqc] c:\dokumente und einstellungen\simsek murat\lokale einstellungen\anwendungsdaten\aoyqc.exe aoyqc
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1166368803320
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37022923-AB85-40DA-B1AB-FE9F6D7C7843}: NameServer = 213.191.92.87 62.109.123.6
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7303 bytes


Datei aoyqc.exe empfangen 2008.06.27 21:57:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/33 (6.07%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 -
AVG 7.5.0.516 2008.06.27 -
BitDefender 7.2 2008.06.27 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.27 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.27 -
GData 2.0.7306.1023 2008.06.27 -
Ikarus T3.1.1.26.0 2008.06.27 Trojan.Win32.Skintrim.B
Kaspersky 7.0.0.125 2008.06.27 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.27 Trojan:Win32/Skintrim.B
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.26 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.27 -
Rising 20.50.42.00 2008.06.27 -
Sophos 4.30.0 2008.06.27 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.27 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.27 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.27 -
weitere Informationen
File size: 376832 bytes
MD5...: a226185d716f08b6a8689ed48baa3f36
SHA1..: c2933af5be0a3fcebe9e431ab3a1d025c9a285a4
SHA256: 9474588cf45ea3b1eb22d909f4adb84226884c5de8f8975b5f1b7d6595127c2b
SHA512: ce29347643309f461c7fecdbe261688a77e5b64824952e384a51f4f5da3d44a3
a5ef09f9666fae3d5c2c2eb105461d42d6bdedd11384f5fecd16cbed934d8dbe
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40109e
timedatestamp.....: 0x445b7bd1 (Fri May 05 16:22:41 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x52b4c 0x53000 7.00 58d709f0da8e0c0d1117dc155d02cf90
.rdata 0x54000 0x12c2 0x2000 3.80 d07b26dad2b42ec13573dbb0284d12d1
.data 0x56000 0x5660 0x6000 3.88 2555a2c6bd40e6df29f2bb90b2c2db07

( 10 imports )
> KERNEL32.dll: CreateDirectoryA, GetCurrentDirectoryW, ExitThread, GetShortPathNameW, GetFileAttributesExA, GetTapeStatus, FreeEnvironmentStringsA, WriteProcessMemory, GetPrivateProfileStringW, DebugBreak, GlobalGetAtomNameW, SetCommTimeouts, GetDiskFreeSpaceW, GetDateFormatA, SetEnvironmentVariableW, GetOEMCP, CreateDirectoryW, CancelIo, SetErrorMode, FindFirstFileW, GetSystemInfo, WritePrivateProfileSectionW, SetConsoleMode, GetTickCount, WriteFile, ScrollConsoleScreenBufferA, ReadFile, ReleaseMutex, lstrcmpiW, OpenSemaphoreW, EnumDateFormatsW, GetSystemTimeAsFileTime, GetProcessHeap, PeekConsoleInputW, UnmapViewOfFile, EnumSystemCodePagesA, PulseEvent, CreateNamedPipeW, WaitNamedPipeA, EnumTimeFormatsW, GetPrivateProfileStringA, GetFullPathNameA, EnumResourceLanguagesW, GetCurrentProcessId, SetProcessWorkingSetSize, OutputDebugStringW, GetProfileIntA, SetEndOfFile, IsBadReadPtr, FlushConsoleInputBuffer, CloseHandle, ReadFileScatter, GetLargestConsoleWindowSize, GetDriveTypeA, FillConsoleOutputCharacterA, GetFileInformationByHandle, GetPrivateProfileSectionW, VirtualProtect, GetCommandLineA, FindFirstFileA, SetFileAttributesA, GetHandleInformation, VirtualAllocEx, SwitchToFiber, MultiByteToWideChar, TlsGetValue, LocalReAlloc, GetCommModemStatus, GetCommState, SetNamedPipeHandleState, GetVolumeInformationW, PrepareTape, GetCurrentProcess, CreateFileW, GlobalAddAtomW, WritePrivateProfileStringA, AreFileApisANSI, SetMailslotInfo, GetVersion, LeaveCriticalSection, GetOverlappedResult, GlobalReAlloc, GetModuleHandleA, WritePrivateProfileStringW, GetVersionExA, lstrlenA, ConnectNamedPipe, ExitProcess
> USER32.dll: IsClipboardFormatAvailable, DeferWindowPos, MessageBoxA, AttachThreadInput, GetClipboardOwner, GetMenuItemRect, GrayStringA, GetClassInfoA, ChangeDisplaySettingsA, GetNextDlgGroupItem, SetFocus, PeekMessageA, IsChild, MonitorFromRect, SetParent, CreateIconIndirect, SetClassLongW, FindWindowExW, GetMenuInfo, GetAsyncKeyState, GetClientRect
> GDI32.dll: SetLayout, GetCharWidth32W, SetTextCharacterExtra, StretchBlt, SelectObject, GetEnhMetaFileBits, SelectClipRgn, GetTextCharacterExtra, CreateDCA, SetSystemPaletteUse, SwapBuffers, GetCharWidthA, DeleteMetaFile, CopyMetaFileA, CreateHalftonePalette, Chord, EnumObjects
> comdlg32.dll: PrintDlgW, GetFileTitleW, PageSetupDlgA
> ADVAPI32.dll: RegLoadKeyW, RegSaveKeyA, CreatePrivateObjectSecurity, RegOpenKeyExA, DuplicateTokenEx, AddAccessDeniedAce
> ole32.dll: OleSaveToStream, CreateStreamOnHGlobal, CoMarshalInterface
> OLEAUT32.dll: -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_Replace, CreatePropertySheetPageA, ImageList_DrawEx
> SHLWAPI.dll: StrFormatByteSizeA, PathRelativePathToW, SHCopyKeyW, StrChrA, AssocQueryStringW
> SETUPAPI.dll: SetupDiGetDeviceInfoListDetailA, SetupDiRemoveDevice, SetupInstallServicesFromInfSectionA, SetupDiGetClassDevsExA, SetupGetLineTextW, SetupOpenFileQueue, SetupLogErrorA, SetupGetBinaryField, SetupDiBuildClassInfoList, SetupPromptReboot, SetupScanFileQueueW

( 0 exports )

efes.p 28.06.2008 07:20
kann mir niemand mehr weiterhelfen. ?????
bitte

efes.p 28.06.2008 07:34
.............

efes.p 28.06.2008 07:38
nochmal:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:29:07, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\aoyqc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\hijackthis.exe\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cobepbn] c:\windows\system32\cobepbn.exe cobepbn
O4 - HKCU\..\Run: [aoyqc] c:\dokumente und einstellungen\simsek murat\lokale einstellungen\anwendungsdaten\aoyqc.exe aoyqc
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166368803320
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37022923-AB85-40DA-B1AB-FE9F6D7C7843}: NameServer = 213.191.92.87 62.109.123.6
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7303 bytes


jetzt noch das Virtustotal, VT bericht wusste ich jetzt nicht was das ist.

Datei aoyqc.exe empfangen 2008.06.28 08:36:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/33 (6.07%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 -
AVG 7.5.0.516 2008.06.27 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 -
Ikarus T3.1.1.26.0 2008.06.28 Trojan.Win32.Skintrim.B
Kaspersky 7.0.0.125 2008.06.28 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 Trojan:Win32/Skintrim.B
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.28 -
Rising 20.50.50.00 2008.06.28 -
Sophos 4.30.0 2008.06.28 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.28 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 -
weitere Informationen
File size: 376832 bytes
MD5...: a226185d716f08b6a8689ed48baa3f36
SHA1..: c2933af5be0a3fcebe9e431ab3a1d025c9a285a4
SHA256: 9474588cf45ea3b1eb22d909f4adb84226884c5de8f8975b5f1b7d6595127c2b
SHA512: ce29347643309f461c7fecdbe261688a77e5b64824952e384a51f4f5da3d44a3
a5ef09f9666fae3d5c2c2eb105461d42d6bdedd11384f5fecd16cbed934d8dbe
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40109e
timedatestamp.....: 0x445b7bd1 (Fri May 05 16:22:41 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x52b4c 0x53000 7.00 58d709f0da8e0c0d1117dc155d02cf90
.rdata 0x54000 0x12c2 0x2000 3.80 d07b26dad2b42ec13573dbb0284d12d1
.data 0x56000 0x5660 0x6000 3.88 2555a2c6bd40e6df29f2bb90b2c2db07

( 10 imports )
> KERNEL32.dll: CreateDirectoryA, GetCurrentDirectoryW, ExitThread, GetShortPathNameW, GetFileAttributesExA, GetTapeStatus, FreeEnvironmentStringsA, WriteProcessMemory, GetPrivateProfileStringW, DebugBreak, GlobalGetAtomNameW, SetCommTimeouts, GetDiskFreeSpaceW, GetDateFormatA, SetEnvironmentVariableW, GetOEMCP, CreateDirectoryW, CancelIo, SetErrorMode, FindFirstFileW, GetSystemInfo, WritePrivateProfileSectionW, SetConsoleMode, GetTickCount, WriteFile, ScrollConsoleScreenBufferA, ReadFile, ReleaseMutex, lstrcmpiW, OpenSemaphoreW, EnumDateFormatsW, GetSystemTimeAsFileTime, GetProcessHeap, PeekConsoleInputW, UnmapViewOfFile, EnumSystemCodePagesA, PulseEvent, CreateNamedPipeW, WaitNamedPipeA, EnumTimeFormatsW, GetPrivateProfileStringA, GetFullPathNameA, EnumResourceLanguagesW, GetCurrentProcessId, SetProcessWorkingSetSize, OutputDebugStringW, GetProfileIntA, SetEndOfFile, IsBadReadPtr, FlushConsoleInputBuffer, CloseHandle, ReadFileScatter, GetLargestConsoleWindowSize, GetDriveTypeA, FillConsoleOutputCharacterA, GetFileInformationByHandle, GetPrivateProfileSectionW, VirtualProtect, GetCommandLineA, FindFirstFileA, SetFileAttributesA, GetHandleInformation, VirtualAllocEx, SwitchToFiber, MultiByteToWideChar, TlsGetValue, LocalReAlloc, GetCommModemStatus, GetCommState, SetNamedPipeHandleState, GetVolumeInformationW, PrepareTape, GetCurrentProcess, CreateFileW, GlobalAddAtomW, WritePrivateProfileStringA, AreFileApisANSI, SetMailslotInfo, GetVersion, LeaveCriticalSection, GetOverlappedResult, GlobalReAlloc, GetModuleHandleA, WritePrivateProfileStringW, GetVersionExA, lstrlenA, ConnectNamedPipe, ExitProcess
> USER32.dll: IsClipboardFormatAvailable, DeferWindowPos, MessageBoxA, AttachThreadInput, GetClipboardOwner, GetMenuItemRect, GrayStringA, GetClassInfoA, ChangeDisplaySettingsA, GetNextDlgGroupItem, SetFocus, PeekMessageA, IsChild, MonitorFromRect, SetParent, CreateIconIndirect, SetClassLongW, FindWindowExW, GetMenuInfo, GetAsyncKeyState, GetClientRect
> GDI32.dll: SetLayout, GetCharWidth32W, SetTextCharacterExtra, StretchBlt, SelectObject, GetEnhMetaFileBits, SelectClipRgn, GetTextCharacterExtra, CreateDCA, SetSystemPaletteUse, SwapBuffers, GetCharWidthA, DeleteMetaFile, CopyMetaFileA, CreateHalftonePalette, Chord, EnumObjects
> comdlg32.dll: PrintDlgW, GetFileTitleW, PageSetupDlgA
> ADVAPI32.dll: RegLoadKeyW, RegSaveKeyA, CreatePrivateObjectSecurity, RegOpenKeyExA, DuplicateTokenEx, AddAccessDeniedAce
> ole32.dll: OleSaveToStream, CreateStreamOnHGlobal, CoMarshalInterface
> OLEAUT32.dll: -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_Replace, CreatePropertySheetPageA, ImageList_DrawEx
> SHLWAPI.dll: StrFormatByteSizeA, PathRelativePathToW, SHCopyKeyW, StrChrA, AssocQueryStringW
> SETUPAPI.dll: SetupDiGetDeviceInfoListDetailA, SetupDiRemoveDevice, SetupInstallServicesFromInfSectionA, SetupDiGetClassDevsExA, SetupGetLineTextW, SetupOpenFileQueue, SetupLogErrorA, SetupGetBinaryField, SetupDiBuildClassInfoList, SetupPromptReboot, SetupScanFileQueueW

( 0 exports )

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

undoreal 28.06.2008 07:43
Nicht so ungeduldig bitte.. ;)

Führe bitte einen Scan mit SuperAntiSpyware und Anti-Malware durch. Poste beide logs.

efes.p 28.06.2008 10:31
hier mal superantispyware, beim scan hat sich auch mein avast anti vir gemeldet. habe alle aus dem container gelöscht sowohl die vom superantispyware und die aus dem avast container.

malwarebytes läuft gerade noch!

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 06/28/2008 at 11:20 AM

Application Version : 4.15.1000

Core Rules Database Version : 3493
Trace Rules Database Version: 1484

Scan type : Complete Scan
Total Scan Time : 02:18:47

Memory items scanned : 399
Memory threats detected : 0
Registry items scanned : 5489
Registry threats detected : 0
File items scanned : 110027
File threats detected : 7

Adware.WsnPoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem

Trojan.Unclassified/Dropper
C:\SYSTEM VOLUME INFORMATION\_RESTORE{76EBB295-22EB-44CD-BEAD-BA9C89523ED3}\RP302\A0059635.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{76EBB295-22EB-44CD-BEAD-BA9C89523ED3}\RP302\A0059645.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{76EBB295-22EB-44CD-BEAD-BA9C89523ED3}\RP311\A0060108.EXE

efes.p 28.06.2008 10:44
Zitat:
Zitat von efes.p (Beitrag 349912)
hier mal superantispyware, beim scan hat sich auch mein avast anti vir gemeldet. habe alle aus dem container gelöscht sowohl die vom superantispyware und die aus dem avast container.


SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 06/28/2008 at 11:20 AM

Application Version : 4.15.1000

Core Rules Database Version : 3493
Trace Rules Database Version: 1484

Scan type : Complete Scan
Total Scan Time : 02:18:47

Memory items scanned : 399
Memory threats detected : 0
Registry items scanned : 5489
Registry threats detected : 0
File items scanned : 110027
File threats detected : 7

Adware.WsnPoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem

Trojan.Unclassified/Dropper
C:\SYSTEM VOLUME INFORMATION\_RESTORE{76EBB295-22EB-44CD-BEAD-BA9C89523ED3}\RP302\A0059635.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{76EBB295-22EB-44CD-BEAD-BA9C89523ED3}\RP302\A0059645.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{76EBB295-22EB-44CD-BEAD-BA9C89523ED3}\RP311\A0060108.EXE

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 897

11:38:22 28.06.2008
mbam-log-6-28-2008 (11-38-22).txt

Scan Art: Schnell Scan
Objekte gescannt: 38415
Scan Dauer: 3 minute(s), 36 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sudoplanet (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SudoPlanet (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\SudoPlanet (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\SudoPlanet\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\SudoPlanet\SudoPlanet.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\SudoPlanet\SudoPlanet.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\SudoPlanet\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cobepbn_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cobepbn_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

undoreal 28.06.2008 20:43
Führe bitte einen escan durch und poste das mit Hilfe der find.bat ausgewertete log.

efes.p 28.06.2008 21:08
wenn ich escan anklicke kommt server nicht verfügbar.

undoreal 28.06.2008 23:00
LÖL, so ein Mist. =) sry

Klicke bitte entweder auf das eScan was bei dir oder jetzt auch bei mir verlinkt ist oder nutze einfach diesen Link: http://www.trojaner-board.de/50508-anleitung-escan.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131