Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google usw. wird nicht richtig geöffnet (https://www.trojaner-board.de/56902-google-usw-richtig-geoeffnet.html)

Yuma 28.07.2008 21:57
Google usw. wird nicht richtig geöffnet
 
Hallo :3
Also, ich habe ein Problem, was wohl viele vor mir auch schon hatten: Seiten wie zB Google, Yahoo und StudiVZ laden nicht mehr richtig. Bei meiner Suchmaschinen Suche auf dem Laptop meines Vaters (meine Suchmaschinen tun es ja nicht XD),, bin ich dann fündig geworden. Jemand erzählte dort von irgendwelchen HiJacks und joa, ich war und bin im gewissen Maße immer noch überfordert.

Ich habe keine Ahnung von nichts und brauche deshalb Hilfe vom Fachmann/frau.

Hier ist einfach mal der Code aus dem HiJack

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:39, on 28.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\tblmouse.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Yuma\Desktop\stng399.exe
C:\Dokumente und Einstellungen\Yuma\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://neopets.com/
O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TBLFUNC] tblmouse.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [80173608] rundll32.exe "C:\WINDOWS\system32\xigviuku.dll",b
O4 - HKLM\..\Run: [udtablet] C:\WINDOWS\udtablet\UDSetup.EXE
O4 - HKLM\..\Run: [BM83240594] Rundll32.exe "C:\WINDOWS\system32\ihcmxako.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 5490 bytes

Ich habe mir auch noch das Malwarebytes Programm runter geladen…. Falls der noch benötigt wird?

Code:
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1002
Windows 5.1.2600 Service Pack 2

22:34:29 28.07.2008
mbam-log-7-28-2008 (22-34-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 96960
Laufzeit: 29 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\xigviuku.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nnnoMGAT.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ihcmxako.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gglnxa.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63a3e98d-8210-4017-b0bc-006f6a3f8761} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{63a3e98d-8210-4017-b0bc-006f6a3f8761} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7cf120b1-7eb9-498e-8d97-6eec098c902e} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7cf120b1-7eb9-498e-8d97-6eec098c902e} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\80173608 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm83240594 (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnomgat -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnomgat  -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nnnoMGAT.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\TAGMonnn.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\TAGMonnn.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gglnxa.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xigviuku.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ukuivgix.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ihcmxako.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljkgcukl.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cgegmgmg.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ON4FGSJ5\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ON4FGSJ5\ico[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ON4FGSJ5\3077ahntdksr[1].dll (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85DA5Q4E\kb671231[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TYL9YTCK\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM83240594.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM83240594.txt (Trojan.Vundo) -> No action taken.


Ich bedanke mich schon jetzt einmal recht herzlich für eure Hilfe! =)

Silent sharK 28.07.2008 22:00
Hallo ;)
lass bitte die Funde von MalwareBytes löschen und führe danach das aus:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg

Yuma 28.07.2008 22:11
Oh, entschuldigung, das hab ich vergessen. Du hast das sicher schon 30.000 mal kopiert, oder?
Na ja, das ging ja vergleichsweise schnell.
Hier ist der Code

Code:
Search Navipromo version 3.6.1 began on 28.07.2008 at 23:08:20,78

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Yuma"

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : FAT32

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Yuma\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Yuma\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Yuma\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h**p://www.gmer.net

No Navipromo file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Yuma\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Yuma\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

C:\WINDOWS\system32\TAGMonnn.ini2 found ! Possible Vundo infection, not cleaned with this tool !


*** Search completed on 28.07.2008 at 23:09:33,93 ***

Silent sharK 28.07.2008 22:35
Ok
Mach bitte folgendes:

* Rufe das Programm bitte erneut auf und wähle die Option 2
* Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
Sollte der Rechner nicht neustarten, tue dies bitte manuell.
* Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
* Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
* Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Yuma 28.07.2008 22:53
Okay, hier das nächste ^^

Code:
Navipromo Removal version 3.6.1 started on 28.07.2008 at 23:48:35,96

Fix running from C:\Programme\navilog1
Actual User Account : "Yuma"

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Filesystem type : FAT32

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Yuma\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Yuma\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Yuma\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Yuma\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Yuma\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Yuma\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 28.07.2008 at 23:50:42,57 ***

Silent sharK 28.07.2008 22:54
Gut, poste noch ein frisches Hijackthis Logfile.

Hast du noch Probleme mit deinem Rechner?

Yuma 28.07.2008 22:59
Japp, Yahoo läd immer noch gar nicht, Google auch nicht, StudiVZ geht nicht =/

Hier ist der neue Code
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:57:15, on 28.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\tblmouse.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Yuma\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://neopets.com/
O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TBLFUNC] tblmouse.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [80173608] rundll32.exe "C:\WINDOWS\system32\bluujfhs.dll",b
O4 - HKLM\..\Run: [BM83240594] Rundll32.exe "C:\WINDOWS\system32\cwprwype.dll",s
O4 - HKLM\..\Run: [udtablet] C:\WINDOWS\udtablet\UDSetup.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 5300 bytes

Silent sharK 28.07.2008 23:03
Hm nicht gut.
Mach mal bitte folgendes:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\bluujfhs.dll
C:\WINDOWS\system32\cwprwype.dll
C:\WINDOWS\udtablet\UDSetup.EXE
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danach folge der Anleitung für MalwareBytes, Link in meiner Signatur.

mfg

Yuma 29.07.2008 19:39
Juhuu, alles funktioniert wieder *_*
Sind die Codes trotzdem noch wichtig? Vielleicht hat sich da ja noch wer eingenistet?

bluujhs.dll

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.7.26.0        2008.07.28        -
AntiVir        7.8.1.12        2008.07.28        -
Authentium        5.1.0.4        2008.07.28        -
Avast        4.8.1195.0        2008.07.28        -
AVG        8.0.0.130        2008.07.28        -
BitDefender        7.2        2008.07.28        -
CAT-QuickHeal        9.50        2008.07.28        -
ClamAV        0.93.1        2008.07.28        -
DrWeb        4.44.0.09170        2008.07.28        -
eSafe        7.0.17.0        2008.07.28        Suspicious File
eTrust-Vet        31.6.5983        2008.07.26        -
Ewido        4.0        2008.07.28        -
F-Prot        4.4.4.56        2008.07.28        -
F-Secure        7.60.13501.0        2008.07.28        -
Fortinet        3.14.0.0        2008.07.28        -
GData        2.0.7306.1023        2008.07.28        -
Ikarus        T3.1.1.34.0        2008.07.28        -
Kaspersky        7.0.0.125        2008.07.28        -
McAfee        5348        2008.07.28        -
Microsoft        1.3704        2008.07.28        Trojan:Win32/Conhook.I
NOD32v2        3304        2008.07.28        -
Norman        5.80.02        2008.07.28        -
Panda        9.0.0.4        2008.07.28        Suspicious file
PCTools        4.4.2.0        2008.07.28        -
Prevx1        V2        2008.07.29        Fraudulent Security Program
Rising        20.55.02.00        2008.07.28        -
Sophos        4.31.0        2008.07.28        -
Sunbelt        3.1.1536.1        2008.07.28        -
Symantec        10        2008.07.28        -
TheHacker        6.2.96.389        2008.07.25        -
TrendMicro        8.700.0.1004        2008.07.28        PAK_Generic.001
VBA32        3.12.8.1        2008.07.28        -
ViRobot        2008.7.26.1311        2008.07.28        -
VirusBuster        4.5.11.0        2008.07.28        -
Webwasher-Gateway        6.6.2        2008.07.28        Virus.Win32.FileInfector.gen (suspicious)
weitere Informationen
File size: 80896 bytes
MD5...: b1b1a1fc5a86ce149f73aabbf75fcae0
SHA1..: 20ae94ef2a7f67537a55082da1ce20d083e5fa36
SHA256: 1a9a5339643d1cb8ed924adb9fcefd44776587663b96d0d9590b8dca2dc33691
SHA512: c2a08d0e4b1fd14285402317d18dd170e6bce5f8e77df4fc0c5c855f57548827
6dd4a0155bbe36fca0a88730acb0fd6719ba9d9ea462343b824b3e29eee4cfb4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf5df 0xfe00 7.99 9cb6a351a413977ec5810be917c64f67
.rdata 0x11000 0xdb8 0x400 3.60 ceb9257371a3bd0a37a3e3ccd71681c2
.data 0x12000 0x18fef 0x3600 7.62 d16933e594126c39f162284bc17e7bea

( 2 imports )
> user32.dll: CreateDesktopA, CreateDesktopW, CreateDialogParamA, CreateMenu, CreatePopupMenu, DestroyCursor, DrawIcon, CreateAcceleratorTableA, EndMenu, GetDC, IsCharLowerA, LoadMenuA, MessageBoxA, ShowWindow, CharToOemBuffA, CharPrevA, CharLowerA, EmptyClipboard, BeginPaint
> KERNEL32.dll: SetEndOfFile, GetStartupInfoA, EnterCriticalSection, SleepEx

( 0 exports )




cwprwype.dll

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.7.26.0        2008.07.28        -
AntiVir        7.8.1.12        2008.07.28        -
Authentium        5.1.0.4        2008.07.28        -
Avast        4.8.1195.0        2008.07.28        -
AVG        8.0.0.130        2008.07.28        Vundo
BitDefender        7.2        2008.07.28        -
CAT-QuickHeal        9.50        2008.07.28        -
ClamAV        0.93.1        2008.07.28        -
DrWeb        4.44.0.09170        2008.07.28        -
eSafe        7.0.17.0        2008.07.28        Suspicious File
eTrust-Vet        31.6.5989        2008.07.28        -
Ewido        4.0        2008.07.28        -
F-Prot        4.4.4.56        2008.07.28        -
F-Secure        7.60.13501.0        2008.07.28        -
Fortinet        3.14.0.0        2008.07.28        -
GData        2.0.7306.1023        2008.07.28        -
Ikarus        T3.1.1.34.0        2008.07.28        -
Kaspersky        7.0.0.125        2008.07.28        -
McAfee        5348        2008.07.28        -
Microsoft        1.3704        2008.07.28        Trojan:Win32/Conhook.I
NOD32v2        3304        2008.07.28        -
Norman        5.80.02        2008.07.28        -
Panda        9.0.0.4        2008.07.28        Suspicious file
PCTools        4.4.2.0        2008.07.28        -
Prevx1        V2        2008.07.29        Fraudulent Security Program
Rising        20.55.02.00        2008.07.28        -
Sophos        4.31.0        2008.07.28        -
Sunbelt        3.1.1536.1        2008.07.28        -
Symantec        10        2008.07.28        -
TheHacker        6.2.96.389        2008.07.25        -
TrendMicro        8.700.0.1004        2008.07.28        PAK_Generic.001
VBA32        3.12.8.1        2008.07.28        -
ViRobot        2008.7.26.1311        2008.07.28        -
VirusBuster        4.5.11.0        2008.07.28        -
Webwasher-Gateway        6.6.2        2008.07.28        Virus.Win32.FileInfector.gen (suspicious)
weitere Informationen
File size: 91136 bytes
MD5...: 2b9ed59697a7a55dd07bb6d91c42a44f
SHA1..: 3a1539c0c217e708b453be69b2e159003ea6de76
SHA256: dfc887e474dc51123b742e122e9c1e80c87d63ba93345788e33b694df55f7658
SHA512: 5ba9d6a5c141f610a1bd7f868c49b262244f0b8a76470a3d58029ca6e50f99c7
f6cfd740124d80925461db8c7a75b676aa96d19fba3aa4c252b58d0f7aed318a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb5c4 0xb800 7.98 a05f9430b1bc569ac5feaba6f7de7c4d
.rdata 0xd000 0xf12 0x400 4.02 e4b9fec0d29350ae49ac4b8247aacab7
.data 0xe000 0x214d2 0xa400 7.92 001b216e631333cbfb9e0d3a0c13e089

( 2 imports )
> user32.dll: DrawStateA, EnableMenuItem, EndDialog, GetCursor, GetDC, DestroyIcon, MessageBoxA, MessageBoxIndirectA, OemToCharBuffA, RegisterClassA, ShowCaret, DestroyCaret, DeleteMenu, CreatePopupMenu, CreateDialogParamA, CopyImage, CharUpperBuffA, CharPrevA, ChangeMenuA, LoadMenuA, wsprintfA
> KERNEL32.dll: VirtualAlloc, Sleep, GetVersion, FreeResource, ExitProcess, EnumResourceLanguagesW, EnumResourceLanguagesA, CloseHandle, lstrcmpA

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=2b9ed59697a7a55dd07bb6d91c42a44f
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=522F195800D374D26413019B26BD210086F8BCD1





UDSetup.EXE
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.7.26.0        2008.07.28        -
AntiVir        7.8.1.12        2008.07.28        -
Authentium        5.1.0.4        2008.07.28        -
Avast        4.8.1195.0        2008.07.28        -
AVG        8.0.0.130        2008.07.28        -
BitDefender        7.2        2008.07.28        -
CAT-QuickHeal        9.50        2008.07.28        -
ClamAV        0.93.1        2008.07.28        -
DrWeb        4.44.0.09170        2008.07.28        -
eSafe        7.0.17.0        2008.07.28        -
eTrust-Vet        31.6.5989        2008.07.28        -
Ewido        4.0        2008.07.28        -
F-Prot        4.4.4.56        2008.07.28        -
F-Secure        7.60.13501.0        2008.07.28        -
Fortinet        3.14.0.0        2008.07.28        -
GData        2.0.7306.1023        2008.07.28        -
Ikarus        T3.1.1.34.0        2008.07.28        -
Kaspersky        7.0.0.125        2008.07.28        -
McAfee        5348        2008.07.28        -
Microsoft        1.3704        2008.07.28        -
NOD32v2        3304        2008.07.28        -
Norman        5.80.02        2008.07.28        -
Panda        9.0.0.4        2008.07.28        -
PCTools        4.4.2.0        2008.07.28        -
Prevx1        V2        2008.07.29        -
Rising        20.55.02.00        2008.07.28        -
Sophos        4.31.0        2008.07.28        -
Sunbelt        3.1.1536.1        2008.07.28        -
Symantec        10        2008.07.28        -
TheHacker        6.2.96.389        2008.07.25        -
TrendMicro        8.700.0.1004        2008.07.28        -
VBA32        3.12.8.1        2008.07.28        -
ViRobot        2008.7.26.1311        2008.07.28        -
VirusBuster        4.5.11.0        2008.07.28        -
Webwasher-Gateway        6.6.2        2008.07.28        -
weitere Informationen
File size: 36864 bytes
MD5...: 1e241c208b3513f8b9dc51e4a2ee8334
SHA1..: 7e74aa005433f6432368f199c5d3d02dc1b7ef76
SHA256: edb65c564eb010ed3aceadf7471d12b0bb0418a1c3e56034a20fb299ae0e9b1d
SHA512: 98aa4547c9c02ef1edf1c89e29d30a7e03de5085bcffac552a253640a8226e4c
81e346d9165a68c332e46cbcadee60250986a12146cf2ddb0427572279046bc1
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40228c
timedatestamp.....: 0x3beb4261 (Fri Nov 09 02:41:37 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3b0e 0x4000 6.24 2cc1be05082fdccb509968ee0d7afe8a
.rdata 0x5000 0xa70 0x1000 4.03 8333a46371ae7060225bcb5bf02abb86
.data 0x6000 0x167c 0x2000 1.55 83f65d5342cf596115a94de97206948a
.rsrc 0x8000 0x390 0x1000 0.93 44c7974a57340d78c0b9aaf8ac019f2a

( 4 imports )
> KERNEL32.dll: GetPrivateProfileStringA, GetPrivateProfileIntA, GetModuleFileNameA, FreeLibrary, GetProcAddress, LoadLibraryA, WritePrivateProfileStringA, GetCurrentDirectoryA, GetWindowsDirectoryA, MultiByteToWideChar, WideCharToMultiByte, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetCurrentDirectoryA, DeleteFileA, GetLastError, GetVersionExA, GetPrivateProfileSectionA, HeapReAlloc, HeapAlloc, VirtualAlloc, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetACP, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, HeapDestroy, GetCPInfo, GetOEMCP, SetHandleCount, GetStdHandle, GetFileType, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile
> USER32.dll: wsprintfA, CharUpperA
> ADVAPI32.dll: RegDeleteValueA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegDeleteKeyA
> SETUPAPI.dll: SetupDiRemoveDevice, SetupDiOpenDevRegKey, SetupDiEnumDeviceInfo, SetupDiGetDeviceRegistryPropertyA

( 0 exports )


Und hier noch einmal der Code vom Mal-Mopped

Code:
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1002
Windows 5.1.2600 Service Pack 2

17:17:43 29.07.2008
malmopped 2

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 95158
Laufzeit: 32 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\bluujfhs.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b1df8c84-f104-443b-8e02-12c1820614d4} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b1df8c84-f104-443b-8e02-12c1820614d4} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\80173608 (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ausssj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bluujfhs.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\shfjuulb.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fskfjjvg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bspqyxjv.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6PKNUD0V\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6PKNUD0V\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Yuma\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q3S9SBKJ\wc5c0[1].dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{508EC1FE-2E79-4961-AFAC-6359C0D2C1D2}\RP274\A0054526.DLL (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM83240594.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM83240594.txt (Trojan.Vundo) -> No action taken.[



Kann ich wieder beruhigt schlafen?

Silent sharK 29.07.2008 20:09
Noch nicht ganz, so gehts weiter:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


http://saved.im/mjy0mthybjrp/avenger.bmp



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
files to delete:
C:\WINDOWS\system32\cwprwype.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach poste ein frisches HijackThis Logfile.
Beruhigt schlafen hättest du die ganze Zeit können, Vundo ist nicht gefährlich, aber nervtötend. :D

Yuma 29.07.2008 22:34
Weil es so schön ist xD

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\cwprwype.dll" not found!
Deletion of file "C:\WINDOWS\system32\cwprwype.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.


Und der Jack:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:31:06, on 29.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\tblmouse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Yuma\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://neopets.com/
O2 - BHO: (no name) - {493F974E-FEAE-459E-B770-D9262474EB97} - C:\WINDOWS\system32\cbXNFwVn.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {8524C4BD-BE76-43DE-96ED-8C204E8436FD} - C:\WINDOWS\system32\nnnoMGAT.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TBLFUNC] tblmouse.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [BM83240594] Rundll32.exe "C:\WINDOWS\system32\cwprwype.dll",s
O4 - HKLM\..\Run: [udtablet] C:\WINDOWS\udtablet\UDSetup.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: cbXNFwVn - cbXNFwVn.dll (file missing)
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 5699 bytes

Silent sharK 29.07.2008 22:47
Seltsam, fixe mit Hijackthis folgendes (Das Erste nur, wenn die Seite dir unbekannt ist):
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://neopets.com/
O2 - BHO: (no name) - {493F974E-FEAE-459E-B770-D9262474EB97} - C:\WINDOWS\system32\cbXNFwVn.dll (file missing)
O2 - BHO: (no name) - {8524C4BD-BE76-43DE-96ED-8C204E8436FD} - C:\WINDOWS\system32\nnnoMGAT.dll (file missing)
O4 - HKLM\..\Run: [BM83240594] Rundll32.exe "C:\WINDOWS\system32\cwprwype.dll",s
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O20 - Winlogon Notify: cbXNFwVn - cbXNFwVn.dll (file missing)
Dazu auf "do a system scan only" klicken => Häkchen bei entspr. Eintrag setzen => auf "fix checked" klicken => Rechner neubooten

Dann mit dem CCleaner die Registry auf Fehler überprüfen und diese beheben lassen. Tu das, bis keine Fehler mehr gefunden wurden.

mfg

Yuma 29.07.2008 23:24
Okay, alles gelöscht, keine Fehler mehr... brauchst du noch irgendeinen Log oder bin ich jetzt tatsächlich fertig? =)

Silent sharK 29.07.2008 23:26
Ich kann dich entlassen, beobachte aber das Verhalten deines Rechners und wenn dir etwas verdächtig vorkommt, melde dich hier wieder. :)

Yuma 29.07.2008 23:30
Okay, werde ich machen ^^
Nochmal vielen dank für deine Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:07 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19