|
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) Also keine ahnung wie ich den bekommen habe , aber ich hab laut meinem antivirenprogramm antivir 2 trojaner : Bericht von AntiVir: "Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temp\xrun.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\pac.txt [FUND] Ist das Trojanische Pferd TR/Dldr.VB.VPG [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden!" beide waren beim nächsten check wieder da, obwohl ich sie gelöscht hatte. ich habe immoment probleme mit popups und empfohlenen virenscanns von VirusRemover2008. hängt bestimmt damit zusammen . hier noch ein Logfile von HijackThis: "Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:30:58, on 28.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [d8b2224d] rundll32.exe "C:\WINDOWS\system32\qtiimpjr.dll",b O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219358572014 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: hbqpdg.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 4786 bytes" Ich hoffe ihr könnt mir helfen. hab im internet schon diverse programme gesucht , wie zB Spyhunter , welche mir aber nicht helfen wollten ohne das ich geld für eine vollversion zahle... mfg Eric |
Hallo und :hallo: Acker diese Punkte für weitere Analysen ab: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\qtiimpjr.dll3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Vielen Dank für die Mühe. Habe gleich mal alle Punkte abgearbeitet : Punkt 1 : erledigt Punkt 2 : Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.29.0 2008.08.28 - AntiVir 7.8.1.23 2008.08.28 - Authentium 5.1.0.4 2008.08.28 - Avast 4.8.1195.0 2008.08.28 - AVG 8.0.0.161 2008.08.28 - BitDefender 7.2 2008.08.28 - CAT-QuickHeal 9.50 2008.08.26 - ClamAV 0.93.1 2008.08.28 - DrWeb 4.44.0.09170 2008.08.28 - eSafe 7.0.17.0 2008.08.27 Suspicious File eTrust-Vet 31.6.6054 2008.08.28 - Ewido 4.0 2008.08.28 - F-Prot 4.4.4.56 2008.08.28 W32/Virtumonde.AC.gen!Eldorado F-Secure 7.60.13501.0 2008.08.28 - Fortinet 3.14.0.0 2008.08.28 - GData 19 2008.08.28 - Ikarus T3.1.1.34.0 2008.08.28 Trojan.Win32.Vundo.C K7AntiVirus 7.10.428 2008.08.25 - Kaspersky 7.0.0.125 2008.08.28 - McAfee 5372 2008.08.28 - Microsoft 1.3807 2008.08.25 - NOD32v2 3397 2008.08.28 - Norman 5.80.02 2008.08.28 - Panda 9.0.0.4 2008.08.27 - PCTools 4.4.2.0 2008.08.28 - Prevx1 V2 2008.08.28 Fraudulent Security Program Rising 20.59.31.00 2008.08.28 - Sophos 4.33.0 2008.08.28 - Sunbelt 3.1.1582.1 2008.08.26 - Symantec 10 2008.08.28 - TheHacker 6.3.0.6.064 2008.08.27 - TrendMicro 8.700.0.1004 2008.08.28 - VBA32 3.12.8.4 2008.08.28 - ViRobot 2008.8.28.1353 2008.08.28 - VirusBuster 4.5.11.0 2008.08.28 - Webwasher-Gateway 6.6.2 2008.08.28 Virus.Win32.FileInfector.gen!86 (suspicious) weitere Informationen File size: 82944 bytes MD5...: ab71cc4532fb570b6e18bb5d5921aa09 SHA1..: cba84c2fe92acc27cb00c2d35505ba753c09e615 SHA256: b4530650a19b3fcf5195625b570100d07119920b6957b1e5ca3792ce93e05dba SHA512: e4c5a80de3f9b9502a46c4ebfe8bf8edbb8005d7557c4ae16089e709b47c3152 698f704aeb195e15b2deb9780f1ae2313d40d18115a1c7b018c139a7f8ee829b PEiD..: - TrID..: File type identification Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10026578 timedatestamp.....: 0x48126730 (Fri Apr 25 23:20:16 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1000 0x200 7.63 40e0f4f5eb9b98410451b662450be7ed .rdata 0x2000 0x1000 0x200 7.54 19b10ca1af733513cbdc739daabd5f58 .data 0x3000 0x1000 0x200 7.57 625304abe49671a300299712df44fe42 .text 0x4000 0x22000 0x11a00 8.00 f060837aa21b19a2246723fb3e78635c .pdata 0x26000 0x1000 0x1000 5.27 97100a2c9138d0b733869bcadf328a81 .rsrc 0x27000 0x1000 0x400 1.74 ec9f83b8a278178a5446e35b2748be2f ( 3 imports ) > USER32.dll: EnumDisplaySettingsA > KERNEL32.dll: CreateFileA, ExitProcess > comdlg32.dll: ChooseColorA ( 0 exports ) Prevx info: VOGMDJVB.DLL - Prevx Weiter zu punkt 2 : Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.29.0 2008.08.28 - AntiVir 7.8.1.23 2008.08.28 - Authentium 5.1.0.4 2008.08.28 - Avast 4.8.1195.0 2008.08.28 - AVG 8.0.0.161 2008.08.28 - BitDefender 7.2 2008.08.28 - CAT-QuickHeal 9.50 2008.08.26 - ClamAV 0.93.1 2008.08.28 - DrWeb 4.44.0.09170 2008.08.28 - eSafe 7.0.17.0 2008.08.27 Suspicious File eTrust-Vet 31.6.6054 2008.08.28 - Ewido 4.0 2008.08.28 - F-Prot 4.4.4.56 2008.08.28 - F-Secure 7.60.13501.0 2008.08.28 - Fortinet 3.14.0.0 2008.08.28 - GData 19 2008.08.28 - Ikarus T3.1.1.34.0 2008.08.28 Trojan.Win32.Vundo.C K7AntiVirus 7.10.428 2008.08.25 - Kaspersky 7.0.0.125 2008.08.28 - McAfee 5372 2008.08.28 - Microsoft 1.3807 2008.08.25 - NOD32v2 3397 2008.08.28 - Norman 5.80.02 2008.08.28 - Panda 9.0.0.4 2008.08.27 - PCTools 4.4.2.0 2008.08.28 - Prevx1 V2 2008.08.28 Cloaked Malware Rising 20.59.31.00 2008.08.28 - Sophos 4.33.0 2008.08.28 - Sunbelt 3.1.1582.1 2008.08.26 - Symantec 10 2008.08.28 - TheHacker 6.3.0.6.064 2008.08.27 - TrendMicro 8.700.0.1004 2008.08.28 - VBA32 3.12.8.4 2008.08.28 - ViRobot 2008.8.28.1353 2008.08.28 - VirusBuster 4.5.11.0 2008.08.28 - Webwasher-Gateway 6.6.2 2008.08.28 Virus.Win32.FileInfector.gen!86 (suspicious) weitere Informationen File size: 115712 bytes MD5...: e083431a0858cd4b5cf6ab553f81c79f SHA1..: 07145e65d643f8e35eaf65e9ee37b6ccbf4e5660 SHA256: a7a4ecd2d88fd20bd02ca881a02d205f2a8199bdc13739f27f84197a9988f0b2 SHA512: a121223ad1d43ef49dbd6ef789a6ae42945f0e6576bb269b2d1ea3d86592de41 a3bd7d19b9311e95bc2208ebf5b9cdb388338b8cddf57e4ebaffb6c60e3756c8 PEiD..: - TrID..: File type identification Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1003a578 timedatestamp.....: 0x48126730 (Fri Apr 25 23:20:16 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1000 0x200 7.58 7d959d25d41c1c53226132d352dfc50f .rdata 0x2000 0x1000 0x200 7.65 76514c61a9276dbea9b896d1351f5685 .data 0x3000 0x1000 0x200 7.60 6014c662d8378ec189df75513ce2ed6b .text 0x4000 0x36000 0x19a00 8.00 73f4c4099b377ffb02c70f4e6aef64fb .pdata 0x3a000 0x1000 0x1000 5.28 2d20f99960302ed160c20bbffdb44d29 .rsrc 0x3b000 0x1000 0x400 1.80 b3d0cb0da0ee3a6605f3e6f0e2d2b4e5 ( 3 imports ) > USER32.dll: EnumDisplaySettingsA > KERNEL32.dll: CreateFileA, ExitProcess > comdlg32.dll: ChooseColorA ( 0 exports ) Prevx info: KRNPMRAB.DLL - Prevx Punkt 3 : Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Punkt 4 : Blacklight : hat nichts gefunden Malwarebytes Antimalware : Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1092 Windows 5.1.2600 Service Pack 3 20:14:32 28.08.2008 mbam-log-08-28-2008 (20-14-32).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 58102 Laufzeit: 15 minute(s), 36 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 5 Infizierte Registrierungsschlüssel: 15 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 24 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\iaajmvtf.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\yayaBRkK.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\hbqpdg.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\xodimz.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\hgGwVPHW.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{776f8f87-4d65-437a-ade5-947cb3955eb5} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{776f8f87-4d65-437a-ade5-947cb3955eb5} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c5d1868a-d9e5-4432-a457-b47226ead6fa} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c5d1868a-d9e5-4432-a457-b47226ead6fa} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{aea4de5e-37ed-4a91-a883-6d8953a84614} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggwvphw (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d8b2224d (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmdb8111d1 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{aea4de5e-37ed-4a91-a883-6d8953a84614} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayabrkk -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayabrkk -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\xodimz.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\yayaBRkK.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\KkRBayay.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\KkRBayay.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\iaajmvtf.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\ftvmjaai.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qtiimpjr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\rjpmiitq.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hbqpdg.dll (Trojan.Vundo.H) -> Delete on reboot. C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JOE4X24\kb65666[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JOE4X24\kb767887[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QCI3PN4G\kb456456[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\omfpfkvo.exe (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sdxxcier.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jyjyeguo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ngdiaroc.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hgGwVPHW.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\wvUoOHxx.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BMdb8111d1.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BMdb8111d1.txt (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temp\winvsnet.exe (Rogue.Installer) -> Quarantined and deleted successfully. Punkt 5: ComboFix Log: "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2008-05-16 14:01 13529088] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2008-05-16 14:01 86016] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672] "SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-06-19 16:48 851968] "SoundMan"="SOUNDMAN.EXE" [2005-07-22 09:00 81920 C:\WINDOWS\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360] C:\Dokumente und Einstellungen\LordEricVI\Startmen\Programme\Autostart\ Secunia PSI (RC3).lnk - C:\Programme\Secunia\PSI (RC3)\psi.exe [2008-06-16 11:03:08 663552] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hlds.exe"= "E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hl.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Garena\\Garena.exe"= "C:\\Dokumente und Einstellungen\\LordEricVI\\Desktop\\wtvClient.exe"= S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . . ------- Zusätzlicher Scan ------- . R0 -: HKCU-Main,Start Page = google.de/ O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-28 20:34:10 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-28 20:34:46 ComboFix-quarantined-files.txt 2008-08-28 18:34:45 Pre-Run: 10 Verzeichnis(se), 102,299,910,144 Bytes frei Post-Run: 12 Verzeichnis(se), 102,435,856,384 Bytes frei 167 --- E O F --- 2008-08-27 12:09:44 Punkt 6 : File-Upload.net - listing.txt |
Ok soweit. Die Logs solltest Du aber eigentlich mit Codetags umschlossen posten. :rolleyes: Das Combofix-Log erscheint mir etwas kurz, da fehlt doch was am Anfang - prüf das mal und reich es nach. Zum Abgleich auch ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe |
Oh sorry habe das mit den Codetags übersehen. Hier noch der Rest des Combofix-Logs , da ist wirklich was verloren gegangen , ich hoffe das macht es komplett: Code: ComboFix 08-08-28.02 - LordEricVI 2008-08-28 20:33:02.1 - NTFSx86und hier das neue HiJackThis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2hoffe das hilft weiter. |
Hijackthis sieht schonmal ok aus. BTW: Benutzt Du immer noch den Internet Explorer? :twak: Im CF-Log hab ich einige Sachen entdeckt, neue Vorgehensweise: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: DirLook::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Also ich wurde nicht aufgerufen einen neustart zu machen ?.? hab deswegen auch vorerst keinen gemacht . hier jedenfalls die Log Datei : Code: ComboFix 08-08-28.02 - LordEricVI 2008-08-29 18:18:33.2 - NTFSx86 |
Die Logdatei ist so erstellt worden, wie ich es wollte. Diese Datei C:\WINDOWS\system32\wTR19\wTR191065.exe interessiert mich besonders, werte sie bei Virustotal.com aus und poste die Ergebnisse. Zitat:
|
So das Virustotal Ergebniss: Code: Antivirus Version letzte aktualisierung Ergebnis |
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: folders to delete:
|
So: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Hallo, ich hab Deinen Strang wieder fast vergessen. :balla: Wie ist denn mittlerweile das Systemverhalten? Hat sich in den Tagen was verändert zum Positivem/Negativem? :rolleyes: |
also probleme habe ich eig keine mehr im moment... danke dafür^^ wie kann ich denn solche probleme in zukunft verhindern (abgesehen von AntiVir und Firewall ) welche einstellungen sollte ich zB bei meinem browser auswählen (cookies, sicherheit etc)? |
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board