Trojaner-Board - Trojaner? bitte log prüfen

Hi,

Soso, wir kennen uns mit Rechnern nicht aus...?

Dir ist aber schon bekannt, das die Windowsversion gecrackt ist, die Du im Einsatz hast?
Wir sind auf die Erklärung gespannt (und eigentlich sollte ich wohl nicht mehr
weitermachen...)

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:



registry keys to delete:

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywWoLB
 

Registry values to replace with dummy: 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 
 

Registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|c8c9a4a1

 

Files to delete:

C:\WINDOWS\rodqgpvldbv.dll

C:\WINDOWS\qalkfxor.dll

C:\WINDOWS\system32\xxywWoLB.dll

C:\WINDOWS\system32\dtbkjqwn.dll

C:\WINDOWS\pdoskegl.dll

C:\WINDOWS\rqbmvpso.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

O20 - Winlogon Notify: xxywWoLB - C:\WINDOWS\SYSTEM32\xxywWoLB.dll

O21 - SSODL: pdoskegl - {4745A6D5-845A-450C-A65F-103F38958C42} - C:\WINDOWS\pdoskegl.dll

O21 - SSODL: rqbmvpso - {963F3412-281B-40BE-B621-92CFDBCF1F1A} - C:\WINDOWS\rqbmvpso.dll

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O4 - HKLM\..\Run: [c8c9a4a1] rundll32.exe "C:\WINDOWS\system32\dtbkjqwn.dll",b

O2 - BHO: (no name) - {BE45F323-53BF-45D5-A73A-358DDFA2E3EB} - C:\WINDOWS\system32\xxywWoLB.dll

O3 - Toolbar: qalkfxor - {5371FF76-9602-4029-9626-BE8CD757EB36} - C:\WINDOWS\qalkfxor.dll

O2 - BHO: (no name) - {78CF0AAC-F630-4F8C-B92D-620E50A55917} - C:\WINDOWS\system32\xxyvvTkJ.dll (file missing)

O2 - BHO: QXK Olive - {26027218-80B3-40FA-9FA1-70FD56AA5328} - C:\WINDOWS\rodqgpvldbv.dll

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

So, nach dieser Orgie bitte noch MAM und ComboFix laufen und bereinigen lassen...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Poste die Logs von Avenger, MAM, und Combofix sowie ein neues HJ-Log.

Chris