Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google öffnet falsche Seiten (https://www.trojaner-board.de/74729-google-oeffnet-falsche-seiten.html)

Driller61 02.07.2009 00:14

Google öffnet falsche Seiten
 
Habe die ältere Version genutzt, da die neue garnicht aufging.
Google öffnet sogut wie immer andere Seiten und im Abgesicherten Modus lässt sich der PC auch nicht hochfahren.

Logfile of HijackThis v1.99.1
Scan saved at 01:08:53, on 02.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\HomePC.HOMEPC-JP1UGOUZ\Desktop\Testing.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: Shell=Explorer.exe logon.exe
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: www.hotmail.com (HKLM)
O15 - Trusted Zone: http://mail.live.com (HKLM)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228303598421
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: blocker.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Driller61 02.07.2009 08:37

Habs hingekriegt mit der neuen Version!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:36:39, on 02.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\HOMEPC~1.HOM\LOKALE~1\Temp\Rar$DI00.063\testing.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: Shell=Explorer.exe logon.exe
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O15 - Trusted Zone: www.hotmail.com (HKLM)
O15 - Trusted Zone: http://mail.live.com (HKLM)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228303598421
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4281 bytes

john.doe 02.07.2009 19:40

Hallo und :hallo:

1.) Starte HJT => Do a system scan only => Markiere:
Code:

F2 - REG:system.ini: Shell=Explorer.exe logon.exe
und alle R0, R1, O2, O15 und O16-Einträge

=> Fix checked => Neustart

2.) Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

ciao, andreas

Driller61 02.07.2009 21:16

Der Inhalt beinhaltet sehr viele Zeichen deshalb muss ich mehrere Posts machen (ca. 5-6)

Driller61 02.07.2009 21:33

Hier erstmal die Info!

Driller61 02.07.2009 21:38

Hier ein Teil der Log (3 Teile da 45kb groß)

Driller61 02.07.2009 21:39

Hier die 2.

Driller61 02.07.2009 21:40

Und hier the last one!

john.doe 02.07.2009 22:05

1.) Warum befolgst du meine Anweisungen nicht?
Zitat:

und alle R0, R1, O2, O15 und O16-Einträge
2.) Warum hast du Kaspersky und Avira installiert? Niemals mehr als ein Antivirenprogramm installieren!

3.) Warum hast du AVG Anti-Spyware installiert? Das Programm ist uralt und es gibt keine Updates mehr, damit ist es völlig sinnlos.

4.) Schick. :D
Zitat:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cognac]
Sowas kommt von sowas. ;)

5.) Eieiei. :D
Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13b4fea4-d0d8-11dd-b452-003005b1ab1b}]
shell\AutoRun\command - DATA\FILES\BEAST.exe
shell\open\command - DATA\FILES\BEAST.exe
=> ThreatExpert Report

6.) Schicke Daten (gemeint sind Datumse :)):
Code:

2009-12-27 07:17:48 ----A---- C:\WINDOWS\59b0backd5or22z5.exe
2009-12-27 00:38:24 ----A---- C:\WINDOWS\5cd39h5zf944.exe
2009-12-26 16:31:08 ----A---- C:\WINDOWS\system32\75a9sze9l2919.dll
2009-12-26 09:37:19 ----A---- C:\WINDOWS\system32\3490vzr5s967.dll
2009-12-24 22:10:44 ----A---- C:\WINDOWS\system32\6395thzef1953.exe
2009-12-21 16:44:55 ----A---- C:\WINDOWS\system32\5944thief1z77.dll
2009-12-21 13:35:39 ----A---- C:\WINDOWS\system32\5524backdozr1391.exe
2009-12-20 23:59:29 ----A---- C:\WINDOWS\5449threzt24254.exe
2009-12-20 12:54:39 ----A---- C:\WINDOWS\zc6steal97165.exe
2009-12-20 11:27:48 ----A---- C:\WINDOWS\system32\1054495oj290z.exe
2009-12-19 03:08:23 ----A---- C:\WINDOWS\zaet9ief445.dll
2009-12-18 20:09:42 ----A---- C:\WINDOWS\z3935s9y329.dll
2009-12-18 19:48:04 ----A---- C:\WINDOWS\18821noz-a5viruse49.dll
2009-12-18 03:24:23 ----A---- C:\WINDOWS\system32\96934wzrm655.dll
2009-12-14 08:36:54 ----A---- C:\WINDOWS\9955spazbot555.dll
2009-12-14 07:14:58 ----A---- C:\WINDOWS\93558wozm279.dll
2009-12-13 08:14:37 ----A---- C:\WINDOWS\29bfdownloa5er1z79.dll
2009-12-13 04:23:21 ----A---- C:\WINDOWS\7446zpar59929.exe
2009-12-11 06:11:09 ----A---- C:\WINDOWS\59387nzt-a-virus1e9.exe
2009-12-09 14:59:22 ----A---- C:\WINDOWS\zc24backdo9r150.dll
2009-12-08 16:01:09 ----A---- C:\WINDOWS\9315pyzare2428.exe
2009-12-07 05:14:10 ----A---- C:\WINDOWS\93f5ba5kdozr1002.dll
2009-12-05 02:07:50 ----A---- C:\WINDOWS\system32\52335n9t-z-virus400.exe
2009-12-04 17:23:28 ----A---- C:\WINDOWS\575csparze26995.exe
2009-12-03 04:56:45 ----A---- C:\WINDOWS\z2716ha5kt9ol773.dll
2009-12-03 00:11:36 ----A---- C:\WINDOWS\74fetzie52049.exe
2009-12-01 11:54:54 ----A---- C:\WINDOWS\system32\922bszarse2555.dll
2009-11-28 14:38:21 ----A---- C:\WINDOWS\system32\10595szambot5ab.exe
2009-11-28 12:36:36 ----A---- C:\WINDOWS\system32\797zspy5a9.dll
2009-11-27 19:34:31 ----A---- C:\WINDOWS\system32\6a5ab9ckdooz2476.dll
2009-11-26 06:18:03 ----A---- C:\WINDOWS\system32\55959t5al2892z.dll
2009-11-21 18:50:31 ----A---- C:\WINDOWS\354zpar9e912.dll
2009-11-20 22:14:50 ----A---- C:\WINDOWS\system32\3z16d5wnloade92399.dll
2009-11-20 02:20:16 ----A---- C:\WINDOWS\system32\z9936troj6045.dll
2009-11-18 08:11:50 ----A---- C:\WINDOWS\system32\1z703vir5s69e.exe
2009-11-18 01:09:58 ----A---- C:\WINDOWS\system32\6c985zc9door2621.dll
2009-11-15 12:28:56 ----A---- C:\WINDOWS\9a5stealz693.dll
2009-11-14 00:42:42 ----A---- C:\WINDOWS\system32\19795hacktool9bz5.exe
2009-11-12 07:07:32 ----A---- C:\WINDOWS\7c07add9arz1253.dll
2009-11-11 20:55:59 ----A---- C:\WINDOWS\22799zpa5bot599.dll
2009-11-08 14:31:56 ----A---- C:\WINDOWS\1985zroj83.dll
2009-11-01 23:51:08 ----A---- C:\WINDOWS\830vzru592.exe
2009-10-28 10:23:11 ----A---- C:\WINDOWS\system32\5453thre9586z8.dll
2009-10-19 16:01:47 ----A---- C:\WINDOWS\system32\2e9dtzief1045.exe
2009-10-19 06:39:17 ----A---- C:\WINDOWS\95663worm1b3z.dll
2009-10-17 20:17:21 ----A---- C:\WINDOWS\system32\116zs5ars92735.dll
2009-10-16 01:13:02 ----A---- C:\WINDOWS\system32\20749not-a-5irus203z.exe
2009-10-16 00:05:46 ----A---- C:\WINDOWS\3adcth9eaz54331.dll
2009-10-14 00:41:32 ----A---- C:\WINDOWS\z514t95eat22094.exe
2009-10-13 12:36:06 ----A---- C:\WINDOWS\system32\5d95spazse1509.exe
2009-10-13 08:39:07 ----A---- C:\WINDOWS\96559spyzfe.dll
2009-10-09 18:38:32 ----A---- C:\WINDOWS\system32\6z55thi9f558.exe
2009-10-06 08:28:55 ----A---- C:\WINDOWS\39z9vir51.dll
2009-10-06 06:43:31 ----A---- C:\WINDOWS\5e205tezl1299.dll
2009-10-05 00:39:32 ----A---- C:\WINDOWS\system32\5056viz9s59d.dll
2009-10-04 16:47:03 ----A---- C:\WINDOWS\system32\5ea4st9zl176.dll
2009-10-03 23:15:50 ----A---- C:\WINDOWS\26554hacz9ool164.exe
2009-10-03 13:50:08 ----A---- C:\WINDOWS\system32\25317t9oj51z.exe
2009-10-02 13:12:14 ----A---- C:\WINDOWS\24555tro96cz.dll
2009-09-27 03:07:36 ----A---- C:\WINDOWS\system32\750ebzc9door977.exe
2009-09-26 21:59:54 ----A---- C:\WINDOWS\30858wo9m56z.exe
2009-09-25 21:57:14 ----A---- C:\WINDOWS\253a9ir2517z.dll
2009-09-24 09:34:28 ----A---- C:\WINDOWS\7543spz7b99.exe
2009-09-22 19:07:01 ----A---- C:\WINDOWS\system32\9399spamboz795.dll
2009-09-21 19:36:16 ----A---- C:\WINDOWS\system32\5648downloade51z9.exe
2009-09-21 13:13:29 ----A---- C:\WINDOWS\135z7worm169.dll
2009-09-21 03:39:04 ----A---- C:\WINDOWS\69a35zdware1734.dll
2009-09-19 16:22:45 ----A---- C:\WINDOWS\cz1v5r794.dll
2009-09-18 12:56:17 ----A---- C:\WINDOWS\system32\5e95spyware9z9.exe
2009-09-17 22:25:58 ----A---- C:\WINDOWS\system32\5348sparze1996.exe
2009-09-15 02:21:03 ----A---- C:\WINDOWS\1274dow9loadzr2845.exe
2009-09-13 23:16:58 ----A---- C:\WINDOWS\system32\25z81troj297.exe
2009-09-13 14:16:15 ----A---- C:\WINDOWS\90150w5rmzf5.exe
2009-09-13 12:38:23 ----A---- C:\WINDOWS\system32\71zd5tea93272.dll
2009-09-13 10:09:32 ----A---- C:\WINDOWS\52009ozm50e.dll
2009-09-11 06:06:22 ----A---- C:\WINDOWS\12588ha5ktoolz569.exe
2009-09-10 07:55:28 ----A---- C:\WINDOWS\zb0backdoo51595.dll
2009-09-10 06:32:05 ----A---- C:\WINDOWS\1bd65pyware2z69.exe
2009-09-10 00:07:07 ----A---- C:\WINDOWS\6f92vir11z15.exe
2009-09-08 22:47:58 ----A---- C:\WINDOWS\system32\540909orm4zf.exe
2009-09-08 22:01:27 ----A---- C:\WINDOWS\system32\44c5addw9rz24.dll
2009-09-08 08:18:27 ----A---- C:\WINDOWS\system32\z6dadownloader9245.dll
2009-09-06 19:19:53 ----A---- C:\WINDOWS\system32\z7385t5oj393.dll
2009-09-06 16:59:20 ----A---- C:\WINDOWS\55z195reat26768.dll
2009-08-28 14:14:55 ----A---- C:\WINDOWS\system32\651d9ddware705z.exe
2009-08-28 12:35:44 ----A---- C:\WINDOWS\598eba9kdoor5609z.exe
2009-08-26 00:59:42 ----A---- C:\WINDOWS\1b49addwaze1475.exe
2009-08-22 19:19:18 ----A---- C:\WINDOWS\31e6sz5ware9506.exe
2009-08-22 13:21:25 ----A---- C:\WINDOWS\system32\67d9addza5e1145.dll
2009-08-22 09:42:53 ----A---- C:\WINDOWS\765thief214z9.exe
2009-08-22 08:24:51 ----A---- C:\WINDOWS\system32\5019downlozder5795.exe
2009-08-20 18:29:18 ----A---- C:\WINDOWS\9z55h5cktool5a9.exe
2009-08-20 07:41:16 ----A---- C:\WINDOWS\system32\3z462worm95d.dll
2009-08-17 06:54:44 ----A---- C:\WINDOWS\ez9th5eat315799.exe
2009-08-15 19:56:47 ----A---- C:\WINDOWS\system32\18750not-9-vir5s5cdz.exe
2009-08-12 20:16:04 ----A---- C:\WINDOWS\system32\9fz1t5ief1561.dll
2009-08-12 16:11:29 ----A---- C:\WINDOWS\system32\20950zroj484.exe
2009-08-12 11:32:14 ----A---- C:\WINDOWS\148125ot-a-vir9s5za.exe
2009-08-12 04:04:14 ----A---- C:\WINDOWS\system32\z6a9vi55339.dll
2009-08-11 18:47:25 ----A---- C:\WINDOWS\3z9t5oj3c6.exe
2009-08-11 17:05:40 ----A---- C:\WINDOWS\system32\59zcspyware2316.dll
2009-08-09 12:47:58 ----A---- C:\WINDOWS\system32\1z395spambot439.exe
2009-08-08 23:02:27 ----A---- C:\WINDOWS\934475orm4z8.dll
2009-08-08 07:18:43 ----A---- C:\WINDOWS\5001z9acktool484.dll
2009-08-08 05:55:24 ----A---- C:\WINDOWS\42b0v5z2987.dll
2009-08-06 23:16:09 ----A---- C:\WINDOWS\1e2ddown9ozder5700.exe
2009-08-05 00:14:10 ----A---- C:\WINDOWS\system32\32d3viz1295.exe
2009-08-03 15:16:56 ----A---- C:\WINDOWS\system32\3e91spzwar52587.dll
2009-08-01 14:03:19 ----A---- C:\WINDOWS\26954s9yzb7.dll
2009-07-28 10:23:27 ----A---- C:\WINDOWS\system32\8392not9azviru52bc.exe
2009-07-28 04:19:40 ----A---- C:\WINDOWS\system32\15zathre9t5062.dll
2009-07-27 17:02:47 ----A---- C:\WINDOWS\system32\30153not-5-virus799z.dll
2009-07-26 13:31:24 ----A---- C:\WINDOWS\system32\daz9ack5oor1729.dll
2009-07-26 05:44:41 ----A---- C:\WINDOWS\system32\z19375py3e9.exe
2009-07-25 06:00:56 ----A---- C:\WINDOWS\system32\992z5hack5ool45c.exe
2009-07-24 00:37:41 ----A---- C:\WINDOWS\278dspyzare94645.exe
2009-07-23 06:29:49 ----A---- C:\WINDOWS\58829zorm4b.exe
2009-07-22 23:57:04 ----A---- C:\WINDOWS\system32\8544w59m46z.exe
2009-07-21 12:00:32 ----A---- C:\WINDOWS\system32\5z57not-9-5irus775.exe
2009-07-18 12:54:42 ----A---- C:\WINDOWS\31454h5cztoo913f.exe
2009-07-16 23:21:03 ----A---- C:\WINDOWS\system32\15162zo9mfc.dll
2009-07-16 20:40:34 ----A---- C:\WINDOWS\system32\885ad9waze2752.exe
2009-07-15 00:02:40 ----A---- C:\WINDOWS\7bb5ownzoade9307.exe
2009-07-13 10:21:00 ----A---- C:\WINDOWS\49435ownloaderz714.exe
2009-07-12 20:41:41 ----A---- C:\WINDOWS\z6ba5dware10559.dll
2009-07-11 06:40:24 ----A---- C:\WINDOWS\6936hack5ool7z.exe
2009-07-08 21:49:33 ----A---- C:\WINDOWS\system32\6954sp9rze3095.exe
2009-07-07 15:16:15 ----A---- C:\WINDOWS\system32\5220ziru978.exe
2009-07-03 20:42:33 ----A---- C:\WINDOWS\51420not-a-viruz339.dll
2009-07-03 06:43:22 ----A---- C:\WINDOWS\11955pars92056z.exe

Lasse mal eine davon spaßeshalber bei VirusTotal - Free Online Virus and Malware Scan auswerten. Oder alle. :D

7.) Und die nächste Virenschleuder:
Zitat:

----D---- C:\Dokumente und Einstellungen\HomePC.HOMEPC-JP1UGOUZ\Anwendungsdaten\LimeWire
8.) Und noch eine: :schmoll:
Zitat:

2009-06-26 20:17:14 ----D---- C:\Dokumente und Einstellungen\HomePC.HOMEPC-JP1UGOUZ\Anwendungsdaten\Azureus
9.) Den Eintrag hätte ich jetzt gerne erklärt:
Zitat:

127.0.0.1 mpa.one.microsoft.com
Warum lande ich nur auf Crackerseiten, wenn ich danach google?

ciao, andreas

Driller61 02.07.2009 23:38

Den PC hab ich gebraucht gekauft da waren bereits diese "Download-Programme" installiert. Ich hab die alle deinstalliert auch aus der Registry gelöscht, wie ich sehe nicht richtig.

Zu 1. Erledigt
2. Kaspersky wurde gelöscht (war vorher deinstalliert waren nur "RESTDATEIEN"
3. AVG ist entfernt.
4. Entfernt!
5. Entfernt!
6. Das Datum versteh ich auch nicht. Und hab 2 Dateien bei Virustotal durchlaufen lassen da steht als Ergebnis nur "Ergebnis: 0/41 (0%)"
7+8 Entfernt!
9. Versteh ich nicht :)

john.doe 03.07.2009 16:36

Wenn du den Rechner gebraucht gekauft hat, gibt es eigentlich nur eine Lösung => http://www.trojaner-board.de/51262-a...sicherung.html

Eine Reinigung wird mindestens 3 Tage dauern und ich kann dir anschließend nicht garantieren, dass wir tatsächlich alles erwischt haben. Andererseits scheinst du da etwas Neues zu haben und das reizt mich.

Falls du eine Reinigung vorziehst, dann fange damit an:

1.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

2.) Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

ciao, andreas

Driller61 03.07.2009 23:13

Hier Teil 1 von Combofix

Driller61 03.07.2009 23:14

Combofix Teil 2

Driller61 03.07.2009 23:15

Combofix Teil 3

Driller61 03.07.2009 23:17

Combofix Teil 4


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131