Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Links werden umgeleitet (https://www.trojaner-board.de/77975-links-umgeleitet.html)

Kristo Novo 01.10.2009 23:18
Links werden umgeleitet
 
Hallo Zusammen,

habe das Problem, dass die meisten Links innerhalb meines Browser zu falschen Adressen umgeleitet werden.

Im Taskbar des Browsers wird z.b. ein Link hier aus dem Forum wie folgt angezeigt:
Zitat:
http://thefeedyard.com/?do=rphp&sub=204&b=785164117&q=%0D%0AF%FCr%20alle%20Hilfesuchenden%21%20Was%20muss%20ich%20vor%20der%20Er%F6ffnung%20eines%20Themas%20beachten&orig=ht tp%3A//www.trojaner-board.de/69886-fuer-alle-hilfesuchenden-muss-ich-vor-der-eroeffnung-eines-themas-beachten.html

Vielleicht ist anhand des Log Files was zu erkennen...


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:01:58, on 02.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\sched.exe
F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avguard.exe
F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avgnt.exe
F:\WINDOWS\system32\marc2nt.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
F:\Programme\AUDIO\iTunes\iTunesHelper.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\system32\rundll32.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\SYSTEM\RK_Launcher_04_Beta\RKLauncher.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\VISUAL\Maya7\docs\wrapper.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\Wacom_Tablet.exe
F:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
F:\WINDOWS\system32\Wacom_Tablet.exe
F:\Programme\iPod\bin\iPodService.exe
F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Programme\Sandboxie\SbieSvc.exe
F:\Programme\Sandboxie\Start.exe
F:\Programme\Sandboxie\SandboxieRpcSs.exe
F:\Programme\Sandboxie\Start.exe
F:\Programme\Sandboxie\Start.exe
F:\Programme\Sandboxie\Start.exe
F:\Programme\Sandboxie\SbieCtrl.exe
F:\Programme\SYSTEM\Opera\opera.exe
F:\Programme\SYSTEM\HiJackThis\HijackThis.exe
F:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [avgnt] "F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\SYSTEM\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [Runmarc2Manager] marc2nt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\VISUAL\Adobe\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "F:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "F:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\SYSTEM\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\AUDIO\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] F:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] F:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [calc] rundll32.exe F:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SandboxieControl] "F:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: RK Launcher.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A22A01B2-F98B-4C92-AA14-96F05556A501}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\SYSTEM\AntiVir\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - F:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - F:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - F:\WINDOWS\system32\Wacom_Tablet.exe
O23 - Service: Windows-Verwaltungsinstrumentation winmgmtSCardSvr (winmgmtSCardSvr) - Unknown owner - F:\WINDOWS\system32\1037z.exe (file missing)

--
End of file - 7491 bytes

kira 02.10.2009 23:03
Hallo und Herzlich Willkommen! :)

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Kristo Novo 03.10.2009 15:37
Hallo und vielen Dank für die Mühe.
Würde gerne die Systembereinigung versuchen.

zu 1.
"Geschützte Systemdateien ausblenden" > kein Häkchen
"Alle Dateien und Ordner anzeigen" > aktiviert

zu 2.
Code:
----- Root -----------------------------
 Volume in Laufwerk F: hat keine Bezeichnung.
 Volumeseriennummer: 00E5-E62A

 Verzeichnis von F:\

03.10.2009  01:17                43 filelist.txt
02.10.2009  23:07    2.145.386.496 pagefile.sys
26.07.2009  23:04            8.379 resolve.log
              3 Datei(en)  2.145.394.918 Bytes
              0 Verzeichnis(se), 54.493.720.576 Bytes frei
 
----- Windows --------------------------
 Volume in Laufwerk F: hat keine Bezeichnung.
 Volumeseriennummer: 00E5-E62A

 Verzeichnis von F:\WINDOWS

03.10.2009  00:30              349 wiadebug.log
02.10.2009  23:08                0 0.log
02.10.2009  23:07                50 wiaservc.log
02.10.2009  23:07                0 TempFile
02.10.2009  23:07            2.048 bootstat.dat
02.10.2009  19:21            32.622 SchedLgU.Txt
02.10.2009  19:21          263.924 WindowsUpdate.log
01.10.2009  23:57            1.408 Sandboxie.ini
01.10.2009  23:17                49 NeroDigital.ini
01.10.2009  15:30              227 system.ini
01.10.2009  15:30              528 win.ini
01.10.2009  13:58            15.075 foker.sys
01.10.2009  13:58            14.831 umano.lib
01.10.2009  13:58            12.433 gisucixilu.exe
01.10.2009  13:58            19.821 imogicyj._dl
27.09.2009  12:14            4.096 d3dx.dat
17.09.2009  18:12            62.074 iis6.log
17.09.2009  18:12            20.417 comsetup.log
17.09.2009  18:12            10.956 ntdtcsetup.log
17.09.2009  18:12            18.287 tsoc.log
17.09.2009  18:12            1.874 tabletoc.log
17.09.2009  18:12            2.631 MedCtrOC.log
17.09.2009  18:12            1.696 ocmsn.log
17.09.2009  18:12            5.465 netfxocm.log
17.09.2009  18:12            1.917 imsins.log
17.09.2009  18:12            26.264 ocgen.log
17.09.2009  18:12            1.647 msgsocm.log
17.09.2009  18:12            24.541 FaxSetup.log
17.09.2009  18:12            14.062 msmqinst.log
14.09.2009  16:48          423.559 setupapi.log
14.09.2009  16:08            56.863 wmsetup.log
17.08.2009  22:37          316.640 WMSysPr9.prx
17.08.2009  22:37            81.959 DirectX.log
27.07.2009  11:49          290.030 ntbtlog.txt
26.07.2009  17:59                64 AlphaPlayer.INI
22.07.2009  16:19            1.174 OEWABLog.txt
03.07.2009  03:57            1.448 COM+.log
01.07.2009  18:29          211.489 setupact.log
14.06.2009  19:39              404 MAXLINK.INI
09.06.2009  20:15            9.052 aksdrvsetup.log
03.06.2009  15:52            1.355 imsins.BAK
03.06.2009  15:52              552 spupdsvc.log
31.05.2009  19:57              169 RtlRack.ini
31.05.2009  12:40                0 nsreg.dat
31.05.2009  03:11            2.446 regopt.log
31.05.2009  02:25            16.051 KB955839.log
31.05.2009  02:24          908.102 setuplog.txt
31.05.2009  02:22            8.192 REGLOCS.OLD
31.05.2009  02:19                0 control.ini
31.05.2009  02:19            4.161 ODBCINST.INI
31.05.2009  02:18              749 WindowsShell.Manifest
31.05.2009  02:16            1.023 sessmgr.setup.log
31.05.2009  02:15                36 vb.ini
31.05.2009  02:15                37 vbaddin.ini
31.05.2009  02:15              130 DtcInstall.log
31.05.2009  02:13              200 cmsetacl.log
30.05.2009  19:09                0 Sti_Trace.log
30.05.2009  19:05                0 setuperr.log
29.05.2009  02:04          524.288 opuc.dll
            100 Datei(en)      9.373.153 Bytes
              0 Verzeichnis(se), 54.493.712.384 Bytes frei
 
----- System  ---
 Volume in Laufwerk F: hat keine Bezeichnung.
 Volumeseriennummer: 00E5-E62A

 Verzeichnis von F:\WINDOWS\system

01.10.2009  13:44            58.880 svchost.exe
              28 Datei(en)        998.939 Bytes
              0 Verzeichnis(se), 54.493.712.384 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk F: hat keine Bezeichnung.
 Volumeseriennummer: 00E5-E62A

 Verzeichnis von F:\WINDOWS\system32

02.10.2009  23:09          243.457 NvApps.xml
01.10.2009  15:23            25.088 calc.dll
01.10.2009  14:15            2.068 1094861353.dat
01.10.2009  14:15            13.312 1028m.dll
01.10.2009  13:58            11.445 caka.pif
01.10.2009  13:58            16.050 vuzypifu.vbs
01.10.2009  13:58            17.082 giher.reg
01.10.2009  11:19            2.206 wpa.dbl
01.10.2009  01:22          167.936 _scui.cpl
15.09.2009  11:26            34.064 lhacm.acm
24.07.2009  13:51            2.368 STEC3.sys
22.07.2009  15:45                78 nk.dat
22.07.2009  15:45                1 idm.dat
22.07.2009  15:45                1 ck.dat
22.07.2009  15:45                1 q1.dat
22.07.2009  15:45                1 c2d.dat
15.07.2009  17:00            15.477 lpd
15.07.2009  17:00            69.120 inform.dat
14.07.2009  20:54        2.189.856 nvcuvid.dll
14.07.2009  20:54        1.706.528 nvcuvenc.dll
14.07.2009  20:54            19.495 nvdisp.nvu
14.07.2009  20:54        1.597.690 nvdata.bin
14.07.2009  20:54          485.920 nvudisp.exe
14.07.2009  20:54        5.842.816 nv4_disp.dll
14.07.2009  20:54          151.552 nvcod.dll
14.07.2009  20:54          868.352 nvapi.dll
14.07.2009  20:54        10.457.088 nvoglnt.dll
14.07.2009  20:54        2.002.944 nvcuda.dll
14.07.2009  20:54          151.552 nvcodins.dll
14.07.2009  13:35          420.384 nvcpl.cpl
14.07.2009  13:35        2.505.248 nvcpluir.dll
14.07.2009  13:35        2.173.472 nvcplui.exe
14.07.2009  13:35          266.240 nvrsptb.dll
14.07.2009  13:35          270.336 nvrspt.dll
14.07.2009  13:35          253.952 nvrspl.dll
14.07.2009  13:35          253.952 nvrsno.dll
14.07.2009  13:35          253.952 nvrssv.dll
14.07.2009  13:35          262.144 nvrsko.dll
14.07.2009  13:35          270.336 nvrsja.dll
14.07.2009  13:35          278.528 nvrsit.dll
14.07.2009  13:35          266.240 nvrsru.dll
14.07.2009  13:35          331.776 nvrshe.dll
14.07.2009  13:35          282.624 nvrsfr.dll
14.07.2009  13:35          249.856 nvrsfi.dll
14.07.2009  13:35          274.432 nvrsesm.dll
14.07.2009  13:35          282.624 nvrses.dll
14.07.2009  13:35          245.760 nvrseng.dll
14.07.2009  13:35          253.952 nvrsth.dll
14.07.2009  13:35          278.528 nvrsde.dll
14.07.2009  13:35          258.048 nvrssk.dll
14.07.2009  13:35          258.048 nvrshu.dll
14.07.2009  13:35          258.048 nvrssl.dll
14.07.2009  13:35          253.952 nvrstr.dll
14.07.2009  13:35          229.376 nvrszhc.dll
14.07.2009  13:35          122.880 nvrszht.dll
14.07.2009  13:35          274.432 nvrsnl.dll
14.07.2009  13:35          282.624 nvrsel.dll
14.07.2009  13:35          245.760 nvrscs.dll
14.07.2009  13:35          253.952 nvrsda.dll
14.07.2009  13:35            81.920 nvwddi.dll
14.07.2009  13:35          331.776 nvrsar.dll
14.07.2009  13:35        4.616.192 nvvitvsr.dll
14.07.2009  13:35        4.026.368 nvvitvs.dll
14.07.2009  13:35        3.674.112 nvwssr.dll
14.07.2009  13:35        3.170.304 nvwss.dll
14.07.2009  13:34        4.923.392 nvdisps.dll
14.07.2009  13:34        8.085.504 nvdispsr.dll
14.07.2009  13:34        3.547.136 nvgames.dll
14.07.2009  13:34        4.640.768 nvgamesr.dll
14.07.2009  13:34            66.834 NvwsApps.xml
14.07.2009  13:34        13.877.248 nvcpl.dll
14.07.2009  13:34          188.416 nvmccss.dll
14.07.2009  13:34          143.360 nvcolor.exe
14.07.2009  13:34          458.752 nvmccssr.dll
14.07.2009  13:34        1.286.144 nvmobls.dll
14.07.2009  13:34            86.016 nvmctray.dll
14.07.2009  13:34        2.854.912 nvmoblsr.dll
14.07.2009  13:34          168.004 nvsvc32.exe
14.07.2009  13:34          229.376 nvmccs.dll
10.07.2009  07:01          485.920 NVUNINST.EXE
03.07.2009  12:41        2.054.960 FNTCACHE.DAT
02.07.2009  21:48          440.684 perfh009.dat
02.07.2009  21:48            71.002 perfc009.dat
02.07.2009  21:48            84.500 perfc007.dat
02.07.2009  21:48          458.402 perfh007.dat
02.07.2009  21:48        1.043.260 PerfStringBackup.INI
01.07.2009  10:47          233.472 REX Shared Library.dll
01.07.2009  10:47          368.640 ReWire.dll
09.06.2009  20:15              383 haspdos.sys
09.06.2009  20:15            6.656 haspvdd.dll
09.06.2009  20:15            2.996 config.nt
01.06.2009  16:06            2.998 config.hsp
31.05.2009  03:12                0 h323log.txt
31.05.2009  02:25          211.660 TZLog.log
31.05.2009  02:21              938 $winnt$.inf
31.05.2009  02:19            16.832 amcompat.tlb
31.05.2009  02:19            23.392 nscompat.tlb
31.05.2009  02:18              488 logonui.exe.manifest
31.05.2009  02:18              488 WindowsLogon.manifest
31.05.2009  02:18              749 ncpa.cpl.manifest
31.05.2009  02:18              749 sapi.cpl.manifest
31.05.2009  02:18              749 wuaucpl.cpl.manifest
31.05.2009  02:18              749 cdplayer.exe.manifest
31.05.2009  02:18              749 nwc.cpl.manifest
31.05.2009  02:15            21.740 emptyregdb.dat
30.05.2009  19:06            4.444 pid.PNF
29.05.2009  02:29            52.736 wzcsapi.dll
29.05.2009  02:29            59.392 dmutil.dll
29.05.2009  02:29          483.840 wzcsvc.dll
29.05.2009  02:29            35.328 pid.dll
29.05.2009  02:29            15.360 pjlmon.dll
29.05.2009  02:29            20.992 hid.dll
29.05.2009  02:29        2.068.352 ntkrnlpa.exe
29.05.2009  02:29          299.008 msh263.drv
29.05.2009  02:29            16.896 msyuv.dll
29.05.2009  02:29            51.712 cnbjmon.dll
29.05.2009  02:29            47.616 iyuv_32.dll
29.05.2009  02:28            69.699 usrcoina.dll
29.05.2009  02:28            57.856 dvdplay.exe
29.05.2009  02:28            45.116 usrvoica.dll
29.05.2009  02:28            72.192 sprio800.dll
29.05.2009  02:28            77.883 usrrtosa.dll
29.05.2009  02:28            77.890 usrdpa.dll
29.05.2009  02:28          323.641 usrdtea.dll
29.05.2009  02:28            49.209 usrv80a.dll
29.05.2009  02:28            86.073 usrfaxa.dll
29.05.2009  02:28            8.192 tsbyuv.dll
29.05.2009  02:28          147.968 mdwmdmsp.dll
29.05.2009  02:28          102.457 usrv42a.dll
29.05.2009  02:28            8.192 streamci.dll
29.05.2009  02:28            61.508 usrprbda.exe
29.05.2009  02:28            41.019 usrsvpia.dll
29.05.2009  02:28            69.632 spnike.dll
29.05.2009  02:28            14.336 wowfaxui.dll
29.05.2009  02:28            53.305 usrlbva.dll
29.05.2009  02:28          157.696 paqsp.dll
29.05.2009  02:28            49.211 usrvpa.dll
29.05.2009  02:28            49.211 usrsdpia.dll
29.05.2009  02:28            61.500 usrcntra.dll
29.05.2009  02:28            77.891 usrmlnka.exe
29.05.2009  02:28            69.700 usrshuta.exe
29.05.2009  02:28            3.200 wowfax.dll
29.05.2009  02:28            70.656 sprio600.dll
29.05.2009  02:04          142.696 MicrosoftUpdateCatalogWebControl.dll
29.05.2009  02:04          208.744 muweb.dll
29.05.2009  02:04            43.544 wups2.dll
29.05.2009  02:04            27.672 wuaucpl.cpl.mui
29.05.2009  02:04            18.968 wuaueng.dll.mui
29.05.2009  02:04            27.496 mucltui.dll.mui
29.05.2009  02:04          268.648 mucltui.dll
29.05.2009  02:04            31.768 wucltui.dll.mui
29.05.2009  02:04            27.672 wuapi.dll.mui
29.05.2009  02:04          693.792 OGACheckControl.dll
29.05.2009  02:04          267.304 wgalogon.dll
29.05.2009  02:04          952.360 wgatray.exe
29.05.2009  02:04        1.486.208 LegitCheckControl.dll
29.05.2009  02:03          635.392 gpprefcl.dll
29.05.2009  02:03          202.776 wuweb.dll
29.05.2009  02:03            34.328 wups.dll
29.05.2009  02:03          323.608 wucltui.dll
29.05.2009  02:03            23.576 wuauserv.dll
29.05.2009  02:03        1.809.944 wuaueng.dll
29.05.2009  02:02          213.528 wuaucpl.cpl
29.05.2009  02:02            51.224 wuauclt.exe
29.05.2009  02:02          561.688 wuapi.dll
29.05.2009  02:02          135.168 wshom.ocx
29.05.2009  02:02            90.112 wshext.dll
29.05.2009  02:02          155.648 wscript.exe
29.05.2009  02:02        2.174.976 wmvcore.dll
29.05.2009  02:02        1.053.696 wmnetmgr.dll
29.05.2009  02:02          671.744 wininet.dll
29.05.2009  02:02          104.960 win32spl.dll
29.05.2009  02:02        1.846.912 win32k.sys
29.05.2009  02:02          430.080 vbscript.dll
29.05.2009  02:02          620.544 urlmon.dll
29.05.2009  02:01          247.326 strmdll.dll
29.05.2009  02:01        8.502.272 shell32.dll
29.05.2009  02:00        1.499.136 shdocvw.dll
29.05.2009  02:00          172.032 scrrun.dll
29.05.2009  02:00          180.224 scrobj.dll
29.05.2009  02:00          144.896 schannel.dll
29.05.2009  02:00        1.293.824 quartz.dll
29.05.2009  02:00        2.191.488 ntoskrnl.exe
29.05.2009  01:59          337.408 netapi32.dll
29.05.2009  01:59        1.307.648 msxml6.dll
29.05.2009  01:59        1.106.944 msxml3.dll
29.05.2009  01:59          247.296 mswsock.dll
29.05.2009  01:59            74.752 msw3prt.dll
29.05.2009  01:59        3.088.896 mshtml.dll
29.05.2009  01:58            74.240 mscms.dll
29.05.2009  01:58          103.936 logagent.exe
29.05.2009  01:58          512.000 jscript.dll
29.05.2009  01:58          691.712 inetcomm.dll
29.05.2009  01:58          286.720 gdi32.dll
29.05.2009  01:57          253.952 es.dll
29.05.2009  01:57          147.968 dnsapi.dll
29.05.2009  01:57          135.168 cscript.exe
29.05.2009  01:57            92.696 cdm.dll
26.05.2009  17:18            57.344 QuickTime.qts
26.05.2009  17:18            90.112 QuickTimeVR.qtx
01.05.2009  00:30            31.186 dcc.tvp
01.05.2009  00:30            33.032 finance.tvp
01.05.2009  00:30            53.768 default.tvp
01.05.2009  00:30            29.892 cad.tvp
22.04.2009  00:20        14.311.680 xlive.dll
22.04.2009  00:20        13.642.496 xlivefnt.dll
22.04.2009  00:19          172.173 xlive.dll.cat
26.03.2009  17:15        2.789.672 Wacom_Tablet.exe
26.03.2009  16:40          213.288 Wacom_Tablet.dll
26.03.2009  16:38        6.561.064 WacomTablet.cpl
26.03.2009  16:10          172.840 Wintab32.dll
20.03.2009  11:53        1.651.768 WacomTablet.znc
16.03.2009  14:18          517.448 XAudio2_4.dll
16.03.2009  14:18            22.360 X3DAudio1_6.dll
16.03.2009  14:18          235.352 xactengine3_4.dll
16.03.2009  14:18            69.448 XAPOFX1_3.dll
            383 Datei(en)    168.564.286 Bytes
              0 Verzeichnis(se), 54.493.573.120 Bytes frei
zu 3.
Code:
7-Zip 9.03 alpha
Acrobat.com
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Antivirus Pro 2010
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Bonjour
Canon MP Navigator EX 1.0
CanoScan 8800F
CCleaner (remove only)
DDS Thumbnail Viewer
DesignPro SE eMedia
E-MU Xboard
EVEREST Home Edition v2.20
Exact Audio Copy 0.99pb5
FileZilla Client 3.2.4.1
Gothic II
HijackThis 2.0.2
iTunes
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Games for Windows - LIVE Redistributable
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server Compact 3.5 SP1 (Deutsch)
Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch)
Microsoft Visual C# 2008 Express Edition mit SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Microsoft XNA Framework Redistributable 3.0
Microsoft XNA Framework Redistributable 3.1
Microsoft XNA Game Studio 3.1
Microsoft XNA Game Studio Platform Tools
Mozilla Firefox (3.5.3)
Mozilla Thunderbird (2.0.0.23)
MSXML 6.0 Parser
NameWiz
Nero 6 Ultra Edition
NVIDIA Drivers
NVIDIA nView Desktop Manager
Opera 10.00
QuickTime
Realtek AC'97 Audio
SAMSUNG PC Studio 2.0.9
Samsung USB Driver (MCCI 4.24)
Sandboxie 3.40
ScanSoft OmniPage SE 4
Sentinel System Driver
Skype™ 4.1
SQL Server System CLR Types
Sygate Personal Firewall
TeamSpeak 2 RC2
Vista Rainbar 4.3
VLC media player 0.9.9
Wacom Tablett
Winamp

Kristo Novo 03.10.2009 15:45
zu 4.
(das logfile hat zuviel Zeichen für das Forum deshalb hier ein Link zum Textfile selbst - "Show All" war deaktiviert)

http://www.kristonovo.de/GMERlog.txt


Diese Warnung wurde am Schluss des Scans ausgegeben

http://www.kristonovo.de/gmer_warning.bmp

kira 03.10.2009 20:14
hi

dürften da gröbere Probleme vorhanden sein:
- Du hast dir ein sogenanntes Rogue-Anti-Spyware-Programm geholt - heise.de/security/Zweifelhafte-Antiviren-Produkte
- hat sich zusätzlich ein Rootkit bei dir eingenistet
Da eine hundertprozentige Erkennung/Entfernung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung : die komplette Neuinstallation.
falls Du risikofreudig bist, können wir versuchen dein System wieder einigermaßen hinzubekommen:


- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
Code:
Drivers to delete:
SKYNETttkosbpb 
Files to delete:
F:\WINDOWS\system32\drivers\SKYNETatnklvip.sys
F:\WINDOWS\system32\SKYNETetlirnvp.dll
F:\WINDOWS\system32\SKYNETxwsakaxw.dat
F:\WINDOWS\system32\SKYNETbwqvmpcb.dll
F:\WINDOWS\system32\SKYNETfoexnwyt.dat
F:\WINDOWS\system32\SKYNETxtetlwxv.dll
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

Kristo Novo 03.10.2009 22:08
*risikofreudig ist* :)

Erste positive Auswirkung:
Nach Benutzung von Avenger nach deiner Vorgabe, kann ich Firefox wieder starten (ist permanent abgestürzt)

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "awql9f3z" found!
Could not open driver awql9f3z for rootkit scan.  Error:c0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Rootkit scan completed.

Driver "SKYNETttkosbpb" deleted successfully.
File "F:\WINDOWS\system32\drivers\SKYNETatnklvip.sys" deleted successfully.
File "F:\WINDOWS\system32\SKYNETetlirnvp.dll" deleted successfully.
File "F:\WINDOWS\system32\SKYNETxwsakaxw.dat" deleted successfully.
File "F:\WINDOWS\system32\SKYNETbwqvmpcb.dll" deleted successfully.
File "F:\WINDOWS\system32\SKYNETfoexnwyt.dat" deleted successfully.
File "F:\WINDOWS\system32\SKYNETxtetlwxv.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

kira 03.10.2009 23:02
hi

keine Entwarnung, jetzt beginnt erst...http://www.world-of-smilies.com/wos_teufel/teu38.gif

1.
C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
filelist.bat - den letzten sechs Monaten!

Kristo Novo 09.10.2009 20:33
zu 1.
avenger\backup.zip > gelöscht > papierkorb geleert

zu 2.
nach dem scan von Malwarebytes Anti-Malware und der entfernung der funde ist der "worst case" eingetreten.
windows ließ sich seitdem nicht mehr starten. der bootvorgang lief bis zum windows ladebalken - danach kam immer nur ein blue screen.

daraufhin habe ich windows ein zweites mal installiert um zumindest mal ein laufendes system zu haben und mit der anleitung weiter gemacht.

Malwarebytes Anti-Malware log
Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2927
Windows 5.1.2600 Service Pack 3

09.10.2009 01:37:15
mbam-log-2009-10-09 (01-37-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|N:\|)
Durchsuchte Objekte: 231953
Laufzeit: 25 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 4
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
F:\WINDOWS\system32\calc.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{544735c9-ae13-4721-9de7-d529be675038} (Password.Stealer) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antiviruspro_2010 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AdobeAlerter (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\BN (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D1 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D2 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D3 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\gd (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\pr (Trojan.Ambler) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: f:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
F:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.
F:\Programme\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\data (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

Infizierte Dateien:
F:\WINDOWS\system32\calc.dll (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Username\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AntivirusPro_2010.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AVEngn.dll (Adware.XPSecurityCenter) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\wscui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\lizkavd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPEFYHUD\Install[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
F:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
F:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AntivirusPro_2010.cfg (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\htmlayout.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\pthreadVC2.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\data\daily.cvd (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Username\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Username\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\c2d.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\ck.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\idm.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\inform.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\nk.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\q1.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> Delete on reboot.
F:\WINDOWS\system32\SKYNETlog.dat (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\system\svchost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

zu 3.
(ab hier eben mit neu aufgesetztem windows - allerdings ohne die systemfestplatte vorher zu formatieren)

SUPERAntiSpyware Scan Log

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/09/2009 at 08:27 PM

Application Version : 4.29.1002

Core Rules Database Version : 4157
Trace Rules Database Version: 2084

Scan type      : Complete Scan
Total Scan Time : 00:23:53

Memory items scanned      : 409
Memory threats detected  : 0
Registry items scanned    : 3169
Registry threats detected : 0
File items scanned        : 24293
File threats detected    : 121

Adware.Tracking Cookie
        F:\Dokumente und Einstellungen\Username\Cookies\Username@atdmt[1].txt
        F:\Dokumente und Einstellungen\Username\Cookies\Username@adfarm1.adition[2].txt
        F:\Dokumente und Einstellungen\Username\Cookies\Username@msnportal.112.2o7[1].txt
        F:\Dokumente und Einstellungen\Username\Cookies\Username@doubleclick[2].txt

Trojan.Agent/Gen-FakeAlert[Calc]
        D:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DLL
        D:\DOKUMENTE UND EINSTELLUNGEN\Username\NTUSER.DLL
        D:\DOKUMENTE UND EINSTELLUNGEN\Username\STARTMENü\PROGRAMME\AUTOSTART\SCANDISK.DLL
        D:\SANDBOX\Username\DEFAULTBOX\DRIVE\F\WINDOWS\SYSTEM32\CALC.DLL
        D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000996.DLL
        D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000997.DLL
        D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000998.DLL
        D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\NTUSER.DLL
        D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\STARTMENü\PROGRAMME\AUTOSTART\SCANDISK.DLL

Trojan.Dropper/Gen-NV
        D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\SERES.EXE
        D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\SVCST.EXE

Rootkit.Agent/Gen-Skynet
        D:\WINDOWS\TEMP\SKYNETIUJXQCBULI.TMP
        D:\WINDOWS\TEMP\SKYNETVCWKIXXUVV.TMP
        D:\WINDOWS\TEMP\SKYNETUOFJQKOYWG.TMP
        D:\WINDOWS\TEMP\SKYNETSJAXIGOGLQ.TMP
        D:\WINDOWS\TEMP\SKYNETFYFRPXTKVN.TMP
        D:\WINDOWS\TEMP\SKYNETCAGIENXORS.TMP
        D:\WINDOWS\TEMP\SKYNETLXKIDBNSSA.TMP
        D:\WINDOWS\TEMP\SKYNETLXMPCFDLQA.TMP
        D:\WINDOWS\TEMP\SKYNETWACEUEQNOT.TMP
        D:\WINDOWS\TEMP\SKYNETOTUCYSVMBR.TMP
        D:\WINDOWS\TEMP\SKYNETKNCGPXRCTX.TMP
        D:\WINDOWS\TEMP\SKYNETFEFVQHBTRH.TMP
        D:\WINDOWS\TEMP\SKYNETPSWKXQDTAE.TMP
        D:\WINDOWS\TEMP\SKYNETVUHSCTHVJC.TMP
        D:\WINDOWS\TEMP\SKYNETQDJXBUYRFU.TMP
        D:\WINDOWS\TEMP\SKYNETLIOXUAMMWM.TMP
        D:\WINDOWS\TEMP\SKYNETSMYMXTXQOW.TMP
        D:\WINDOWS\TEMP\SKYNETUOBNHYIPJV.TMP
        D:\WINDOWS\TEMP\SKYNETOXIVNVNDNX.TMP
        D:\WINDOWS\TEMP\SKYNETXJKREWPAOK.TMP
        D:\WINDOWS\TEMP\SKYNETFMXHDCRQBL.TMP
        D:\WINDOWS\TEMP\SKYNETBDRQCGOSWM.TMP
        D:\WINDOWS\TEMP\SKYNETBPHWROSBCO.TMP
        D:\WINDOWS\TEMP\SKYNETDGCCCGDLGP.TMP
        D:\WINDOWS\TEMP\SKYNETYYCDBDEAOH.TMP
        D:\WINDOWS\TEMP\SKYNETPXUTGOCOAJ.TMP
        D:\WINDOWS\TEMP\SKYNETCWBDUWIIRT.TMP
        D:\WINDOWS\TEMP\SKYNETTFYXBMSLOO.TMP
        D:\WINDOWS\TEMP\SKYNETIOMBAPOBDF.TMP
        D:\WINDOWS\TEMP\SKYNETNSHMMRDLLQ.TMP
        D:\WINDOWS\TEMP\SKYNETCKNHHMOYJA.TMP
        D:\WINDOWS\TEMP\SKYNETRJLQSWXFCX.TMP
        D:\WINDOWS\TEMP\SKYNETMDIGWKCPRD.TMP
        D:\WINDOWS\TEMP\SKYNETIJEWTITEDK.TMP
        D:\WINDOWS\TEMP\SKYNETLUIYFKGYMQ.TMP
        D:\WINDOWS\TEMP\SKYNETJOORXPDDGB.TMP
        D:\WINDOWS\TEMP\SKYNETCWRFFDENON.TMP
        D:\WINDOWS\TEMP\SKYNETHOSTRQMRPX.TMP
        D:\WINDOWS\TEMP\SKYNETDYTFGOIFNB.TMP
        D:\WINDOWS\TEMP\SKYNETEDWWJGWXRG.TMP
        D:\WINDOWS\TEMP\SKYNETUHENBFGFBQ.TMP
        D:\WINDOWS\TEMP\SKYNETBBGBMCPHII.TMP
        D:\WINDOWS\TEMP\SKYNETDWTCEJPSNA.TMP
        D:\WINDOWS\TEMP\SKYNETYEYFCIMNTR.TMP
        D:\WINDOWS\TEMP\SKYNETKRJYEBYXER.TMP
        D:\WINDOWS\TEMP\SKYNETQOSIRQOIWW.TMP
        D:\WINDOWS\TEMP\SKYNETEXYIJMHYAO.TMP
        D:\WINDOWS\TEMP\SKYNETFLILHTLPFA.TMP
        D:\WINDOWS\TEMP\SKYNETRYIXJDEDUW.TMP
        D:\WINDOWS\TEMP\SKYNETEPMXFPLQSW.TMP
        D:\WINDOWS\TEMP\SKYNETCDXYVGVPUY.TMP
        D:\WINDOWS\TEMP\SKYNETOARNMDETNW.TMP
        D:\WINDOWS\TEMP\SKYNETFAWIPOUWBD.TMP
        D:\WINDOWS\TEMP\SKYNETRXYAVSTADN.TMP
        D:\WINDOWS\TEMP\SKYNETCMXNQWMIRX.TMP
        D:\WINDOWS\TEMP\SKYNETVMCHORTCYR.TMP
        D:\WINDOWS\TEMP\SKYNETUEJBOWNFLA.TMP
        D:\WINDOWS\TEMP\SKYNETXTRBWKPCFU.TMP
        D:\WINDOWS\TEMP\SKYNETWWCFLABISF.TMP
        D:\WINDOWS\TEMP\SKYNETUMXGNBBIQF.TMP
        D:\WINDOWS\TEMP\SKYNETFVISYCIERW.TMP
        D:\WINDOWS\TEMP\SKYNETJEEKTRVIFT.TMP
        D:\WINDOWS\TEMP\SKYNETPEXEJQIHQV.TMP
        D:\WINDOWS\TEMP\SKYNETDQRVCWLNCL.TMP
        D:\WINDOWS\TEMP\SKYNETLBXRTOVSMP.TMP
        D:\WINDOWS\TEMP\SKYNETNHQPCBQPQU.TMP
        D:\WINDOWS\TEMP\SKYNETWPAXSUYDOH.TMP
        D:\WINDOWS\TEMP\SKYNETVDIOYWYPYS.TMP
        D:\WINDOWS\TEMP\SKYNETONCINPDQTE.TMP
        D:\WINDOWS\TEMP\SKYNETFQSJFTXPWQ.TMP
        D:\WINDOWS\TEMP\SKYNETSPQPANFFNL.TMP
        D:\WINDOWS\TEMP\SKYNETWRGSSEQIIN.TMP
        D:\WINDOWS\TEMP\SKYNETMNBBUTOWKE.TMP
        D:\WINDOWS\TEMP\SKYNETYCVUMSWKFJ.TMP
        D:\WINDOWS\TEMP\SKYNETFQWFKQFLEX.TMP
        D:\WINDOWS\TEMP\SKYNETCWIPJUXTOB.TMP
        D:\WINDOWS\TEMP\SKYNETUXXKPUOIPH.TMP
        D:\WINDOWS\TEMP\SKYNETLPVRHPQDOH.TMP
        D:\WINDOWS\TEMP\SKYNETTRQUFPXXNS.TMP
        D:\WINDOWS\TEMP\SKYNETUBFUYGBDWM.TMP
        D:\WINDOWS\TEMP\SKYNETVCDBDWOROE.TMP

Trojan.Agent/Gen-Cryptor
        D:\WINDOWS\TEMP\SKYNETYBBEYONJPO.TMP
        D:\WINDOWS\TEMP\SKYNETYULRPDHNOS.TMP
        D:\WINDOWS\TEMP\SKYNETRPXJLLIKMH.TMP
        D:\WINDOWS\TEMP\SKYNETPBUYPJMSAB.TMP
        D:\WINDOWS\TEMP\SKYNETGBEQVNSECY.TMP
        D:\WINDOWS\TEMP\SKYNETTTQOBECIFR.TMP
        D:\WINDOWS\TEMP\SKYNETHVILFPYNDM.TMP
        D:\WINDOWS\TEMP\SKYNETNLVRKBKGPS.TMP
        D:\WINDOWS\TEMP\SKYNETXNSTSIYQXN.TMP
        D:\WINDOWS\TEMP\SKYNETBCFHSLXNSV.TMP
        D:\WINDOWS\TEMP\SKYNETRSJVIXWXQL.TMP
        D:\WINDOWS\TEMP\SKYNETEHSRIXECCO.TMP
        D:\WINDOWS\TEMP\SKYNETMCCBJVXYLH.TMP
        D:\WINDOWS\TEMP\SKYNETMBUAIRMFJV.TMP
        D:\WINDOWS\TEMP\SKYNETGXCIOFBCOA.TMP
        D:\WINDOWS\TEMP\SKYNETPVXBRNFYYC.TMP
        D:\WINDOWS\TEMP\SKYNETQJKNKSPWXR.TMP
        D:\WINDOWS\TEMP\SKYNETIKATRJXNEY.TMP
        D:\WINDOWS\TEMP\SKYNETCVRLYPISNW.TMP
        D:\WINDOWS\TEMP\SKYNETXKFMEFCHQR.TMP
        D:\WINDOWS\TEMP\SKYNETNOGFYULTFK.TMP
        D:\WINDOWS\TEMP\SKYNETCQQKPOKCCH.TMP
        D:\WINDOWS\TEMP\SKYNETVSSGJNWUAP.TMP
        D:\WINDOWS\TEMP\SKYNETWIWORPGXNE.TMP
        D:\WINDOWS\TEMP\SKYNETPDFNDTISIT.TMP

zu 4.
schritte ausgeführt dann neustart


zu 5.
Trend Micro HijackThis-Logfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:15:56, on 09.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgwdsvc.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgtray.exe
F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
F:\Programme\SYSTEM\SUPERAntiSpyware\SUPERAntiSpyware.exe
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgemc.exe
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgrsx.exe
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgnsx.exe
F:\Programme\SYSTEM\AVG Free\avgcsrvx.exe
F:\Programme\SYSTEM\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - F:\Programme\SYSTEM\AVG Free\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\SYSTEM\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [AVG8_TRAY] F:\PROGRA~1\SYSTEM\AVGFRE~1\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Programme\SYSTEM\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A19DDEC9-9AE8-4813-B492-07DFEE766C88}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - F:\Programme\SYSTEM\AVG Free\avgpp.dll
O20 - Winlogon Notify: !SASWinLogon - F:\Programme\SYSTEM\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - F:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\SYSTEM\AVGFRE~1\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\SYSTEM\AVGFRE~1\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe

--
End of file - 4322 bytes

filelist.bat

(Siehe Anhang)

kira 09.10.2009 23:23
Zitat:
Zitat von Kristo Novo (Beitrag 472088)
allerdings ohne die systemfestplatte vorher zu formatieren)
hatte ich schon in diese Situation mein System komplett neu aufgesetzt;)

- Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
- Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Kristo Novo 10.10.2009 00:10
Zitat:
Vor dem Scan Einstellungen im Internet Explorer
soll ich die einstellungen im internet explorer auch dann machen, wenn ich über firefox scanne?

Kristo Novo 10.10.2009 02:10
Kaspersky Online wird z.Zt. überarbeitet.
werde also morgen weiter machen.

hier mal noch ein SUPERAntiSpyware Scan Log vom "alten" windows
(denn das lässt sich nach den scans und entfernungen mit der neuen windows installation wieder starten)

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/10/2009 at 02:46 AM

Application Version : 4.29.1002

Core Rules Database Version : 4157
Trace Rules Database Version: 2084

Scan type      : Complete Scan
Total Scan Time : 01:30:09

Memory items scanned      : 431
Memory threats detected  : 0
Registry items scanned    : 4606
Registry threats detected : 22
File items scanned        : 24209
File threats detected    : 10

Rogue.XP AntiSpyware 2009
        HKU\.DEFAULT\Control Panel\don't load#wscui.cpl [ No ]
        HKU\S-1-5-18\Control Panel\don't load#wscui.cpl [ No ]

Trojan.Agent/Gen-AlerterALG
        HKU\.DEFAULT\Software\S45
        HKU\S-1-5-18\Software\S45

Rootkit.Agent/Gen
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#start
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#type
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#group
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#imagepath
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main#aid
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main#sid
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\delete
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\injector
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\injector#*
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\tasks
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETrk.sys
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETcmd.dll
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETlog.dat
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETwsp.dll
        HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNET.dat

Rootkit.Agent/Gen-Skynet
        F:\WINDOWS\SYSTEM32\SKYNETEVXTNTVP.DAT
        F:\WINDOWS\SYSTEM32\SKYNETFOEXNWYT.DAT
        F:\WINDOWS\SYSTEM32\SKYNETXWSAKAXW.DAT
        F:\WINDOWS\SYSTEM32\SKYNETBWQVMPCB.DLL
        F:\WINDOWS\SYSTEM32\SKYNETETLIRNVP.DLL
        F:\WINDOWS\SYSTEM32\SKYNETVJBBOUOI.DLL
        F:\WINDOWS\SYSTEM32\SKYNETXTETLWXV.DLL

Trojan.Agent/Gen-FakeAlert[Calc]
        F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000999.DLL
        F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0001000.DLL
        F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0001001.DLL

kira 10.10.2009 20:35
Zitat:
Zitat von Kristo Novo (Beitrag 472130)
soll ich die einstellungen im internet explorer auch dann machen, wenn ich über firefox scanne?
bitte nutze den IE!

ausserdem erneut ein Scan mit Gmer (laut Anleitung)


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131