Trojaner-Board - osam speichert nicht, hijack installiert nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - osam speichert nicht, hijack installiert nicht (https://www.trojaner-board.de/90031-osam-speichert-hijack-installiert.html)

osam speichert nicht, hijack installiert nicht

servus
ich habe über die forumsuche einen passenden thread gesucht, bin aber leider nicht fündig geworden.
ich habe ein virenproblem da mir symnatec einen trojaner namens iexplorer.
der virus äußert sich über verschiedene "antiviren" programme die eine säuberung des systems anbieten, namentlich der "antimalware doktor". ich habe bereits hier im forum gelesen das dies ein trojaner sit.

ivh würde jetzt gerne einen report von hijack oder osam posten allerdings wenn ich bei osam auf sve log klicke passiert nichts und hijack wird schon garnicht installiert, obwohl ich die datei in "test.com", höhö.com" usw umbenannt habe.

was kann ich als nächstes tun, bzw. wie kann ich die programme doch noch posten, insbesondere da der log bei osam aussieht wie die kölner stadthalle auf karneval, recht bunt. es sind 4 farben vertretten, pink, gelb, rot und blau

ich sage schonmal danke für die hilfe im voraus
:dankeschoen:

mfg
simon

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
wenn du ein 32 bit system hast. evtl. im abgesicherten modus, den erreichst du wenn du den pc startest und die f8-taste drückst

moin
hab windows 7 64 bit.
bin gerade im abgesicherten modus, habe aber ein OTL log gemacht, falls das was hilft
otl.txt und extr.ttxt wurden so erstellt, bei otl_1 wurde ich aufgefordert zu speichern, darum drei dateien, ich wusste nicht genau welche ihr braucht.
mfg
Liqmaster

ich habe gerade versucht im abgesicherten modus den malwarebytes anti malware zu starten nachdem ich es im normalen modus installiert hatte aber nciht starten konnte. er liefert mir die fehlermeldung '0' und '440'
mfg
simon

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [autdrswd] C:\Users\Simon\AppData\Local\rpjfjqivv\xdljxpwshdw.exe ()
O4 - HKCU..\Run: [ndoyqhml] C:\Users\Simon\AppData\Local\ydxfjpuuh\xdueagpshdw.exe ()
O4 - HKCU..\Run: [newsecureapp70700.exe] C:\Users\Simon\AppData\Roaming\8FB1791ACE2EA37CD4686512789199B4\newsecureapp70700.exe (MS)
O4 - HKCU..\Run: [trawgd327uhf838jdfdsfdfds] C:\Users\Simon\AppData\Local\Temp\nvsvc32.exe ()
[2010.08.25 20:43:32 | 000,000,000 | ---D | C] -- C:\Users\Simon\AppData\Local\rpjfjqivv

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

bitte öffne den arbeitsplatz, dann c: dann _otl dann rechtsklick auf moved files und zu _OTL.zip oder rar hinzufügen, das archiv an uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

so, hier die gewünschten sachen:

Zitat:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\autdrswd deleted successfully.
C:\Users\Simon\AppData\Local\rpjfjqivv\xdljxpwshdw.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ndoyqhml deleted successfully.
C:\Users\Simon\AppData\Local\ydxfjpuuh\xdueagpshdw.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\newsecureapp70700.exe deleted successfully.
C:\Users\Simon\AppData\Roaming\8FB1791ACE2EA37CD4686512789199B4\newsecureapp70700.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\trawgd327uhf838jdfdsfdfds deleted successfully.
C:\Users\Simon\AppData\Local\Temp\nvsvc32.exe moved successfully.
C:\Users\Simon\AppData\Local\rpjfjqivv folder moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: Simon
->Flash cache emptied: 42618 bytes

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 35711 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Simon
->Temp folder emptied: 366157361 bytes
->Temporary Internet Files folder emptied: 503847785 bytes
->Java cache emptied: 36892549 bytes
->FireFox cache emptied: 68666825 bytes
->Google Chrome cache emptied: 6344185 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 27692973 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 52707 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 963,00 mb

OTL by OldTimer - Version 3.2.10.0 log created on 08262010_185607

Files\Folders moved on Reboot...
C:\Users\Simon\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\TMP00000001D262C63446EBF505 not found!

Registry entries deleted on Reboot...

die datei kommt sofort
:dankeschoen:
simon

P.S.: Datei ist oben

versuch mal nach neustart malwarebytes zu nutzen wenns geht, nen komplett scan nach update, und log posten.

so, hier der log
wurde doch noch was gefunden

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4483

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

26.08.2010 21:50:55
mbam-log-2010-08-26 (21-50-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 415858
Laufzeit: 1 Stunde(n), 46 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Simon\AppData\Roaming\8FB1791ACE2EA37CD4686512789199B4\upd_debug.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\08262010_185607\C_Users\Simon\AppData\Local\rpjfjqivv\xdljxpwshdw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\08262010_185607\C_Users\Simon\AppData\Local\Temp\nvsvc32.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\08262010_185607\C_Users\Simon\AppData\Local\ydxfjpuuh\xdueagpshdw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\08262010_185607\C_Users\Simon\AppData\Roaming\8FB1791ACE2EA37CD4686512789199B4\newsecureapp70700.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Windows\shell.exe (Trojan.Agent) -> Quarantined and deleted successfully.

wars das jetzt schon oder kommt noch was
in jedem fall schonmal danke :applaus::dankeschoen:
simon

kannst du bitte eine neue otl.txt posten, berichte außerdem wie der pc läuft