Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Probleme mit IE und Firefox! Und noch mehr... (https://www.trojaner-board.de/43554-probleme-ie-firefox-noch-mehr.html)

Santina 16.09.2007 17:27
Probleme mit IE und Firefox! Und noch mehr...
 
Hallo ihr Lieben,

seit einigen Tagen zeigt mein AntiVirus Programm ständig neue Viren an und löscht sie danach angeblich. Aber mein PC spinnt weiterhin.
Erstmal ist er langsamer geworden und zweitens kann ich manchmal keine Internetseiten öffnen, obwohl ich online bin. Und MSN und Skype usw. funktionieren ganz normal. Wenns dann doch mal geht, dann kommt aber nach ein paar min. surfen schon ne Meldung, dass ich den IE schliessen sollte.

Also habe durch einen User von hier schon etwas Hilfe bekommen und ein paar Dateien bei Virustotal überprüfen lassen.

Habe hier mal die Ergebnisse und hoffe mal auf eure Hilfe :)


Code:
Datei uepignzj.dll:

AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 HEUR/Crypted
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.15 -
AVG 7.5.0.485 2007.09.15 -
BitDefender 7.2 2007.09.16 -
CAT-QuickHeal 9.00 2007.09.15 -
ClamAV 0.91.2 2007.09.16 -
DrWeb 4.33 2007.09.16 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.16 -
FileAdvisor 1 2007.09.16 -
Fortinet 3.11.0.0 2007.09.16 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.15 -
Ikarus T3.1.1.12 2007.09.16 -
Kaspersky 4.0.2.24 2007.09.16 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.16 -
NOD32v2 2532 2007.09.16 -
Norman 5.80.02 2007.09.14 Zlob.gen94
Panda 9.0.0.4 2007.09.15 -
Prevx1 V2 2007.09.16 KickStart:Trojan-S
Rising 19.40.62.00 2007.09.16 -
Sophos 4.21.0 2007.09.16 -
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.16 -
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 -
VirusBuster 4.3.26:9 2007.09.15 -
Webwasher-Gateway 6.0.1 2007.09.14 Heuristic.Crypted
weitere Informationen
File size: 102400 bytes
MD5: a48f996af2a6090854f5961d2c7a8d28
SHA1: 635f89cf1d53c3fd3c1c6736da853dd5c56af668
Prevx info:

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=66539B6100806B87909E013676E33200A8ABE2EE[/

url]
Code:
Datei winstrmd.dll:

AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 ADSPY/BHO.aa.1
Authentium 4.93.8 2007.09.16 W32/Downloader.MNI
Avast 4.7.1043.0 2007.09.15 Win32:Trojano-3384
AVG 7.5.0.485 2007.09.15 Collected.11.AD
BitDefender 7.2 2007.09.16 Trojan.BHO.WebPrefix.A
CAT-QuickHeal 9.00 2007.09.15 -
ClamAV 0.91.2 2007.09.16 AdWare.BHO-2
DrWeb 4.33 2007.09.16 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.16 Trojan.BHO.b
FileAdvisor 1 2007.09.16 -
Fortinet 3.11.0.0 2007.09.16 Adware/KeenValue
F-Prot 4.3.2.48 2007.09.16 W32/Downloader.MNI
F-Secure 6.70.13030.0 2007.09.15 -
Ikarus T3.1.1.12 2007.09.16 AdWare.Win32.BHO.aa
Kaspersky 4.0.2.24 2007.09.16 not-a-virus:AdWare.Win32.BHO.aa
McAfee 5120 2007.09.14 potentially unwanted program Adware-KeenValue
Microsoft 1.2803 2007.09.16 BrowserModifier:Win32/KeenValuePerfectNav
NOD32v2 2532 2007.09.16 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.09.14 W32/BHO.X
Panda 9.0.0.4 2007.09.15 Adware/KeenValue
Prevx1 V2 2007.09.16 -
Rising 19.40.62.00 2007.09.16 Trojan.DL.Agent.kpx
Sophos 4.21.0 2007.09.16 Mapkon
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.16 Adware.Webprefix
TheHacker 6.2.5.060 2007.09.14 Adware/BHO.aa
VBA32 3.12.2.4 2007.09.15 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.09.15 Adware.BHO.JT
Webwasher-Gateway 6.0.1 2007.09.14 Ad-Spyware.BHO.aa.1
weitere Informationen
File size: 23438 bytes
MD5: 4fdd8467b54dcaa1deaa1089516f42b5
SHA1: 7b1a37dd14231847e332b05dd43899147a07065b
Code:
Datei sfwlsjoh.dll:

AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 HEUR/Crypted
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.15 -
AVG 7.5.0.485 2007.09.15 -
BitDefender 7.2 2007.09.16 -
CAT-QuickHeal 9.00 2007.09.15 -
ClamAV 0.91.2 2007.09.16 -
DrWeb 4.33 2007.09.16 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.16 -
FileAdvisor 1 2007.09.16 -
Fortinet 3.11.0.0 2007.09.16 PossibleThreat
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.15 -
Ikarus T3.1.1.12 2007.09.16 -
Kaspersky 4.0.2.24 2007.09.16 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.16 -
NOD32v2 2532 2007.09.16 -
Norman 5.80.02 2007.09.14 Zlob.gen94
Panda 9.0.0.4 2007.09.15 Trj/Downloader.QET
Prevx1 V2 2007.09.16 KickStart:Trojan-S
Rising 19.40.62.00 2007.09.16 -
Sophos 4.21.0 2007.09.16 -
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.16 -
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 -
VirusBuster 4.3.26:9 2007.09.15 -
Webwasher-Gateway 6.0.1 2007.09.14 Heuristic.Crypted
weitere Informationen
File size: 46080 bytes
MD5: 1fef5ac02b7e49b487e040d93ae3346f
SHA1: 6f09e9966695362d075545a19d858ae7a84bbd25
Prevx info:

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=F80B4F5D0005ACF7B44300A2D7D2220040812561[/

url]

Code:
Datei dkvqbizk.dll :

AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 HEUR/Crypted
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.15 -
AVG 7.5.0.485 2007.09.15 -
BitDefender 7.2 2007.09.16 -
CAT-QuickHeal 9.00 2007.09.15 -
ClamAV 0.91.2 2007.09.16 -
DrWeb 4.33 2007.09.16 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.16 -
FileAdvisor 1 2007.09.16 -
Fortinet 3.11.0.0 2007.09.16 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.15 -
Ikarus T3.1.1.12 2007.09.16 -
Kaspersky 4.0.2.24 2007.09.16 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.16 -
NOD32v2 2532 2007.09.16 -
Norman 5.80.02 2007.09.14 Zlob.gen94
Panda 9.0.0.4 2007.09.15 -
Prevx1 V2 2007.09.16 KickStart:Trojan-S
Rising 19.40.62.00 2007.09.16 -
Sophos 4.21.0 2007.09.16 -
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.16 -
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 -
VirusBuster 4.3.26:9 2007.09.15 -
Webwasher-Gateway 6.0.1 2007.09.14 Heuristic.Crypted
weitere Informationen
File size: 102400 bytes
MD5: a48f996af2a6090854f5961d2c7a8d28
SHA1: 635f89cf1d53c3fd3c1c6736da853dd5c56af668
Prevx info:

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=66539B6100806B87909E013676E33200A8ABE2EE[/

url]

Code:
Datei barb_proc.exe :

AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 -
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.15 Win32:Obfuscated-BPR
AVG 7.5.0.485 2007.09.15 -
BitDefender 7.2 2007.09.16 Trojan.FatObfus.2.Gen
CAT-QuickHeal 9.00 2007.09.15 -
ClamAV 0.91.2 2007.09.16 -
DrWeb 4.33 2007.09.16 Trojan.Packed.149
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.16 -
FileAdvisor 1 2007.09.16 -
Fortinet 3.11.0.0 2007.09.16 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.15 -
Ikarus T3.1.1.12 2007.09.16 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 2007.09.16 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.16 -
NOD32v2 2532 2007.09.16 -
Norman 5.80.02 2007.09.14 -
Panda 9.0.0.4 2007.09.15 Suspicious file
Prevx1 V2 2007.09.16 Adware.Lop:Payload-All Variants
Rising 19.40.62.00 2007.09.16 -
Sophos 4.21.0 2007.09.16 -
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.16 -
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.09.15 -
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 1714688 bytes
MD5: d3ffb2f52b5f4d21442c90bc371d752f
SHA1: 6a8a78ca2797072da6b02192fb78686e01c47795
Prevx info:

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=90B13D7D00C598BD2AC51A216AC8CE008FBD7ABE[/

url]
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are

deemed suspicious through heuristics.

Code:
Datei FlawMeet.exe :

AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 -
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.15 Win32:Obfuscated-BPQ
AVG 7.5.0.485 2007.09.15 -
BitDefender 7.2 2007.09.16 Trojan.FatObfus.2.Gen
CAT-QuickHeal 9.00 2007.09.15 -
ClamAV 0.91.2 2007.09.16 -
DrWeb 4.33 2007.09.16 Trojan.Packed.149
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.16 -
FileAdvisor 1 2007.09.16 -
Fortinet 3.11.0.0 2007.09.16 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.15 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.12 2007.09.16 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 2007.09.16 Trojan.Win32.Obfuscated.en
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.16 -
NOD32v2 2532 2007.09.16 -
Norman 5.80.02 2007.09.14 -
Panda 9.0.0.4 2007.09.15 -
Prevx1 V2 2007.09.16 Adware.Lop.Downloader
Rising 19.40.62.00 2007.09.16 -
Sophos 4.21.0 2007.09.16 -
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.16 Adware.Lop
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.09.15 -
Webwasher-Gateway 6.0.1 2007.09.14 Worm.Win32.Malware.gen (suspicious)
weitere Informationen
File size: 641024 bytes
MD5: 5a6234d5c8a33f5b328f8de00860f0dc
SHA1: 08c13b38aa742719b9298c64460163513791c18d
Prevx info:

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=C5379F1500937878C8BE09960807A30009F7415D[/

url]
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are

deemed suspicious through heuristics.

Hoffe ihr könnt damit etwas anfangen und Danke im Vorraus!


Gruß
Santina

nochdigger 16.09.2007 18:03
Hallo

dann versuchen wir es nochmal;)

Zeig uns bitte nochmal ein aktuelles Hijackthis Log, es wäre etwas mühselig zwischen dem Mülleimer und dem Fred hier hin und her zu springen.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MFG

Santina 16.09.2007 21:50
Ok danke :)

Also hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:58, on 16.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust Personal Firewall\ca.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Editor plugin - {3AD6B13D-A0AB-46bb-8BC5-D89874EEAB3C} - rastyu.dll (file missing)
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - (no file)
O2 - BHO: (no name) - {7378296C-1FA1-46CC-927A-059E501AFAE4} - C:\Programme\Fjafkash\uepignzj.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file)
O2 - BHO: (no name) - {8CAB5E5E-B8D2-4A7E-A478-16216798F4D5} - C:\WINDOWS\system32\winstrmd.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Cas - {B5F3970B-745E-46AC-B890-E08F69777D80} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CaISSDT] "C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\CA\eTrust Internet Security Suite\eTrust Personal Firewall\ca.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [lwtslqlo] rundll32.exe "C:\Programme\whkrsvqn\sfwlsjoh.dll",Init
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [dkvqbizk] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkvqbizk.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\barb proc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avp] c:\windows\temp\win26.tmp.exe
O4 - HKLM\..\Run: [SC2] c:\programme\seccenter\scprot4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [road clock] C:\DOKUME~1\Besitzer\ANWEND~1\REFAIM~1\FlawMeet.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk970YYDE
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Sladur.com - Áúëãàðñêèÿò ñàéò çà çàïîçíàíñòâà - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O9 - Extra 'Tools' menuitem: sladur.com - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://curlystyle.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O20 - Winlogon Notify: xxyxwut - xxyxwut.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10574 bytes


:)

nochdigger 17.09.2007 04:55
Hallo

deinstalliere bitte den Messenge Plus! 3 der hat dir einen Schädling mitgebracht der Werbung einblendet (Lop/Swizzor), arbeite also bitte zuerst diese Anleitung zum Swizzor entfernen ab.
Relevante Einträge für dich sind :
Zitat:
O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\barb proc.exe

O4 - HKCU\..\Run: [road clock] C:\DOKUME~1\Besitzer\ANWEND~1\REFAIM~1\FlawMeet.ex e
kontrolliere per Hijackthis nach der Bereinigung, ob die Einträge auch verschwunden bleiben.

Melde dich dann bitte wieder, anschließend folgen weitere Schritte.

MFG

Santina 17.09.2007 16:44
Hmmm .. also den Messenger Plus hab ich deinstalliert... dann wollte ich per Anleitung diesen Swizzor entfernen, abeeer da kommt schon das nächste Problem: ich komme nicht in den abgesicherten Modus! :( HILFEEEE

nochdigger 17.09.2007 17:47
Hallo

Zitat:
ich komme nicht in den abgesicherten Modus!
hm, da sind auch noch Dateien dazugekommen...

Lass diese Dateien bitte auswerten und poste die Ergebnisse :
c:\windows\temp\win26.tmp.exe
c:\programme\seccenter\scprot4.exe

MFG

Santina 17.09.2007 19:10
Diese Dateien existieren nicht :(

Zitat:
Lass diese Dateien bitte auswerten und poste die Ergebnisse :
c:\windows\temp\win26.tmp.exe
c:\programme\seccenter\scprot4.exe

nochdigger 17.09.2007 21:00
Hallo

das wird ja immer besser:teufel1:

Dann fangen wir mal so an, lade dir SmitfraudFix sowie ComboFix runter.
Starte Hijackthis mit - Scan - und hake diese Einträge an wenn vorhanden :
Zitat:
O2 - BHO: Editor plugin - {3AD6B13D-A0AB-46bb-8BC5-D89874EEAB3C} - rastyu.dll (file missing)
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - (no file)
O2 - BHO: (no name) - {7378296C-1FA1-46CC-927A-059E501AFAE4} - C:\Programme\Fjafkash\uepignzj.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file)
O2 - BHO: (no name) - {8CAB5E5E-B8D2-4A7E-A478-16216798F4D5} - C:\WINDOWS\system32\winstrmd.dll
O2 - BHO: Cas - {B5F3970B-745E-46AC-B890-E08F69777D80} - (no file)
O4 - HKLM\..\Run: [lwtslqlo] rundll32.exe "C:\Programme\whkrsvqn\sfwlsjoh.dll",Init
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [dkvqbizk] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkvqbizk.dll"
O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\barb proc.exe
O4 - HKLM\..\Run: [avp] c:\windows\temp\win26.tmp.exe
O4 - HKLM\..\Run: [SC2] c:\programme\seccenter\scprot4.exe
O4 - HKCU\..\Run: [road clock] C:\DOKUME~1\Besitzer\ANWEND~1\REFAIM~1\FlawMeet.ex e
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O9 - Extra button: Sladur.com - Áúëãàðñêèÿò ñàéò çà çàïîçíàíñòâà - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O9 - Extra 'Tools' menuitem: sladur.com - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O20 - Winlogon Notify: xxyxwut - xxyxwut.dll (file missing)
klicke nun auf - fix checked - und beende Hijackthis.

Starte nun zuerst Smitfraudfix
Zitat:
* Mach einen Doppelklick auf SmitfraudFix.exe
* Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen
* Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.
* Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
Das Logfile findest du auf deiner Festplatte, normalerweise als C:\rapport.txt
Starte nun Combofix
Zitat:
Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!
Speichere dir den Inhalt vom Combofix ab.
Führe einen Neustart des Systems durch, erstelle bitte ein neues Hijackthis Log und poste es, ebenfalls den rapport.txt sowie das vom Combofix.

MFG

Santina 24.09.2007 16:50
Alsooo ich glaube das ist bald alles hoffnungslos.. wenn ich Smitfraudfix starte und es die infizierten Dateien bereinigen will, dann steht da, dass es nicht zugreifen kann, weil die Datei von einem anderen Prozess verwendet wird.. :confused:

BataAlexander 24.09.2007 17:10
Smitfraudfix muss zur Bereinigung im abgesicherten Modus ausgeführt werden.
Dann passiert sowas nicht. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19