Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ebenfalls VIRUS ALERT (https://www.trojaner-board.de/55345-ebenfalls-virus-alert.html)

Halli_G 03.07.2008 22:12
ebenfalls VIRUS ALERT
 
Hallo Zusammen.

habe ebenfalls das Problem mit dem VIRUS ALTER in der Taskleiste.
nur etwas anders als bis jetzt schon beschrieben, habe die anderen Beiträge schon gelesen.

Habe Malware-AntiMaleware nicht auf meinem Rechner. Leider lässt sich nichts installieren, d.h. beim Doppelklick passiert einfach nichts.
ComboFix funktioniert auch nicht.
Auf den Taskmanager kann ich wieder zugreifen.

Anbei Hijack.txt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11: VIRUS ALERT!, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender professional edition\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [b8469b5f] rundll32.exe "C:\WINDOWS\system32\wadmpjpw.dll",b
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - h**p://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6376 bytes


und SmitFraudFix.txt

SmitFraudFix v2.128

Scan done at 22:02:39,32, 03.07.2008
Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csxji.exe"


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Hoffentlich könnte ihr mir helfen.

danke im voraus Halli.

-SilverDragon- 04.07.2008 15:39
Hallo und :hallo:

Lasse bitte folgende Datei bei Virustotal überprüfen:
Code:
C:\WINDOWS\system32\wadmpjpw.dll
Poste das Ergebnis komplett ins Forum.

Bitte editiere noch aktive Links und persönliche Informationen im Logfile!

Halli_G 07.07.2008 17:11
Hallo Silver,

sorry anfängerfehler mit dem Logfiles.

Ich kann die Datei leider nicht auf das Portal laden, weil ich nicht auf virustotal komme. auf einem anderen Rechner geht das irgendwie auch nicht, weil er schreit, das ich keine berechtigung habe...mist verdammter.

-SilverDragon- 08.07.2008 10:13
Tipp oben in die Adresszeile www.Virustotal.com ein oder klicke auf meinen Link und lade die Datei auf den Server hoch.
Wieso bist du nicht auf Virustotal gekommen??

Halli_G 08.07.2008 12:00
Auf meinem Rechner, wo der Virus/-en daruf ist/ sind, läuft nur noch der Internetexplorer. Firefox lässt sich nicht starten. Im Internetexploren, kann ich keine Links starten, als muss ich alles in die adressleiste eintippen. Bei Virustotal sagt mein "toller" Explorer das die Seite nicht gefunden werden kann.
Ist es möglich die von einem anderen Rechner aus hochzuladen? Wahrscheinlich eher nicht.

CCleaner habe ich auch schon drüberlaufen lassen. Irgendwie lässt sich nichts machen, weil ich auch nichts installieren kann. :headbang:

myrtille 08.07.2008 12:08
Hi,

nur ein kleiner Hinweis:
Dein Smitfraudfixversion ist hoffnunglos veraltet. Aktuell ist 2.329, du hat 2.128.

Die Version ist ein Jahr halt und es ist ganz normal, dass sie nicht mit dem aktuellen Befall fertig wird. :p

lg myrtille

Halli_G 08.07.2008 15:00
ohh danke. das kann sein.
Dann werde ich mal die neue drüberlaufen lassen...hoffentlich ergibt sich was.

Halli_G 08.07.2008 18:18
Ok. Leider kann auch die .exe nicht ausführen. Ich komme zwar bis zu dem "Unbekannter Herausgeber...[Ausführen][Abbrechen]"- Fenster, aber danach passiert nicht.
Habt ihr noch irgendwelche Ideen? Sonst muss ich meinen Rechner leider formatieren, wenn nichts hilft. :schrei:

myrtille 08.07.2008 18:24
Hi,

warst du im abgesicherten Modus? Wenn nicht, dann versuch das bitte mal.
Wir haben noch ein paar Möglichkeiten, die wir ausloten können, bevor du neuaufsetzt.

lg myrtille

Halli_G 08.07.2008 18:33
Danke für den Hoffnungsschimmer.
Leider tut sich auch im abgesichtern Modus nichts.

myrtille 08.07.2008 18:42
Lade dir bitte die angehängte Datei herunter.

Öffne sie dann mit Notepad, gehe auf "Speichern unter" wähle dort als Namen "Anti.bat", als Dateityp "Alle Dateien" und als Codierung "ANSI".

Führe die Datei Anti.bat anschließend per Doppelklick aus. Poste bitte den Inhalt des sich öffnenden Editorfensters.

lg myrtille

Halli_G 08.07.2008 18:51
Hallo myrtille,

leider öffnete sich keine editor fenster und bei allen ausführungen, außer zweien, stand da: "Das angegebene Modul wurde nicht gefunden"

die zwei die er gefunden hat waren:

DllRegisterServer in olch2x8.ocx erfolgreich durchgeführt
DllRegisterServer in CCXPButton.ocx erfolgreich durchgeführt

myrtille 08.07.2008 19:12
Ok, anderer Ansatz:

Welche Dateien/Programme kannst du noch ausführen?
Geht Bitdefender noch? Findet das Programm etwas?
Kannst du Malwarebytes herunterladen und ausführen?
Kannst du DSS herunterladen und ausführen?

Kannst du eventuell die genannten Dateien/Programme (und auch nochmal Smitfraudfix und Combofix) von einem anderen Rechner herunterladen und per USB-Stick auf den aktuellen Rechner übertragen?
(Wenn ja, benenn bitte alle Programme um. Zb in Programm1.exe, Programm2.exe, etc... )


Wenn nichts davon geht, wechsele bitte in den abgesicherten Modus und rufe Hijackthis auf.
Fixe die folgenden Einträge:
Zitat:
O4 - HKLM\..\Run: [b8469b5f] rundll32.exe "C:\WINDOWS\system32\wadmpjpw.dll",b
R3 - Default URLSearchHook is missing
Lösche dann bitte folgende Dateien: Dateien sichtbar machen

Zitat:
C:\WINDOWS\system32\wadmpjpw.dll
csxji.exe <- sollte im Windows oder System32-Ordner zu finden sein.
Erstelle danach ein neus Hijackthislog und poste es hier.

Schau bitte außerdem nach ob die Datei reg.exe im Ordner C:\windows\system32 existiert und wie groß sie ist.

lg myrtille

Halli_G 09.07.2008 07:36
Super. Hat geklappt mit dem Umbennen. Konnte Smitfraudfix ausführen. Danach war das Virus Alert weg. Habe dann Anit-Malware installiert und durchlaufen lassen.

Anbei die Logfiles:

Anitmalware

PHP-Code:
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2

08:24:22 09.07.2008
mbam-log-7-9-2008 (08-24-22).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|G:\|H:\|J:\|)
Objekte gescannt: 319794
Scan Dauer: 1 hour(s), 49 minute(s), 39 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 22

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\bmxqsgei.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\opnmnNEW.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\khfGwuSi.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9a998ca7-6a9a-4257-afbe-59c1fa6b0a17} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{9a998ca7-6a9a-4257-afbe-59c1fa6b0a17} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{43fe53cd-0847-4965-ab7d-cc06a69d193e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfgwusi (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{08cb7581-45ce-46ec-8f63-a4a205b6c304} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{285e615e-7eb8-41a8-bea6-7914b92ff497} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gxvpsafm.bfpb (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b8469b5f (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnmnnew -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnmnnew  -> Delete on reboot.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\opnmnNEW.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\WENnmnpo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WENnmnpo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bmxqsgei.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\iegsqxmb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\neignnyy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yynngien.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ovvgfymb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bmyfgvvo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E1ZPFC3V\226[1].exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E1ZPFC3V\Install_226_-1_[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\pntqkflv.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cdosys.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\vmdesched.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfGwuSi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\tovafrnm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\qegbdmwf.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gxvpsafm.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Install.dat (Trojan.Agent) -> Quarantined and deleted successfully. 
SmitFraudFix:

PHP-Code:
SmitFraudFix v2.328

Scan done at 23:44:36,5108.07.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OSMicrosoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attentionfollowing keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2FixLSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\privacy_dangerDeleted
C:\DOKUME~1\***~1\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\***~1\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\***~1\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
CreditsMalware Analysis Diagnostic
CodeS!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
CreditsMalware Analysis Diagnostic
CodeS!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

DescriptionNETGEAR 108 Mbps Wireless PCI Adapter WG311T Paketplaner-Miniport
DNS Server Search Order195.50.140.178
DNS Server Search Order195.50.140.114

HKLM\SYSTEM\CCS\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CS3\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM\SYSTEM\CCS\Services\Tcpip\ParametersDhcpNameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS1\Services\Tcpip\ParametersDhcpNameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS3\Services\Tcpip\ParametersDhcpNameServer=195.50.140.178 195.50.140.114


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attentionfollowing keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csxji.exe"


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attentionfollowing keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End 
Hijackthis:

PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:14on 09.07.2008
PlatformWindows XP SP2 (WinNT 5.01.2600)
MSIEInternet Explorer v7.00 (7.00.6000.16674)
Boot modeNormal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 ToolbarEPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 HKLM\..\Run: [BDMConc:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 HKLM\..\Run: [BDNewsAgentc:\programme\softwin\bitdefender professional edition\bdnagent.exe
O4 HKLM\..\Run: [BDSwitchAgentC:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 HKLM\..\Run: [NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe
O4 HKLM\..\Run: [SunJavaUpdateSched"C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 HKLM\..\Run: [FreePDF AssistantC:\Programme\FreePDF_XP\fpassist.exe
O4 HKCU\..\Run: [H/PC Connection Agent"C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 HKCU\..\Run: [ctfmon.exeC:\WINDOWS\system32\ctfmon.exe
O4 HKUS\S-1-5-19\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 HKUS\S-1-5-20\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 HKUS\S-1-5-18\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 HKUS\.DEFAULT\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global StartupNETGEAR WG311T Smart Wizard.lnk C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 Extra context menu item: &ICQ Toolbar Search res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 Extra context menu itemNach Microsoft &Excel exportieren res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 Extra context menu itemNach Microsoft E&xel exportieren res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 Extra buttonMobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 Extra 'Tools' menuitemMobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 Extra buttonResearch - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 Extra buttonICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 Extra 'Tools' menuitemICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 Extra buttonMessenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 Extra 'Tools' menuitemWindows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 ServiceAtheros Configuration Service (ACS) - Unknown owner C:\WINDOWS\system32\acs.exe
O23 ServiceAti HotKey Poller Unknown owner C:\WINDOWS\System32\Ati2evxx.exe
O23 ServiceATI Smart Unknown owner C:\WINDOWS\system32\ati2sgag.exe
O23 ServiceBackbone Service (BBDemon) - Dassault Systemes C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 ServiceBitDefender Scan Server (bdss) - Unknown owner C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 ServiceInstallDriver Table Manager (IDriverT) - Macrovision Corporation C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 ServiceLightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 ServiceMATLAB Server (matlabserver) - Unknown owner C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 ServiceRemote Solver for COSMOSFloWorks 2007 Unknown owner C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
O23 ServiceSolidWorks Licensing Service SolidWorks C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 ServiceBitDefender Virus Shield (VSSERV) - Unknown owner C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 ServiceBitDefender Communicator (XCOMM) - Softwin C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file 6165 bytes 
Super. Es geht vorwärts ;). Danke dir myrtille

myrtille 09.07.2008 08:21
Hi,

freut mich zu hören, dass es dem Rechner wieder besser geht. :D

Ich bräuchte noch ein Log von DSS. Bitte einfach runterladen, per doppelklick ausführen. Es sollten 2 Reports geöffnet werden, diese bitte hier posten. :)

Nimm statt der phpcode-tags bitte die reinen [code]-tags... php macht komische Sachen mit den Logs. :p

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:58 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131