Trojaner-Board - Windows Security Alert / Mehrere Trojaner gefunden u.a. Trojan-Spy.Win32.GreenScreen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows Security Alert / Mehrere Trojaner gefunden u.a. Trojan-Spy.Win32.GreenScreen (https://www.trojaner-board.de/58670-windows-security-alert-mehrere-trojaner-gefunden-u-a-trojan-spy-win32-greenscreen.html)

Windows Security Alert / Mehrere Trojaner gefunden u.a. Trojan-Spy.Win32.GreenScreen

Hallo Trojaner-Board,

ist mein erstes Mal hier und ich hoffe natürlich, dass man mir hier helfen können wird.

Gestern bekam ich zum ersten mal die Meldung von Vista (64bit), dass wohl ein Trojaner gefunden wurde und ich mir PC Antispy runterladen sollte. (was ich bisher noch nicht gemacht hab.)

Unter diesen Trojanern ist der im Titel genannte, aber auch noch zwei andere: "Trojan-Spy.HTML.Bankfraud.dq" und "Trojan-Spy.Win32.KeyLogger.aa"

Da ich wirklich null erfahrung habe mit Trojanern, möchte ich möglichst von Anfang an auf professionelle Hilfe zurückgreifen. Ich habe vorher schonmal ein wenig gegooglet, wollte aber nichts überstürtzen. Man stößt ja bei der Suche nach Hilfe gegen Trojanern auch auf viel Mist im Netz.

Habe wie oben schon erwähnt Windows Vista 64 SP1, habe lediglich Antivir und die WIndowseigene Firewall. An Programmen lasse ich zur Zeit den Trojan Remover durchlaufen (der läuft schon seit gestern Abend - normal?).
Ad-Aware habe ich gestern auch schon durchlaufen lassen und natürlich Antivir, beide Programme haben was gefunden, der Security Alert kommt aber immernoch.

Bevor ich jetzt noch mehr verschlimmbessere, dachte ich mir, frage ich gleich lieber bei Profis nach, damit ich Schritt für Schritt an die Sache rangehen und nichts falsch machen kann, ich hoffe auf Verständniss.

LG

Sven

Hallo

Nach meinen bisherigen Erfahrungen laufen rel. wenige Bereinigungstools auf Vista 64. Aber acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Ok, ich fang dann mal von oben an, poste alles nach und nach.

Bei HJT gabs Probleme. Das Prog hat mir gesagt, ich solle es nochmal als Administrator ausführen, komischerweise kann ich es nach rechtsklick nicht auswählen, scheinbar nur bei dieser Datei.

Hier der HJT Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:00:39, on 28.08.2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files (x86)\avmwlanstick\WLanGUI.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Users\Strangled\Desktop\qlketzd.com
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [AVMWlanClient] "C:\Program Files (x86)\avmwlanstick\wlangui.exe"

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\NVIDIA\nTune\nTuneCmd.exe" resetprofile

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Users\Strangled\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Users\Strangled\Programme\ICQ6\ICQ.exe

O13 - Gopher Prefix: 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Users\Strangled\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files (x86)\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Users\Strangled\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\NVIDIA\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: O&O Defrag - Unknown owner - C:\Windows\system32\oodag.exe (file missing)

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\SysWOW64\IoctlSvc.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\NVIDIA\UpdateCenterService.exe

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
 

--

End of file - 6982 bytes

Da ich den Volumenschattendienst deaktiviert habe, läuft die Systemwiederherstellung wohl sowieso nicht. Falls ich da was ändern soll, bitte mitteilen.

MBR Ausgabe:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: error reading MBR

Blacklight:

Code:

08/28/08 21:11:07 [Info]: BlackLight Engine 1.0.70 initialized

08/28/08 21:11:07 [Info]: OS: 6.0 build 6001 (Service Pack 1)

08/28/08 21:11:07 [Note]: 7019 4

08/28/08 21:11:07 [Note]: 7005 0

08/28/08 21:11:16 [Note]: 7006 0

08/28/08 21:11:16 [Note]: 7027 0

08/28/08 21:11:16 [Note]: 7035 0

08/28/08 21:11:16 [Note]: 7026 0

08/28/08 21:11:16 [Note]: 7026 0

08/28/08 21:11:17 [Note]: FSRAW library version 1.7.1024

08/28/08 21:11:39 [Note]: 4015 11424

08/28/08 21:11:39 [Note]: 4027 11424 131072

08/28/08 21:11:39 [Note]: 4020 11421 131072

08/28/08 21:11:39 [Note]: 4018 11421 131072

08/28/08 21:12:19 [Note]: 4015 2866

08/28/08 21:12:19 [Note]: 4027 2866 65536

08/28/08 21:12:19 [Note]: 4020 719 65536

08/28/08 21:12:19 [Note]: 4018 719 65536

08/28/08 21:14:02 [Note]: 2000 1012

08/28/08 21:15:05 [Note]: 7007 0

Malwarebytes Antimalware:

Code:

Malwarebytes' Anti-Malware 1.25

Datenbank Version: 1092

Windows 6.0.6001 Service Pack 1
 

21:49:37 28.08.2008

mbam-log-08-28-2008 (21-49-37).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 139451

Laufzeit: 26 minute(s), 1 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 20

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

So, Combofix mach ich jetzt, poste ich dann später.

Habe Combofix ausprobiert, es startet aber unter Vista nicht, gibt wohl Kompatibilitätsprobleme. Bekomme auch angezeigt, dass es nur unter Win 2000 und XP läuft.

Mit Vista ist das so ne Sache und erst recht mit dem Vista64. Benenn mal die hijackthis.exe in pruef.exe um und führt es als Admin über nem Rechtsklick aus. Das funktioniert nach meinen Erfahrungen bisher nur mit exe-Files aber nicht wenn die Datei die Endung *.com hat.

Für 64 Bit-OS gibt es ein extra Filelistingtool führ das mal aus und poste die Ausgabe. Lad die Datei vom listing notfalls gezippt bei file-upload.net hoch und verlink es hier, da manche Dateien zu groß für dieses Board sein können.

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: CA63-C069
 

 Verzeichnis von C:\
 

29.08.2008  13:31     6.437.208.064 pagefile.sys

28.08.2008  22:06             1.133 Bug.txt

25.02.2008  13:21             8.192 BOOTSECT.BAK

19.01.2008  09:45           333.203 bootmgr

23.09.2005  01:39           894.976 msdia80.dll

               5 Datei(en),  6.438.445.568 Bytes

               0 Verzeichnis(se), 221.268.865.024 Bytes frei

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: CA63-C069
 

 Verzeichnis von C:\Windows
 

29.08.2008  13:36         1.531.294 WindowsUpdate.log

29.08.2008  13:32            67.584 bootstat.dat

29.08.2008  13:31               422 PFRO.log

18.06.2008  21:32                 0 oodcnt.INI

15.05.2008  01:29             1.721 cdplayer.ini

19.03.2008  16:35               749 WindowsShell.Manifest

28.02.2008  17:38           972.072 UNNeroMediaHome.exe

26.02.2008  22:10           127.034 bwUnin-8.1.1.50-8876480SL.exe

26.02.2008  16:14           972.072 UNRecode.exe

26.02.2008  02:16                26 Irremote.ini

26.02.2008  01:15           525.792 DIFxAPI.dll

26.02.2008  00:51           315.392 HideWin.exe

25.02.2008  13:32               219 win.ini

13.02.2008  15:59           128.512 RTKAUDIOSERVICE.EXE

13.02.2008  14:51         5.684.736 RAVCpl64.exe

19.01.2008  10:00            39.936 splwow64.exe

19.01.2008  10:00           161.792 regedit.exe

19.01.2008  10:00           169.472 notepad.exe

19.01.2008  10:00           734.720 HelpPane.exe

19.01.2008  10:00            14.848 fveupdate.exe

19.01.2008  10:00         3.080.704 explorer.exe

19.01.2008  10:00            65.536 bfsvc.exe

12.12.2007  21:04            39.968 nvoclk64.sys

12.12.2007  21:04           576.000 ntuneoem.dll

12.12.2007  20:58            39.968 nvflsh64.sys

20.11.2007  19:15         1.826.816 SkyTel.exe

14.11.2007  16:18               553 USetup.iss

07.11.2007  18:31         1.363.968 RtlUpd64.exe

26.07.2007  18:09           520.192 RtlExUpd.dll

11.04.2007  16:34           134.416 KHALMNPR.Exe

21.03.2007  20:02           972.336 UNNeroVision.exe

20.03.2007  20:22           972.336 UNNeroBackItUp.exe

28.02.2007  15:41           972.336 UNNeroShowTime.exe

28.12.2006  02:00             7.045 instwcli.inf

28.12.2006  02:00            68.096 avmadd32.dll

28.12.2006  01:00           147.456 instwcli.dex

02.11.2006  17:02           316.640 WMSysPr9.prx

02.11.2006  17:00            49.680 twunk_16.exe

02.11.2006  17:00            50.688 twain_32.dll

02.11.2006  17:00            31.232 twunk_32.exe

02.11.2006  17:00            94.784 twain.dll

02.11.2006  13:15            15.872 hh.exe

02.11.2006  11:45             9.216 winhlp32.exe

02.11.2006  10:26            43.131 mib.bin

19.09.2006  13:41             4.261 Ultimate.xml

18.09.2006  23:44               219 system.ini

18.09.2006  23:30             1.405 msdfmap.ini

15.09.2005  13:35                50 UNNeroMediaHome.cfg

30.08.2005  20:37                50 UNNeroVision.cfg

30.08.2005  20:37                50 UNNeroShowTime.cfg

30.08.2005  20:36                50 UNRecode.cfg

30.08.2005  20:33                50 UNNeroBackItUp.cfg

              52 Datei(en),     22.853.497 Bytes

               0 Verzeichnis(se), 221.268.852.736 Bytes frei

system32 + SysWOW64 Ausgabe zum download, da zu groß:

h**p://www.file-upload.net/download-1076177/system32.txt.html

h**p://www.file-upload.net/download-1076181/SysWOW64.txt.html

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: CA63-C069
 

 Verzeichnis von C:\Users\STRANG~1\AppData\Local\Temp
 

29.08.2008  13:36             4.770 MpSigStub.log

29.08.2008  13:32            31.832 Strangled.bmp

29.08.2008  00:24            13.592 temp.ani

29.08.2008  00:24           204.800 drm_dyndata_7370014.dll

25.02.2008  13:35                 0 FXSAPIDebugLogFile.txt

               5 Datei(en),        254.994 Bytes

               0 Verzeichnis(se), 221.268.635.648 Bytes frei

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: CA63-C069
 

 Verzeichnis von C:\Windows\Temp
 

29.08.2008  01:51             2.472 MpCmdRun.log

               1 Datei(en),          2.472 Bytes

               0 Verzeichnis(se), 221.268.635.648 Bytes frei

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: CA63-C069
 

 Verzeichnis von C:\Windows\Downloaded Program Files
 

20.11.2007  16:50               247 swflash.inf

08.10.2007  21:21               367 LegitCheckControl.inf

18.09.2006  23:24                65 desktop.ini

               3 Datei(en),            679 Bytes

               0 Verzeichnis(se), 221.268.635.648 Bytes frei

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: CA63-C069
 

 Verzeichnis von C:\Users\Strangled
 

29.08.2008  15:38         2.883.584 NTUSER.DAT

29.08.2008  15:38           262.144 ntuser.dat.LOG1

29.08.2008  04:11            65.536 NTUSER.DAT{a7bdf3ed-6a85-11db-b5ae-f1534be43d84}.TM.blf

29.08.2008  04:11           524.288 NTUSER.DAT{a7bdf3ed-6a85-11db-b5ae-f1534be43d84}.TMContainer00000000000000000001.regtrans-ms

18.06.2008  21:00             1.024 .rnd

25.02.2008  13:44           524.288 NTUSER.DAT{a7bdf3ed-6a85-11db-b5ae-f1534be43d84}.TMContainer00000000000000000002.regtrans-ms

25.02.2008  13:31                20 ntuser.ini

25.02.2008  13:31                 0 ntuser.dat.LOG2

               8 Datei(en),      4.260.884 Bytes

               0 Verzeichnis(se), 221.268.631.552 Bytes frei

Hoffe, das ist alles richtig so.
Was ist mit dem Combofix Problem? Gibts da ne 64bit Version?

LG

Ich vermute da gibs (noch) kein Combofix64. :rolleyes:
Wie ist denn momentan der Zwischenstand? Ist das

Zitat:

Windows Security Alert / Mehrere Trojaner gefunden u.a. Trojan-Spy.Win32.GreenScr

noch vorhanden?

Also das Warnfenster ist nicht mehr aufgetaucht.
Es gab da noch unter den Autostartprogrammen so 2-3, die sehr seltsame Namen hatten und mir nicht bekannt waren. Als ich die deaktiviert hatte, kam die Warnmeldung auch schon nicht mehr.

Sorry für Doppelpost.

Wie soll ich nun weiter vorgehen?

Oder kann ich davon ausgehen, dass es so ne Art Fake Warnmeldung war um Werbung für Antiviren bzw. Antimalware Programme zu machen?

Zitat:

Zitat von Bloodfield (Beitrag 367678)

Oder kann ich davon ausgehen, dass es so ne Art Fake Warnmeldung war um Werbung für Antiviren bzw. Antimalware Programme zu machen?

Genau das wars wohl. Die hinterlassen normalerweise rel. viel, aber in Deinen Logfiles lässt sich davon nicht viel sehen.

Mag wohl daran liegen, dass es ein Vista64 ist, so vemute ich mal. Das tickt ein wenig anders als ein 32-Bit-Windows, daher hat man da auch (leider) rel. wenig Möglichkeiten mit den Bereinungstools, die scheinen alle inkompatibel mit Vista64 zu sein...werd das vllt mal zur Diskussion stellen. ;)

Ja, das gute 64bit. Mittlerweile bereuhe ich es auch, mich damals nicht anders entschieden zu haben.
Aber was solls, vielen Dank für die Hilfe jedenfalls! Das Warnfenster war schon nervig und wenns nur ein Fake war, umso besser. Danke!

Achso, hab den Strang für die Diskussion erstellt, falls es Dich interessiert: http://www.trojaner-board.de/58947-a...t-windows.html