Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Diverse Malware ruft Adseiten auf (https://www.trojaner-board.de/65132-diverse-malware-ruft-adseiten.html)

TS1984 25.11.2008 14:51
Diverse Malware ruft Adseiten auf
 
Hallo,
leider habe ich gestern eine Datei geöffnet, welche offensichtlich mit Schädlingen befallen war, da beim Öffnen direkt diverse Virenwarnungen von AntiVir kamen. Die Malwarewarnungen bezogen sich konkret auf folgende Schädlinge:
TR/Dldr.VB.iqv' [trojan]
DR/Dldr.Agent.aopb' [dropper]
DR/BHO.dwj' [dropper]
HEUR/Crypted' [heuristic]
TR/Crypt.CFI.Gen' [trojan]
EXP/MS05-013' [exploit]
TR/Buzus.adbl.1' [trojan]

Ich habe sämtliche Funde mittels AntiVir gelöscht, jedoch öffnet sich seitdem in regelmäßigen Abständen Firefox und versucht auf die Seite h**p://ads.globaladsolution.com/bc/1stpageads.php zuzugreifen, woraufhin aber nur folgende Fehlermeldung im Browser angezeigt wird:

"Error - Ads need to be loaded from adcode, if you keep getting this error contact your account rep."

Nachfolgend mein HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:22:57, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: globaladsolution - {6b59562a-b48b-1b33-d996-0ea0fa10f13d} - C:\WINDOWS\system32\nsx69.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: globaladsolution browser enhancer - {D85143F4-3EBD-7E5C-EDD0-77358D937B23} - C:\WINDOWS\system32\lcorxsldtrpcn.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7351 bytes

Ich wäre sehr erleichtert, wenn ich um eine Formatierung herumkommen könnte. Vielen Dank schonmal im Voraus für jede Hilfe!

Thomas

cosinus 25.11.2008 16:18
Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\nsx69.dll
C:\WINDOWS\system32\lcorxsldtrpcn.dll
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

TS1984 25.11.2008 21:01
So, fertig mit der ganzen Prozedur! Vielen Dank schonmal für die Antwort! Leider musste ich in 2 Beiträgen schreiben, weil das Forum die Zeichenzahl meines Beitrags nicht akzeptieren wollte; ich hoffe das macht nichts.

1) Zunächst die Virustotal-Scans (leider habe ich die Scans erst nach den anderen Schritten gemacht, hoffentlich sind die Ergebnisse trotzdem aufschlussreich):

Code:
Datei iesvcmon.exe empfangen 2008.11.23 14:14:05 (CET)
Status: Beendet
Ergebnis: 5/36 (13.89%)
Dateigröße: 1,44 MB (1.515.520 Bytes)

Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        -        -        -
AntiVir        -        -        -
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        VB.FIU
BitDefender        -        -        -
CAT-QuickHeal        -        -        -
ClamAV        -        -        -
DrWeb        -        -        -
eSafe        -        -        -
eTrust-Vet        -        -        -
Ewido        -        -        -
F-Prot        -        -        -
F-Secure        -        -        Suspicious:W32/VB.bbx!Gemini
Fortinet        -        -        -
GData        -        -        -
Ikarus        -        -        -
K7AntiVirus        -        -        -
Kaspersky        -        -        -
McAfee        -        -        Puper
Microsoft        -        -        -
NOD32        -        -        -
Norman        -        -        -
Panda        -        -        -
PCTools        -        -        -
Prevx1        -        -        Cloaked Malware
Rising        -        -        -
SecureWeb-Gateway        -        -        -
Sophos        -        -        -
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        -
TrendMicro        -        -        -
VBA32        -        -        suspected of Trojan-PSW.Lmir.14 (paranoid heuristics)
ViRobot        -        -        -
VirusBuster        -        -        -
weitere Informationen
MD5: 903e3b330bb16cbbd72679db38ff953b
SHA1: fa0aa948a772b299d201f7feac31d490c709e4c0
SHA256: 26f5ae5dc2c99e80a77bf9573510882a7bc37f95f5e29ea607baa41fba6191f5
SHA512: e4793f11442da781887b6d32da46fbba1ff57431a8ca0d4da8cc6c307161d2120de20e24ea45ec35093b963fae7fda79fa6b8a54d10baba86fef64a3796d1960

----------------------------------------------------------------------------------------------


 Datei nsx69.dll empfangen 2008.11.25 20:15:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/37 (8.11%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 11.
Geschätzte Startzeit is zwischen 85 und 122 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.

Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.11.24.3        2008.11.25        -
AntiVir        7.9.0.35        2008.11.25        -
Authentium        5.1.0.4        2008.11.25        -
Avast        4.8.1281.0        2008.11.24        -
AVG        8.0.0.199        2008.11.25        -
BitDefender        7.2        2008.11.25        -
CAT-QuickHeal        10.00        2008.11.25        -
ClamAV        0.94.1        2008.11.25        -
DrWeb        4.44.0.09170        2008.11.25        -
eSafe        7.0.17.0        2008.11.25        -
eTrust-Vet        31.6.6227        2008.11.25        -
Ewido        4.0        2008.11.25        -
F-Prot        4.4.4.56        2008.11.25        -
F-Secure        8.0.14332.0        2008.11.25        -
Fortinet        3.117.0.0        2008.11.25        -
GData        19        2008.11.25        -
Ikarus        T3.1.1.45.0        2008.11.25        AdWare.Win32.MxLiveMedia
K7AntiVirus        7.10.533        2008.11.25        -
Kaspersky        7.0.0.125        2008.11.25        -
McAfee        5444        2008.11.24        -
McAfee+Artemis        5444        2008.11.24        -
Microsoft        1.4104        2008.11.25        Adware:Win32/MxLiveMedia
NOD32        3640        2008.11.25        -
Norman        5.80.02        2008.11.25        -
Panda        9.0.0.4        2008.11.25        -
PCTools        4.4.2.0        2008.11.25        -
Prevx1        V2        2008.11.25        -
Rising        21.05.12.00        2008.11.25        -
SecureWeb-Gateway        6.7.6        2008.11.25        -
Sophos        4.35.0        2008.11.25        -
Sunbelt        3.1.1823.2        2008.11.22        -
Symantec        10        2008.11.25        -
TheHacker        6.3.1.1.162        2008.11.25        -
TrendMicro        8.700.0.1004        2008.11.25        -
VBA32        3.12.8.9        2008.11.25        -
ViRobot        2008.11.25.1485        2008.11.25        -
VirusBuster        4.5.11.0        2008.11.25        Adware.Adrotator.Gen.2
weitere Informationen
File size: 555008 bytes
MD5...: 691235aba5c42ce8a4783913b5572f48
SHA1..: bcc2a1feebe3d88d5f01ae6c97921dd8513050bb
SHA256: a51a10688adac8d67b1833493845eb499989891bc9e18cfa25749029f3aaa22f
SHA512: 7133ec5cc09c400f017bcbf693500a215c56ae129b3bec3ef1dc96fa31a48362
b7690ebbe325b1d6c9591fab2b59a9dd48bf81984caf3ecd565a1a1c0801e07a
ssdeep: 12288:X+dPFAoioTT4Ydj6ujs899cH3MSl9e5j5+FZGL7az9JfC9wTB506g3LnKC
:XWMqT4Y3b9iH3MSep5qCGTB50p7KC
PEiD..: -
TrID..: File type identification
DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10047b41
timedatestamp.....: 0x49073e56 (Tue Oct 28 16:31:18 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x693b3 0x69400 6.76 60d5752132fa6bf830a1b3ec9dbaf313
.rdata 0x6b000 0x136da 0x13800 4.85 dfc0bbd18989dd5a473d98c944955af8
.data 0x7f000 0x4efc 0x1800 3.68 cb83fa1d04ea9d706bddc3b18526f2fc
.rsrc 0x84000 0x4a0 0x600 4.54 74d9fe786082b42abeecaa5bed867691
.reloc 0x85000 0x889a 0x8a00 5.92 5ca48fa9516a328d84c4824248f3ab78

( 10 imports )
> SHLWAPI.dll: StrStrIW, UrlGetPartW, UrlEscapeW, PathMatchSpecW, UrlUnescapeW, StrCmpIW
> KERNEL32.dll: GetCommandLineA, CompareStringW, CompareStringA, InterlockedIncrement, InterlockedDecrement, EnterCriticalSection, DeleteCriticalSection, GetProcAddress, LoadLibraryA, MultiByteToWideChar, GetDriveTypeA, GetProcessHeap, SetEndOfFile, CreateFileA, GetModuleHandleA, GetTimeZoneInformation, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, InitializeCriticalSectionAndSpinCount, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, GetCurrentDirectoryA, SetFilePointer, GetDateFormatA, GetTimeFormatA, IsValidCodePage, GetOEMCP, GetACP, FlushFileBuffers, GetConsoleMode, GetConsoleCP, ReadFile, WriteFile, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetFullPathNameW, InitializeCriticalSection, LeaveCriticalSection, FreeLibrary, WideCharToMultiByte, CreateMutexW, WaitForSingleObject, ReleaseMutex, CloseHandle, Sleep, GetModuleFileNameA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, HeapReAlloc, VirtualAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetLastError, HeapFree, GetCurrentThreadId, SetEnvironmentVariableA, GetSystemTimeAsFileTime, ExitThread, CreateThread, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeW, FindFirstFileW, RaiseException, RtlUnwind, LCMapStringA, LCMapStringW, GetCPInfo, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapCreate, HeapDestroy, VirtualFree
> USER32.dll: GetWindowLongW, wsprintfW, SetWindowTextW, SetWindowPos, SetWindowLongW, EnumChildWindows, RealGetWindowClassW, GetWindowTextW, SendMessageW, CallWindowProcW
> ole32.dll: CoUninitialize, CoCreateInstance, CoTaskMemFree, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WS2_32.dll: -
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> urlmon.dll: UrlMkGetSessionOption
> imagehlp.dll: MapAndLoad, UnMapAndLoad
> SHELL32.dll: SHCreateDirectoryExW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer


----------------------------------------------------------------------------------------

 Datei lcorxsldtrpcn.dll empfangen 2008.11.25 20:18:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/37 (45.95%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.

Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.11.24.3        2008.11.25        Win-Trojan/Rotator.172544.I
AntiVir        7.9.0.35        2008.11.25        -
Authentium        5.1.0.4        2008.11.25        W32/AdRotator.B.gen!Eldorado
Avast        4.8.1281.0        2008.11.24        -
AVG        8.0.0.199        2008.11.25        Adload_r.EC
BitDefender        7.2        2008.11.25        Generic.Adw.Rotator.FE42F158
CAT-QuickHeal        10.00        2008.11.25        -
ClamAV        0.94.1        2008.11.25        Adware.AdRotator-10
DrWeb        4.44.0.09170        2008.11.25        -
eSafe        7.0.17.0        2008.11.25        -
eTrust-Vet        31.6.6227        2008.11.25        Win32/AdClicker
Ewido        4.0        2008.11.25        -
F-Prot        4.4.4.56        2008.11.25        W32/AdRotator.B.gen!Eldorado
F-Secure        8.0.14332.0        2008.11.25        AdWare.Win32.Agent.hem
Fortinet        3.117.0.0        2008.11.25        Adware/AdClicker
GData        19        2008.11.25        Generic.Adw.Rotator.FE42F158
Ikarus        T3.1.1.45.0        2008.11.25        Virus.Win32.Adload
K7AntiVirus        7.10.533        2008.11.25        -
Kaspersky        7.0.0.125        2008.11.25        not-a-virus:AdWare.Win32.Agent.hem
McAfee        5444        2008.11.24        AdClicker-GI
McAfee+Artemis        5444        2008.11.24        AdClicker-GI
Microsoft        1.4104        2008.11.25        Adware:Win32/AdRotator
NOD32        3640        2008.11.25        -
Norman        5.80.02        2008.11.25        -
Panda        9.0.0.4        2008.11.25        -
PCTools        4.4.2.0        2008.11.25        -
Prevx1        V2        2008.11.25        -
Rising        21.05.12.00        2008.11.25        -
SecureWeb-Gateway        6.7.6        2008.11.25        -
Sophos        4.35.0        2008.11.25        SuperiorAds
Sunbelt        3.1.1823.2        2008.11.22        -
Symantec        10        2008.11.25        -
TheHacker        6.3.1.1.162        2008.11.25        -
TrendMicro        8.700.0.1004        2008.11.25        -
VBA32        3.12.8.9        2008.11.25        -
ViRobot        2008.11.25.1485        2008.11.25        -
VirusBuster        4.5.11.0        2008.11.25        Adware.Adrotator.Gen.2
weitere Informationen
File size: 173056 bytes
MD5...: de0f4bbf93f819d8a8f3cec8d76ed697
SHA1..: ba0de6a81a5d1bb1421edecf359a2c0b88b5ac08
SHA256: dead1652739e66c3c3eca33c8c8fa131c9f55474b3f56c0880576c9cc078fe79
SHA512: a9d8fc9af8692baeaee0da76bcdeb9af1ee15e376309c8ad725f6e6a3c99cbd8
f20319af3b0425c81915dc01020d93301385323c45492a6344cfd62331b16298
ssdeep: 3072:paJw9fCgYeDT14cD37ENdWBaC1y2ak5ix:pR9fWeCcDo8Baqab
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000fc48
timedatestamp.....: 0x490745bc (Tue Oct 28 17:02:52 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ecff 0x1ee00 6.68 c4993331a148443565afc0b8369ccb28
.rdata 0x20000 0x6c4b 0x6e00 5.37 f4f64fd8a3c1803c00a2c82b8d3e8dcb
.data 0x27000 0x33e4 0x1800 3.92 205868de80a3d4cb1e4aab737dae00a5
.rsrc 0x2b000 0x34c 0x400 4.69 119f993e12f49a1739e2bb96f9406f97
.reloc 0x2c000 0x271a 0x2800 4.96 507008178713da89e721a15bb9e03a09

( 8 imports )
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> SHLWAPI.dll: StrCmpIW, StrStrIW, PathStripPathW, UrlEscapeW, SHDeleteKeyW
> KERNEL32.dll: ExitThread, WaitForSingleObject, CreateThread, Sleep, GetModuleFileNameW, OpenMutexW, GetSystemTime, CreateEventW, OpenProcess, CreateMutexW, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpW, GetTickCount, SystemTimeToFileTime, GetLocalTime, LocalFree, LoadLibraryA, FreeLibrary, ExpandEnvironmentStringsW, WideCharToMultiByte, MultiByteToWideChar, GetTempFileNameW, GetEnvironmentVariableW, LocalAlloc, VirtualQuery, GetVolumeInformationW, LoadLibraryW, GetSystemInfo, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetProcAddress, CreateProcessW, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrlenW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetWindowsDirectoryW, GetFileType, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, ExitProcess, HeapSize, GetModuleHandleA, SetLastError, TlsFree, TlsSetValue, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc
> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, GetWindowThreadProcessId, SetActiveWindow, SendMessageW, GetPropW, RemovePropW, SetWindowTextW, SetPropW, IntersectRect, InflateRect, ClientToScreen, PeekMessageW, MsgWaitForMultipleObjects, TranslateMessage, DispatchMessageW, GetClassNameW, PostMessageW, OffsetRect
> ADVAPI32.dll: CryptCreateHash, CryptGetHashParam, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, CryptGenRandom, CryptAcquireContextW, CryptHashData, CryptDestroyHash, CryptReleaseContext, RegQueryValueExW, RegCreateKeyW, RegCreateKeyExW, RegSetValueW, RegDeleteValueW, RegOpenKeyExW, RegSetValueExW, RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
3) Die Ergebnisse des MBR-Tools:

Code:
http://www.file-upload.net/download-1276947/MBR-log.rar.html
4) Ergebnisse von Blacklight:

Code:
11/25/08 17:27:07 [Info]: BlackLight Engine 2.2.1092 initialized
11/25/08 17:27:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/25/08 17:27:07 [Note]: 7019 4
11/25/08 17:27:07 [Note]: 7005 0
11/25/08 17:27:13 [Note]: 7006 0
11/25/08 17:27:13 [Note]: 7011 1440
11/25/08 17:27:13 [Note]: 7035 0
11/25/08 17:27:13 [Note]: 7026 0
11/25/08 17:27:13 [Note]: 7026 0
11/25/08 17:27:15 [Note]: FSRAW library version 1.7.1024
11/25/08 17:30:32 [Note]: 2000 1012
11/25/08 17:30:32 [Note]: 2000 1012
Ergebnisse von Malwarebytes Antimalware:

Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

25.11.2008 18:23:14
mbam-log-2008-11-25 (18-23-14).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139506
Laufzeit: 37 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.

TS1984 25.11.2008 21:02
5)
logfile von silentrunners:
Code:
http://www.file-upload.net/download-1276876/silentrunners.rar.html
6)
Combofix-log:
Code:
ComboFix 08-11-24.03 - Besitzer 2008-11-25 19:48:52.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1633 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.

(((((((((((((((((((((((  Dateien erstellt von 2008-10-25 bis 2008-11-25  ))))))))))))))))))))))))))))))
.

2008-11-25 17:35 . 2008-11-25 17:35        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2008-11-25 17:35 . 2008-11-25 17:35        <DIR>        d--------        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-11-25 17:35 . 2008-11-25 17:35        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-25 17:35 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-25 17:35 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-11-25 17:15 . 2008-11-25 17:15        250        --a------        c:\windows\gmer.ini
2008-11-24 18:12 . 2008-11-24 18:12        <DIR>        d--------        c:\programme\Trend Micro
2008-11-24 15:45 . 2008-11-24 15:45        1,515,520        --a------        c:\windows\system32\iesvcmon.exe
2008-11-24 15:45 . 2008-11-24 15:45        473,088        --a------        c:\windows\gu58826.exe
2008-11-24 15:44 . 2008-11-24 15:44        78,636        --a------        c:\windows\system32\ahkzgaznstrbl.exe
2008-11-24 15:44 . 2008-11-24 15:44        53,948        --a------        c:\windows\system32\cont_globaladsolution-remove.exe
2008-11-22 17:31 . 2008-11-22 17:31        <DIR>        d--------        c:\programme\ScummVM
2008-11-21 17:35 . 1996-11-06 12:05        302,592        --a------        c:\windows\unin0407.exe
2008-11-21 17:04 . 2008-11-21 17:04        <DIR>        d--------        c:\programme\Alcohol Soft
2008-11-21 17:01 . 2008-11-21 17:01        <DIR>        d--------        c:\programme\DAEMON Tools Toolbar
2008-11-21 17:00 . 2008-11-21 17:01        <DIR>        d--------        c:\programme\DAEMON Tools Lite
2008-11-20 21:31 . 2008-11-20 21:31        <DIR>        d--------        c:\programme\CCleaner
2008-11-13 14:26 . 2008-10-24 12:10        453,632        -----c---        c:\windows\system32\dllcache\mrxsmb.sys
2008-11-04 21:07 . 2008-11-24 16:46        <DIR>        d--------        C:\Neuer Ordner
2008-10-28 18:34 . 2008-10-28 18:34        <DIR>        d--------        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2008-10-28 18:02 . 2008-10-28 18:02        173,056        --a------        c:\windows\system32\lcorxsldtrpcn.dll
2008-10-28 17:31 . 2008-10-28 17:31        555,008        --a------        c:\windows\system32\nsx69.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 18:47        ---------        d-----w        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-11-25 17:26        ---------        d-----w        c:\programme\ICQToolbar
2008-11-24 23:25        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-24 16:39        107,888        ----a-w        c:\windows\system32\CmdLineExt.dll
2008-11-21 20:29        ---------        d-----w        c:\programme\Gemeinsame Dateien\AVSMedia
2008-11-21 20:29        ---------        d-----w        c:\programme\AVS4YOU
2008-11-21 16:36        ---------        d-----w        c:\programme\LucasArts
2008-11-21 15:58        717,296        ----a-w        c:\windows\system32\drivers\sptd.sys
2008-11-21 14:53        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-11-16 15:49        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2008-10-28 16:38        ---------        d-----w        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2008-10-26 16:42        ---------        d-----w        c:\programme\DivX
2008-10-24 11:10        453,632        ----a-w        c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 15:28        ---------        d-----w        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\U3
2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 13:09        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 13:08        34,328        ----a-w        c:\windows\system32\wups.dll
2008-09-19 21:55        200,704        ----a-w        c:\windows\system32\ssldivx.dll
2008-09-19 21:55        1,044,480        ----a-w        c:\windows\system32\libdivx.dll
2008-09-15 15:37        1,846,144        ----a-w        c:\windows\system32\win32k.sys
2008-09-04 16:43        1,106,944        ----a-w        c:\windows\system32\msxml3.dll
2008-08-29 19:06        1,350,664        ----a-w        c:\windows\system32\msxml6.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}]
2008-10-28 17:31        555008        --a------        c:\windows\system32\nsx69.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}]
2008-10-28 18:02        173056        --a------        c:\windows\system32\lcorxsldtrpcn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 262401]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-02-13 35328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-08 1953792]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"ykjkcfrdynw"="c:\windows\system32\lcorxsldtrpcn.dll" [2008-10-28 173056]
"iesvcmon"="c:\windows\system32\iesvcmon.exe" [2008-11-24 1515520]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-04-06 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Besitzer\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\BearShare\\BearShare.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2008-03-07 38656]
S3 idrmkl;idrmkl;\??\c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c3368c3-d35d-11dc-9d94-806d6172696f}]
\Shell\AutoRun\command - E:\Install.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c3368c4-d35d-11dc-9d94-db4c8600e1c1}]
\Shell\AutoRun\command - F:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe39b998-0b90-11dd-9807-001d60144981}]
\shell\Install\command - g:\soniqcast\Install\setup.exe

*Newly Created Service* - CATCHME
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q14d925t.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig?rls=ig&hl=de&source=iglk
FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 19:49:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 19:50:36
ComboFix-quarantined-files.txt  2008-11-25 18:50:29
ComboFix2.txt  2008-11-25 18:37:33

Vor Suchlauf: 17 Verzeichnis(se), 100.498.538.496 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 100,486,701,056 Bytes frei

144        --- E O F ---        2008-11-13 21:15:48
7)
listing-log:
Code:
http://www.file-upload.net/download-1276720/listing.txt.html
8)
neues HJT log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:32, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Musik\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: globaladsolution - {6b59562a-b48b-1b33-d996-0ea0fa10f13d} - C:\WINDOWS\system32\nsx69.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: globaladsolution browser enhancer - {D85143F4-3EBD-7E5C-EDD0-77358D937B23} - C:\WINDOWS\system32\lcorxsldtrpcn.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6461 bytes
Hoffe, dass passt dann alles so!

Viele Grüße und Dank,

Thomas

cosinus 25.11.2008 21:12
Das ist schon ok, aber von GMER solltest Du die verlinkte MBR.EXE benutzen :confused:

Java verdient bei Dir auch ein Update!

Ich meld mich gleich wieder.

cosinus 25.11.2008 21:24
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
files to delete:
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\nsx69.dll
C:\WINDOWS\system32\lcorxsldtrpcn.dll
c:\windows\gu58826.exe
c:\windows\system32\ahkzgaznstrbl.exe
c:\windows\system32\cont_globaladsolution-remove.exe
c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys

drivers to delete:
idrmkl

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}
http://mitglied.lycos.de/efunction/tb/avenger.png
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
  • Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

TS1984 25.11.2008 22:46
Supervielen Dank für die schnelle Hilfe :)

Bei dem MBR hatte ich eine andere Version genommen, weil die verlinkte EXE sich bei mir nicht richtig geöffnet hat.

Hier das Avanger-log:

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\iesvcmon.exe" deleted successfully.
File "C:\WINDOWS\system32\nsx69.dll" deleted successfully.
File "C:\WINDOWS\system32\lcorxsldtrpcn.dll" deleted successfully.
File "c:\windows\gu58826.exe" deleted successfully.
File "c:\windows\system32\ahkzgaznstrbl.exe" deleted successfully.
File "c:\windows\system32\cont_globaladsolution-remove.exe" deleted successfully.

Error:  file "c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys" not found!
Deletion of file "c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "idrmkl" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Und hier noch das neue HJT-log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:13, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Musik\qlketzd(2).com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6780 bytes
Grüße,

Thomas

cosinus 27.11.2008 17:53
Code:
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
Diese Einträgen fixen!

Code:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Du möchtest umgehend das SP3, den IE7 und weitere Updates (Hotfixes, kleinere Patches nach dem Erscheinen des SP3) über die automatischen Updates installieren.

Auch Java verdient bei Dir ein Update. Du solltest Updates nicht vernachlässigen!

Mach zur Übersicht zum gegencheck bitte noch ein frisches filelisting mit der listing8.cmd und verlinke es hier.

TS1984 27.11.2008 21:28
Hi,
leider weiß ich nicht, wie ich die Einträge fixen soll, muss ich einfach nur eine Datei mit dem Editor bearbeiten? Und wenn ja, welche?

Gruß,
Thomas :)

cosinus 27.11.2008 21:29
Das machst Du mit Hijackthis, entnimmst Du bitte der Anleitung.

TS1984 27.11.2008 21:54
Hi,
ok hab die Einträge gefixt und das file listing hochgeladen:
http://www.file-upload.net/download-1281214/listing.rar.html

Gruß,
Thomas

cosinus 28.11.2008 13:41
Das sollte okay gehen :)
Wenns noch Probleme gibt meld Dich wieder.

TS1984 28.11.2008 19:08
Supervielen Dank für die tolle Hilfe und die Mühe, wüßte nicht was ich sonst getan hätte! :)

Gruß,
Thomas

TS1984 01.12.2008 17:15
Hi,
ich habe leider wieder ein Problem mit Malware, ich habe heute mit Malwarebytes einen Systemcheck gemacht und es wurden 6 infizierte Objekte gefunden. Da es sich um Systemdateien handelt wollte ich bevor ich die Objekte entferne wissen, ob ich dies problemlos machen kann.

Nachfolgend habe ich den Log eingefügt:
Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1441
Windows 5.1.2600 Service Pack 2

01.12.2008 17:02:13
mbam-log-2008-12-01 (17-02-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 137295
Laufzeit: 41 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\nsglobaladsolution.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_globaladsolution (Adware.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\nohh06760.exe.vir (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{B82282F8-7CB2-43E9-968B-8590F6976F49}\RP2\A0000052.exe (Adware.BHO) -> No action taken.
C:\Programme\Mozilla Firefox\components\nsglobaladsolution.dll (Trojan.Agent) -> No action taken.
Desweiteren habe ich Probleme Service Pack 3 zu installieren, liegt wohl am Windows Updater.

Vielen Dank schonmal im Vorraus,
Thomas

cosinus 01.12.2008 17:26
Hallo,

Code:
Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\nsglobaladsolution.dll (Trojan.Agent)
Da hat sich was direkt in den Firefox geschlichen. Es wäre wohl ratsam, wenn Du den mal komplett deinstallierst, den Firefox Ordner löscht, und dann neu installierst.

Code:
C:\Qoobox\Quarantine\C\WINDOWS\nohh06760.exe.vir (Adware.BHO) -> No action taken.
Qoobox ist der Quatantäneordner von Combofix. Da liegen die Malwaredateien "entschärft" drin und können so ohne Weiteres keinen Schaden mehr anrichten. Qoobox kannst Du aber löschen. Nur falls versehentlich eine legitime Datei gelöscht wurde, kannst Du die aus diesem bereich wieder herausfischen und wiederherstellen am Urspungsort.

Code:
C:\System Volume Information\_restore{B82282F8-7CB2-43E9-968B-8590F6976F49}\RP2\A0000052.exe (Adware.BHO)
#

Sollte eigentlich nicht mehr auftreten!! Oder hast Du die SWH nicht deaktiviert bzw. in der Zwischenzeit reaktiviert? :confused:


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:21 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131