Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Falsche Weiterleitung bei Google-Links (https://www.trojaner-board.de/69805-falsche-weiterleitung-google-links.html)

nookie88 09.02.2009 17:03
Falsche Weiterleitung bei Google-Links
 
Hallo!

Ich weiß, die Fragen die ich stellen werde sind hier schon aufgetaucht, allerdings bin ich alleine nicht sehr weit gekommen.
Folgendes:
Beim anklicken von Links werde ich auf falsche Seiten weitergeleitet und bis vor kurzen hatte ich auch plötzlich den Virus Remover 2008 drauf und ständig irgendwelche IE Popups obwohl ich Firefox nutze. Aber VR 2008 konnte ich irgendwie entfernen und die Popups melden sich grad auch nicht.

Ich hatte eine Logdatei gemacht und dort sachen wie prunnet, virusremover2008 und noch irgendwas entfernt (hab die datein online auswerten lassen und dann die bösen Sachen vorher nochmal gegooglet ob sie wirklich böse sind)

Nun meine log - kann sein dass es dort etwas chaotisch aussieht ;D Kenn mich nicht wirklich aus und hab auch noch nie sowas kontorlliert (bzw lassen)

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:17, on 09.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CPV - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Programme\WebShow\WebShow.dll (file missing)
O2 - BHO: (no name) - {5C169E0E-23F8-4770-8CBF-0D5C57DF767B} - C:\WINDOWS\system32\cbXRJAQH.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: worldadmarketplace - {d4bb1c52-8ae3-2960-6800-8fd8117c2655} - C:\WINDOWS\system32\nsp9.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Programme\Mjcore\Mjcore.dll
O2 - BHO: worldadmarketplace browser enhancer - {E7EE053A-CB96-45F6-658D-884C300EB8C7} - C:\WINDOWS\system32\hktyxcxjkbgsrnipr.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [bsftvjvhqlofqhc] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\hktyxcxjkbgsrnipr.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Twain\Twain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212425447410
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 7525 bytes
Ich würde mich über Hilfe freuen.. den langsam wird es hier nervig.
ich weiß dass ich was im abgesichertem modus löschen muss (hab ich letzte mal nicht gemacht) und irgendwas mit cleanup aber das hab ich nicht verstanden.

Ich fang mal mit meiner Datensicherung an.. langsam bekomm' ich Angst :D

Schöne Grüße und besten Dank schonmal,
Anna

john.doe 09.02.2009 17:17
Hallo Anna und :hallo:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\nsp9.dll
C:\Programme\Mjcore\Mjcore.dll
C:\WINDOWS\system32\hktyxcxjkbgsrnipr.dll
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Twain\Twain.exe
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Die *** durch deinen Anmeldenamen ersetzen.

2.) Starte HJT => Do a system scan only => Markiere:
Code:
O2 - BHO: CPV - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Programme\WebShow\WebShow.dll (file missing)
O2 - BHO: (no name) - {5C169E0E-23F8-4770-8CBF-0D5C57DF767B} - C:\WINDOWS\system32\cbXRJAQH.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: worldadmarketplace - {d4bb1c52-8ae3-2960-6800-8fd8117c2655} - C:\WINDOWS\system32\nsp9.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Programme\Mjcore\Mjcore.dll
O2 - BHO: worldadmarketplace browser enhancer - {E7EE053A-CB96-45F6-658D-884C300EB8C7} - C:\WINDOWS\system32\hktyxcxjkbgsrnipr.dll
O4 - HKLM\..\Run: [bsftvjvhqlofqhc] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\hktyxcxjkbgsrnipr.dll"
O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Twain\Twain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe
=> Fix checked

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

6.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!!

ciao, andreas

nookie88 09.02.2009 17:28
Hey!
Danke für die schnelle antwort, ich werd direkt versuchen alles hinzubekommen...

Bezieht sich dies:
6.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!!

auf die gepostete log datei oder auf die folgenden? Ich müsste eigentlich alle link und privaten sachen (also meinen namem) weggemacht haben, oder hab ich noch was vergessen?

Find ich echt nett von euch dass ihr euch so viel mühe gebt... bei uns im grafik-forum würd bei solchen "massen-anfragen" irgendwann keiner mehr antworten...

schöne grüße,
anna

john.doe 09.02.2009 17:32
Zitat:
auf die gepostete log datei oder auf die folgenden?
Auf alle :)
Zitat:
oder hab ich noch was vergessen?
Nein, hast du gut gemacht. :)

ciao, andreas

nookie88 09.02.2009 17:46
Zitat:
Zitat von john.doe (Beitrag 411844)
Nein, hast du gut gemacht. :)
Juhu, schon mal ein erstes Erfolgserlebnis ;)

So hier direkt nummer 1 :D (wenn was fehlt oä - was ich nicht glaube da ich einfach alles kopiert hab :D - bitte melden) ich mach mal direkt weiter

C:\WINDOWS\system32\nsp9.dll
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.93        2009.02.09        -
AhnLab-V3        5.0.0.2        2009.02.09        -
AntiVir        7.9.0.76        2009.02.09        -
Authentium        5.1.0.4        2009.02.08        -
Avast        4.8.1335.0        2009.02.09        -
AVG        8.0.0.229        2009.02.09        -
BitDefender        7.2        2009.02.09        -
CAT-QuickHeal        10.00        2009.02.09        -
ClamAV        0.94.1        2009.02.09        -
Comodo        972        2009.02.09        -
DrWeb        4.44.0.09170        2009.02.09        -
eSafe        7.0.17.0        2009.02.09        -
eTrust-Vet        31.6.6346        2009.02.07        -
F-Prot        4.4.4.56        2009.02.08        -
F-Secure        8.0.14470.0        2009.02.09        -
Fortinet        3.117.0.0        2009.02.09        -
GData        19        2009.02.09        -
Ikarus        T3.1.1.45.0        2009.02.09        -
K7AntiVirus        7.10.623        2009.02.07        -
Kaspersky        7.0.0.125        2009.02.09        -
McAfee        5520        2009.02.08        -
McAfee+Artemis        5520        2009.02.08        -
Microsoft        1.4306        2009.02.09        -
NOD32        3838        2009.02.09        -
Norman        6.00.02        2009.02.09        -
nProtect        2009.1.8.0        2009.02.09        -
Panda        9.5.1.2        2009.02.09        -
PCTools        4.4.2.0        2009.02.09        -
Prevx1        V2        2009.02.09        Malicious Software
Rising        21.15.50.00        2009.02.07        -
SecureWeb-Gateway        6.7.6        2009.02.09        -
Sophos        4.38.0        2009.02.09        -
Sunbelt        3.2.1847.2        2009.02.07        -
Symantec        10        2009.02.09        -
TheHacker        6.3.1.5.250        2009.02.09        -
TrendMicro        8.700.0.1004        2009.02.09        -
VBA32        3.12.8.12        2009.02.08        -
ViRobot        2009.2.9.1596        2009.02.09        -
VirusBuster        4.5.11.0        2009.02.09        -
weitere Informationen
File size: 673280 bytes
MD5...: 314723fa488662085bc8200305083a7a
SHA1..: d6b3bfa781f9f198a4e6321e441f3346eb823fe0
SHA256: 51c32a840d883f7763cc648b7d2c221cf94d8a4ff0b235a94f092e9ec61584c3
SHA512: f58c1c9086a0af234b0abca1b38caf2f7238109e357fa64b12fb90874781f4f7
c50c6360e9782d1445b723997795da78aca726a365023696ffc811c1b135b156
ssdeep: 12288:6BBRX+Nbw9lt9n/tjV22ieasSxlMcUGqspRoVMeyCUJQT2WcVid:6nRX+N
6z9n9JielSxlMcEUGT2Wv
PEiD..: -
TrID..: File type identification
DirectShow filter (66.6%)
InstallShield setup (14.2%)
Win32 Executable MS Visual C++ (generic) (12.4%)
Win32 Executable Generic (2.8%)
Win32 Dynamic Link Library (generic) (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x549f2
timedatestamp.....: 0x498b5bd7 (Thu Feb 05 21:36:23 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7ffca 0x80000 6.79 02f69dff7193e25e17bb551c74ea4db0
.rdata 0x81000 0x1249a 0x12600 5.21 79038973209779f31d30a1eec88bf825
.data 0x94000 0x633c 0x2800 4.00 bb7490c024c02093c95a0ae44dfb0a8c
.rsrc 0x9b000 0x4a0 0x600 4.53 c4ab2905e6b5c1708b0ecc79bc75e5b3
.reloc 0x9c000 0xedde 0xee00 5.05 f0d937e5ccc34abab885954ea8d36b31

( 7 imports )
> SHLWAPI.dll: UrlEscapeW, PathMatchSpecW, UrlGetPartW, UrlUnescapeW, PathFileExistsW, StrCmpIW, PathIsDirectoryW, StrStrIW
> KERNEL32.dll: ExitThread, CompareStringW, CompareStringA, InterlockedIncrement, InterlockedDecrement, GetProcAddress, LoadLibraryA, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, SetLastError, MultiByteToWideChar, GetDriveTypeA, GetProcessHeap, SetEndOfFile, CreateFileA, GetTimeZoneInformation, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, CreateFileW, SetStdHandle, GetLocaleInfoW, InitializeCriticalSectionAndSpinCount, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStringTypeA, GetLocaleInfoA, GetCurrentDirectoryA, GetDateFormatA, GetTimeFormatA, IsValidCodePage, GetOEMCP, GetACP, SetFilePointer, ReadFile, FlushFileBuffers, GetConsoleMode, Sleep, FreeLibrary, GetFullPathNameW, WideCharToMultiByte, GetSystemInfo, GetSystemTime, InterlockedExchange, GetConsoleCP, GetModuleHandleA, CloseHandle, WriteFile, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetModuleFileNameA, InterlockedCompareExchange, RaiseException, RtlUnwind, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetLastError, HeapFree, GetCurrentThreadId, GetCommandLineA, SetEnvironmentVariableA, CreateThread, GetSystemTimeAsFileTime, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeW, FindFirstFileW, LCMapStringA, LCMapStringW, GetCPInfo, GetStringTypeW, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, HeapSize, ExitProcess, HeapCreate, HeapDestroy, VirtualFree, VirtualAlloc, HeapReAlloc, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA
> USER32.dll: EnumChildWindows, wsprintfW, SetWindowPos, GetWindowRect, SystemParametersInfoW, SetWindowTextW, GetWindowLongW, MoveWindow, SetWindowLongW, SendMessageW, CallWindowProcW, GetWindowTextW, RealGetWindowClassW
> ole32.dll: CoCreateInstance, CoTaskMemFree, CreateStreamOnHGlobal, CoCreateGuid, CoInitialize, CoUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> WS2_32.dll: -
> SHELL32.dll: SHCreateDirectoryExW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=3B4770B300F46D3346070A9B40E18600DB1412D9' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=3B4770B300F46D3346070A9B40E18600DB1412D9</a>

john.doe 09.02.2009 17:47
:daumenhoc

nookie88 09.02.2009 17:53
Der nächste ist glaub ich nicht so nett....


Code:
Datei Mjcore.dll empfangen 2009.02.09 17:47:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 25/38 (65.79%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.93        2009.02.09        Trojan.Win32.BHO!IK
AhnLab-V3        5.0.0.2        2009.02.09        Win-Trojan/Bho.136192.B
AntiVir        7.9.0.76        2009.02.09        ADSPY/Bho.EC
Authentium        5.1.0.4        2009.02.08        -
Avast        4.8.1335.0        2009.02.09        -
AVG        8.0.0.229        2009.02.09        Generic3.AHLE
BitDefender        7.2        2009.02.09        -
CAT-QuickHeal        10.00        2009.02.09        Trojan.BHO.kdf
ClamAV        0.94.1        2009.02.09        -
Comodo        972        2009.02.09        -
DrWeb        4.44.0.09170        2009.02.09        Trojan.Click.24145
eSafe        7.0.17.0        2009.02.09        -
eTrust-Vet        31.6.6346        2009.02.07        -
F-Prot        4.4.4.56        2009.02.08        -
F-Secure        8.0.14470.0        2009.02.09        Trojan.Win32.BHO.kdf
Fortinet        3.117.0.0        2009.02.09        Adware/BHO
GData        19        2009.02.09        -
Ikarus        T3.1.1.45.0        2009.02.09        Trojan.Win32.BHO
K7AntiVirus        7.10.623        2009.02.07        Trojan.Win32.BHO.kdf
Kaspersky        7.0.0.125        2009.02.09        Trojan.Win32.BHO.kdf
McAfee        5520        2009.02.08        potentially unwanted program Adware-BHO
McAfee+Artemis        5520        2009.02.08        potentially unwanted program Adware-BHO
Microsoft        1.4306        2009.02.09        Trojan:Win32/BHO.U
NOD32        3838        2009.02.09        Win32/Adware.MaxSearch
Norman        6.00.02        2009.02.09        W32/Bar888.DE
nProtect        2009.1.8.0        2009.02.09        Trojan/W32.BHO.136192
Panda        9.5.1.2        2009.02.09        Adware/Maxifiles
PCTools        4.4.2.0        2009.02.09        -
Prevx1        V2        2009.02.09        Worm
Rising        21.15.50.00        2009.02.07        Trojan.Clicker.Win32.Undef.ft
SecureWeb-Gateway        6.7.6        2009.02.09        Ad-Spyware.Bho.EC
Sophos        4.38.0        2009.02.09        My_Java_Core_BHO
Sunbelt        3.2.1847.2        2009.02.07        Adware.BHO.gen
Symantec        10        2009.02.09        Adware.MaxSearch
TheHacker        6.3.1.5.250        2009.02.09        Trojan/BHO.kdf
TrendMicro        8.700.0.1004        2009.02.09        -
ViRobot        2009.2.9.1596        2009.02.09        -
VirusBuster        4.5.11.0        2009.02.09        -
weitere Informationen
File size: 136192 bytes
MD5...: 45577131ebe4de4ccbd731fe68f84160
SHA1..: bb2812fffe83baed6060210299860cc49911c979
SHA256: 343f335a972c431e8f6667e547d2b18b21505bacad36515a7cb64e32620127ec
SHA512: 297a3d24d1820fbaa29a3a487d73dff942dfcb9e4118d0c8abe39da703a3391b
0dfd8909af7961511520a92242c417bb7d3e58055563dacee3921203004deff7
ssdeep: 3072:AGwi4MkpuiMawo9Fx0ypD85zB5C5At+2M:Ci+pDManx0ylqzp
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc9c7
timedatestamp.....: 0x4965e5d4 (Thu Jan 08 11:39:00 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x167af 0x16800 6.62 16d67974d4bfdcb95bca76c23bf39e6b
.rdata 0x18000 0x5a30 0x5c00 4.87 db699f4e286e63cf9580ca3706f9f9be
.data 0x1e000 0x353c 0x1800 3.41 fc8f7232f227856a1b1b5f7aca0ad448
.rsrc 0x22000 0xe48 0x1000 4.25 b17c14acf95d535621383ab4db6b3e60
.reloc 0x23000 0x22d6 0x2400 5.03 9ea54e29b2806d2bc543bee6d135e47c

( 7 imports )
> KERNEL32.dll: SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, SetThreadLocale, GetThreadLocale, InitializeCriticalSection, DeleteCriticalSection, DisableThreadLibraryCalls, InterlockedIncrement, InterlockedDecrement, lstrlenA, LockResource, MultiByteToWideChar, GetTickCount, lstrcatW, CreateThread, WaitForSingleObject, Sleep, GetLocaleInfoW, GetSystemDefaultLCID, lstrcpyW, GetVolumeInformationW, GetWindowsDirectoryW, FlushFileBuffers, FreeLibrary, GetModuleFileNameW, lstrcmpiW, GetModuleHandleW, GetProcAddress, GetLastError, LeaveCriticalSection, EnterCriticalSection, RaiseException, FindResourceExW, lstrlenW, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringA, LoadLibraryA, InitializeCriticalSectionAndSpinCount, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, GetEnvironmentStringsW, WideCharToMultiByte, FreeEnvironmentStringsW, GetEnvironmentStrings, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, RtlUnwind, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, VirtualFree, HeapCreate, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringW, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA
> USER32.dll: CharNextW, wsprintfW
> ADVAPI32.dll: RegQueryValueExW, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, RegOpenKeyW
> ole32.dll: CoUninitialize, CoCreateInstance, StringFromGUID2, CoTaskMemFree, CoTaskMemRealloc, CoTaskMemAlloc, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> urlmon.dll: UrlMkGetSessionOption
> WININET.dll: InternetOpenUrlW, InternetOpenA, InternetCloseHandle, InternetReadFile

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllInstall, DllRegisterServer, DllUnregisterServer
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=45577131ebe4de4ccbd731fe68f84160' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=45577131ebe4de4ccbd731fe68f84160</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=45577131ebe4de4ccbd731fe68f84160' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=45577131ebe4de4ccbd731fe68f84160</a>
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=0B77E1B300DA868214870239C6B838009D1AFAAB' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=0B77E1B300DA868214870239C6B838009D1AFAAB</a>
Hach ist das aufregend :D

nookie88 09.02.2009 18:00
Code:
Datei hktyxcxjkbgsrnipr.dll empfangen 2009.02.09 17:54:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/39 (28.21%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.93        2009.02.09        -
AhnLab-V3        5.0.0.2        2009.02.09        -
AntiVir        7.9.0.76        2009.02.09        -
Authentium        5.1.0.4        2009.02.08        -
Avast        4.8.1335.0        2009.02.09        Win32:Trojan-gen {Other}
AVG        8.0.0.229        2009.02.09        Adload_r.HG
BitDefender        7.2        2009.02.09        -
CAT-QuickHeal        10.00        2009.02.09        -
ClamAV        0.94.1        2009.02.09        -
Comodo        972        2009.02.09        -
DrWeb        4.44.0.09170        2009.02.09        -
eSafe        7.0.17.0        2009.02.09        -
eTrust-Vet        31.6.6346        2009.02.07        -
F-Prot        4.4.4.56        2009.02.08        -
F-Secure        8.0.14470.0        2009.02.09        Adware:W32/AdRotator.GEX
Fortinet        3.117.0.0        2009.02.09        -
GData        19        2009.02.09        Win32:Trojan-gen {Other}
Ikarus        T3.1.1.45.0        2009.02.09        -
K7AntiVirus        7.10.623        2009.02.07        Trojan.Win32.Malware.1
Kaspersky        7.0.0.125        2009.02.09        -
McAfee        5520        2009.02.08        potentially unwanted program Generic PUP!hv
McAfee+Artemis        5520        2009.02.08        potentially unwanted program Generic PUP!hv
Microsoft        1.4306        2009.02.09        -
NOD32        3838        2009.02.09        -
Norman        6.00.02        2009.02.09        -
nProtect        2009.1.8.0        2009.02.09        Trojan/W32.Agent.304640.M
Panda        9.5.1.2        2009.02.09        -
PCTools        4.4.2.0        2009.02.09        -
Prevx1        V2        2009.02.09        Worm
Rising        21.15.50.00        2009.02.07        -
SecureWeb-Gateway        6.7.6        2009.02.09        -
Sophos        4.38.0        2009.02.09        Troj/BHO-JR
Sunbelt        3.2.1847.2        2009.02.07        -
Symantec        10        2009.02.09        Trojan Horse
TheHacker        6.3.1.5.250        2009.02.09        -
TrendMicro        8.700.0.1004        2009.02.09        -
VBA32        3.12.8.12        2009.02.08        -
ViRobot        2009.2.9.1596        2009.02.09        -
VirusBuster        4.5.11.0        2009.02.09        -
weitere Informationen
File size: 304640 bytes
MD5...: 6f6db130aea6d29cdd6312a1de13f52a
SHA1..: 15aaad37d1f9dc88aaeae6169b55721470329ef8
SHA256: 87709e397cc5e2bd6af851d346820845d50caad1f6579295734709a915bd8f49
SHA512: 41da99608a1c01af78acd69e55f648aa8498e33ab4ad3a8f3a77e86d6e733e96
b5b9d099483132ebe2779c3775ea366c8a1150bfad44c77cc2d8c323d33cefbf
ssdeep: 6144:9+dizXypqYzuUj5PD/k5zfbXME3mPVQraymYCee:YdizyQYz9MdfrFmPVQr
aymYy
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x28248
timedatestamp.....: 0x497a7158 (Sat Jan 24 01:39:36 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x39d28 0x39e00 6.71 6e3689317c74228914dd670d187cbf5a
.rdata 0x3b000 0x7665 0x7800 4.77 136edb15e241b18abc469c816ea78bca
.data 0x43000 0x3d9c 0x1600 3.72 1d7f6f7ba857c231364638e4cf49ff47
.rsrc 0x47000 0x34c 0x400 4.71 3acc9535cab258914f986412a6a5c621
.reloc 0x48000 0x714a 0x7200 4.70 162709253ee16a655a9d73ff0140bca5

( 6 imports )
> SHLWAPI.dll: StrCmpIW, SHDeleteKeyW, UrlEscapeW, PathStripPathW, StrStrIW
> KERNEL32.dll: LoadLibraryA, CloseHandle, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetSystemTime, CreateEventW, ExitThread, WideCharToMultiByte, MultiByteToWideChar, FreeLibrary, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, LCMapStringW, GetProcAddress, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, GetConsoleMode, GetConsoleCP, SetFilePointer, InitializeCriticalSectionAndSpinCount, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, HeapReAlloc, VirtualAlloc, CreateFileA, FlushFileBuffers, LCMapStringA, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, GetModuleFileNameA, GetStdHandle, TerminateProcess, GetModuleHandleA, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentThreadId, GetCommandLineA, RaiseException, RtlUnwind, GetLastError, HeapFree, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, Sleep, HeapSize, ExitProcess, HeapAlloc, WriteFile
> USER32.dll: CharUpperW, CharLowerW, GetClassNameW, CallWindowProcW, GetWindowTextW, RealGetWindowClassW, EnumChildWindows, ClientToScreen, InflateRect, IntersectRect, OffsetRect, SetWindowTextW, SendMessageW, PostMessageW, SetActiveWindow, RemovePropW, GetPropW, SetPropW, DispatchMessageW, TranslateMessage, PeekMessageW, MsgWaitForMultipleObjects, GetWindowThreadProcessId, SetWindowLongW
> ADVAPI32.dll: RegSetValueExW, RegQueryValueExW, RegCloseKey, RegCreateKeyW, SetSecurityInfo
> ole32.dll: CoCreateInstance, CoTaskMemFree, CoUninitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -

( 5 exports )
DllAuxEntryPoint, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=5D28B1B500E9D44CA6DF04466976570095A11C72' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=5D28B1B500E9D44CA6DF04466976570095A11C72</a>

Bei der Twain datei ist der Ordner leer - hatte vorher auch alle Datein sichtbar gemacht // edit.. achso.. ja... ich versuchs noch mal %) //edit2: bei virustotal kann ich nichts einfügen.. kommt direkt der ordner wo ich die datei auswählen muss

john.doe 09.02.2009 18:03
Dann weiter mit der Liste.

ciao, andreas

nookie88 10.02.2009 07:05
Also, nachdem ich gestern 2 1/2 stunden antimaleware laufen lassen hab ist mein pc abgestürzt... (manchmal hat er das) ich lass es gleich noch mal während ich weg bin laufen und hoffe dass ers diesmal schafft. (hatte direkt am anfang schon 15 funde) Das mit systemwiederherstellung und co hatte ich gemacht.

nookie88 10.02.2009 12:48
Nach knapp 5 stunden nun das Ergebnis:

Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1741
Windows 5.1.2600 Service Pack 3

10.02.2009 12:40:31
mbam-log-2009-02-10 (12-40-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 210127
Laufzeit: 4 hour(s), 51 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\bho_cpv.workhorse (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bho_cpv.workhorse.1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\VirusRemover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
C:\Programme\Mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\cogad (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\snapsnet (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\csmranweox.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\srff.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\__54.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20090209-180947-323.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Programme\VirusRemover2008\VRM2008zui.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\prunnet.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekatrecmkal.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\senekatyeyaxwp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\senekatplhylng.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\senekaddelvcjs.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekajdtvfxoc.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekaoyxcnlgx.dll (Trojan.Agent) -> Delete on reboot.

nookie88 10.02.2009 17:30
so alles erledigt!
muss ich den scan erneuten im safe modus bei Superantispyware auch machen?
Code:
SUPERAntiSpyware Scan Log
h**://www.superantispyware.com

Generated 02/10/2009 at 02:45 PM

Application Version : 4.25.1012

Core Rules Database Version : 3748
Trace Rules Database Version: 1715

Scan type      : Complete Scan
Total Scan Time : 01:15:46

Memory items scanned      : 399
Memory threats detected  : 0
Registry items scanned    : 4192
Registry threats detected : 0
File items scanned        : 162383
File threats detected    : 3

Trojan.Dropper/Gen-PHP
        C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ODN3S237\GET[1].PHP

Adware.Vundo/Variant
        C:\PROGRAMME\TREND MICRO\HIJACKTHIS\BACKUPS\BACKUP-20090209-180947-350.DLL
        C:\WINDOWS\SYSTEM32\HKTYXCXJKBGSRNIPR.DLL
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:26:45, on 10.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\QIP\qip.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212425447410
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 6640 bytes

john.doe 10.02.2009 17:33
Zitat:
muss ich den scan erneuten im safe modus bei Superantispyware auch machen?
Nein. Du hattest da ziemlich übles Zeug drauf. Wie geht es dem Rechner?

ciao, andreas

nookie88 10.02.2009 17:57
Ich muss auch vermutlich bei allen Programmen alles aus der Quarantäne löschen oder soll das darin bleiben? (Vielleicht ne dumme Frage, sorry :D)

Bis jetzt macht er noch keine Mukken! Die nervigen popups waren schon gestern weg, nachdem ich alles mit hjt gelöscht habe. Aber wies scheint waren auch noch sachen vom virusremover 2008 da und die sind ja nun gott sei dank weg!

Besten dank!! Mit deiner Hilfe lebt mein PC nun bestimmt noch ne weile länger :) Und ich hab endlich das prinzip mit den log datein geschnall <3

john.doe 10.02.2009 18:00
Zitat:
Ich muss auch vermutlich bei allen Programmen alles aus der Quarantäne löschen oder soll das darin bleiben?
Nein, du kannst alle Programme, die wir eingesetzt haben, wieder deinstallieren. Dann ist Ruhe.
Zitat:
Und ich hab endlich das prinzip mit den log datein geschnall <3
Ich bin stolz auf dich. :)

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:22 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19