Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Suchmaschinen leiten auf windowsclick... (https://www.trojaner-board.de/70996-suchmaschinen-leiten-windowsclick.html)

JayJayS 14.03.2009 01:57
Suchmaschinen leiten auf windowsclick...
 
Hallo

Gestern Mittag surfte ich im Internet als mich auf einmal Spybot S&D anschrie, das ein registry-Eintrag in der Winlogon geändert werden soll. Ich verweigerte immer und immer wieder. Das abschalten des Browsers, der Internetverbindung und auch des Rechners brachte nix. Nach dem Neustart wurden Suchergebnissseiten über die Toolbar von google und yahoo nur als weiße Seite dargestellt. Der Quelltext zeigte ein absolut positioniertes div von 3000px größe mit weißem Hintergrund. Bei der Direktsuche auf den Suchmaschinenseiten funktioniert es aber. Jedoch werden alle Suchergebnislinks über windowscklick geleitet und zeigt kommerzielle Seiten an, die nichts mit dem eigentlichen Suchergebnis zu tun haben.
Die aktuelle AntiVir-Version brachte folgendes Ergebnis:

Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 14. März 2009 00:05

Es wird nach 1297221 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: USER

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 27.11.2008 21:02:28
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 10:06:15
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 10:06:15
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 10:06:15
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 23:47:42
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 16:20:52
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 16:30:08
ANTIVIR3.VDF : 7.1.2.171 61952 Bytes 13.03.2009 17:32:31
Engineversion : 8.2.0.114
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 16:20:27
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 13.03.2009 17:32:33
AESCN.DLL : 8.1.1.8 127346 Bytes 07.03.2009 14:28:55
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 17:23:54
AEPACK.DLL : 8.1.3.10 397686 Bytes 07.03.2009 14:28:54
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 01.03.2009 21:55:12
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 07.03.2009 14:28:53
AEHELP.DLL : 8.1.2.2 119158 Bytes 01.03.2009 21:55:08
AEGEN.DLL : 8.1.1.28 336244 Bytes 13.03.2009 17:32:32
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 20:11:46
AECORE.DLL : 8.1.6.6 176501 Bytes 20.02.2009 01:15:44
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 20:11:44
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 10:06:15
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 10:06:15
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 14:00:15
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 10:06:15
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 02:13:25
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 10:06:15
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 02:13:26
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 10:06:15
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 02:13:26
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 10:06:13
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 10:06:13

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 14. März 2009 00:05

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-0000000B.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-0000000B.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-00000010.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090314-000502-CEB1AC52\AVSCAN-00000010.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090314-000917-E8B8D0DA.avp' geschrieben.
c:\windows\system32\uacneiknnkb.dll
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1de7fc.qua' verschoben!
c:\windows\system32\drivers\uacgmhjovph.sys
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1de7fd.qua' verschoben!
c:\windows\temp\uacb174.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\temp\uacce4d.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacbnbhjqoi.log
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacdlstridw.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.F.136
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\uacdphargvm.log
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacegeifhxy.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.66
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\uachlmegkqc.db
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacinit.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacmehptlax.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uactmp.db
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacvhsbyagl.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacydsdcmrm.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacypgrfjml.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.65
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\uac41d4.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\administrator\lokale einstellungen\temporary internet files\content.ie5\plwr34ss\uaca570zppcanixckscail4p4scaos8x7qca1dm3vwcabzp2jrca76abrrca1ezc3jcaem2mj1ca67amqhcabng90gcazq27bwca8gl6clcar28inecaottc5xc acbovarca2c3fi6.jpg
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\all users\anwendungsdaten\sectaskman\uacmehptlax.dll.q_1bb50_q.ini
[INFO] Die Datei ist nicht sichtbar.


Ende des Suchlaufs: Samstag, 14. März 2009 00:09
Benötigte Zeit: 04:20 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
18 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
13 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
175008 Objekte wurden beim Rootkitscan durchsucht
28 Versteckte Objekte wurden gefunden
Security Taskmanager zeigt eine eine 100% gefährliche Datei an:

Zitat:
\\?\globalroot\systemroot\system32\UACmehptlax.dll
MD5: Der Prozess kann nicht auf die Datei zugreifen, da ein anderer Prozess einen Teil der Datei gesperrt hat

|2080|\\?\globalroot\systemroot\sys
Diese kann ich zwar entfernen. Nach jedem Neustart von Security Task Manager ist sie wieder da...

Weiß jemand Rat?
Habe hier schon ein paar ähnliche Themen gefunden, jedoch waren dort keine Lösungen oder spezielle Lösungen für den jeweiligen Betroffenen über The Avenger oder ComboFix.

MfG
JayJayS

JayJayS 15.03.2009 15:10
Kann mir mal bitte jemand erklären, warum Themen mit dem selben Problem hier rege beantwortet werden und dieses hier offensichtlich unbeachtet bleibt...?

john.doe 15.03.2009 15:18
Hallo und :hallo:

Es sieht übelst nach Bot aus. Arbeite bitte unsere Liste ab, dann wird sich jemand deines Problems annehmen:
http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

JayJayS 15.03.2009 15:26
HiJackThis-Report:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:13, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ndxwpuqw.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647F24WI\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schnueffel.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\twex.exe,
O1 - Hosts: 195.245.119.131 browser-security.microsoft.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Programme\Hercules\Deluxe Optical Glass\Camservice.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://w*w.lokalisten.de/iup/ImageUploader4.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8481 bytes

john.doe 15.03.2009 15:41
Da haben wir ihn doch schon:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\twex.exe
Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren. Markiere den Text hier in der Box, kopiere ihn und füge ihn bei Virustotal ein. Sollte die Datei sich nicht hochladen lassen (sie wird sich wehren), dann versuche die Datei zu kopieren und lade die Kopie hoch.

ciao, andreas

JayJayS 15.03.2009 16:00
Ich habe keine Chance Virustotal.com aufzurufen...

john.doe 15.03.2009 16:05
Ja, das habe ich schon befürchtet, aber es wird noch schlimmer kommen. Es gibt zwei Möglichkeiten:

1.) http://www.trojaner-board.de/51262-a...sicherung.html

2.) Bereinigung, aber Vorsicht. Erstens ist es nicht so sicher wie 1.) und es wird erheblich (4-10mal) so lange dauern wie 1.)

Deine Entscheidung.

ciao, andreas

JayJayS 15.03.2009 16:28
Ich bin für bereinigen...
Malewarebytes konnte nun endlich installiert werden, läßt sich aber nicht aufrufen.
CC-Cleaner ist ausgeführt. Aktuelle HiJackThis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:21, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DH9IH4CS\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schnueffel.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\twex.exe,
O1 - Hosts: 195.245.119.131 browser-security.microsoft.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Programme\Hercules\Deluxe Optical Glass\Camservice.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8083 bytes

JayJayS 15.03.2009 16:57
So, nachdem mir nun alle Dateien angezeigt werden, befand sich eine a.exe auf meinem Desktop. Jedoch wird diese von Antivir nicht bemängelt, obwohl sie von denen als Malware eingestuft ist....

john.doe 15.03.2009 18:08
Zitat:
Ich bin für bereinigen...
*Ärmel hochkrempel*

GMER - Rootkit Detection
  • Lade Tralala von File-Upload.net - Tralala.exe
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Tralala.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

JayJayS 15.03.2009 18:47
Hab ich gemacht...

http://www.schnueffel.net/gmer-report.txt

Mfg
JayJays

john.doe 15.03.2009 18:56
Seit wann hast du Probleme?

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Drivers to delete:
UACd.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\UACd.sys

Files to delete:
C:\WINDOWS\system32\drivers\UACgmhjovph.sys
C:\WINDOWS\system32\UACneiknnkb.dll
C:\WINDOWS\system32\UACydsdcmrm.dat
C:\WINDOWS\system32\UACegeifhxy.dll
C:\WINDOWS\system32\UACypgrfjml.dll
C:\WINDOWS\system32\UACvhsbyagl.dll
C:\WINDOWS\system32\UAChlmegkqc.db
C:\WINDOWS\system32\UACdlstridw.dll
C:\WINDOWS\system32\UACmehptlax.dll
C:\WINDOWS\system32\UACdphargvm.log
C:\WINDOWS\system32\UACtxybmgve.log
C:\WINDOWS\system32\UACbnbhjqoi.log
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

JayJayS 15.03.2009 19:21
Das Problem besteht offensichtlich seit Freitag Mittag.

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "UACd.sys" found!
ImagePath:  \systemroot\system32\drivers\UACgmhjovph.sys
Start Type:  4 (Disabled)

Rootkit scan completed.

Driver "UACd.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\UACgmhjovph.sys" deleted successfully.
File "C:\WINDOWS\system32\UACneiknnkb.dll" deleted successfully.
File "C:\WINDOWS\system32\UACydsdcmrm.dat" deleted successfully.
File "C:\WINDOWS\system32\UACegeifhxy.dll" deleted successfully.
File "C:\WINDOWS\system32\UACypgrfjml.dll" deleted successfully.
File "C:\WINDOWS\system32\UACvhsbyagl.dll" deleted successfully.
File "C:\WINDOWS\system32\UAChlmegkqc.db" deleted successfully.
File "C:\WINDOWS\system32\UACdlstridw.dll" deleted successfully.
File "C:\WINDOWS\system32\UACmehptlax.dll" deleted successfully.
File "C:\WINDOWS\system32\UACdphargvm.log" deleted successfully.

Error:  file "C:\WINDOWS\system32\UACtxybmgve.log" not found!
Deletion of file "C:\WINDOWS\system32\UACtxybmgve.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\UACbnbhjqoi.log" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-15 19:16:52
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT  A966675C                                                                                                                                                                                                                                                                          ZwCreateThread
SSDT  A9666748                                                                                                                                                                                                                                                                          ZwOpenProcess
SSDT  A966674D                                                                                                                                                                                                                                                                          ZwOpenThread
SSDT  A9666757                                                                                                                                                                                                                                                                          ZwTerminateProcess
SSDT  A9666752                                                                                                                                                                                                                                                                          ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

?    bthrjna.sys                                                                                                                                                                                                                                                                        Das System kann die angegebene Datei nicht finden. !

---- Files - GMER 1.0.14 ----

File  C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Internetprojekte\tuningdealer\xtc-ecombase-edition\304SP2.1_Ecombase_release\ecombase-edition-xtcommerce\admin\includes\modules\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.cfm  4615 bytes
File  C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Internetprojekte\tuningdealer\xtc-ecombase-edition\304SP2.1_Ecombase_release\ecombase-edition-xtcommerce\admin\includes\modules\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.php  5782 bytes
File  C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Internetprojekte\tuningdealer\xtc-ecombase-edition\304SP2.1_Ecombase_release\ecombase-edition-xtcommerce\admin\includes\modules\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.pl  4827 bytes

---- EOF - GMER 1.0.14 ----

john.doe 15.03.2009 19:27
Zitat:
Das Problem besteht offensichtlich seit Freitag Mittag.
Entschuldige bitte meine Unaufmerksamkeit. :)

OK. Erste Schritt ist erfolgreich absolviert. Klicke auf den ersten Link in meiner Signatur und arbeite alle Schritte unter 2 ab. HJT-Log brauchst du nicht.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

JayJayS 15.03.2009 21:10
Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1852
Windows 5.1.2600 Service Pack 3

15.03.2009 21:07:46
mbam-log-2009-03-15 (21-07-46).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 254535
Laufzeit: 1 hour(s), 23 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7aa32fc7-133b-4ae7-998e-ced0d9829b12} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Spyware.Passwords) -> Data: mcenspc.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\twex.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{BA1B597B-446E-4B9F-A737-A406150E2D27}\RP695\A0077272.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BA1B597B-446E-4B9F-A737-A406150E2D27}\RP695\A0077273.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BA1B597B-446E-4B9F-A737-A406150E2D27}\RP695\A0077274.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BA1B597B-446E-4B9F-A737-A406150E2D27}\RP695\A0077275.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BA1B597B-446E-4B9F-A737-A406150E2D27}\RP695\A0077277.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BA1B597B-446E-4B9F-A737-A406150E2D27}\RP695\A0077278.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcenspc.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
Combofix trotzdem noch ausführen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:46 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131