Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Problem mit Trojaner Win32:Nurech-AG [Trj]

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.12.2007, 23:20   #1
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Hallo,

Ich habe seit einigen Tagen Probleme mit folgendem Biest:

Pfad:

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{A6B5858C-56E9-4E0A-895D-72E410BD4D90}\Microsoft\Outlook Express\Posteingang.dbx\Forderung AZ- 497917-56].eml#2331104\Forderung AZ: 497917\56#3124431267\Rechnung.zip#3634457680\O_rechnung.pdf.exe

Name:

Win32:Nurech-AG [Trj]

Typ

Trojanisches Pferd

Ich hab mir den vermutlich über eine Datei eingefangen, die ich über msn erhalten haben. Er stört die Tastatur Eingabe, indem er manche Zeichen nicht durchlässt, der Internetexplorer kann Frames manchmal nicht richtig laden und Links manchmal nicht öffnen. Ausserdem legt er manchmal das Kontextmenü lahm und scheint neue Viren und Trojaner runterzuladen.

Diese sind jedoch löschbar und desshalb kein Problem, im Gegensatz zum Nurech-AG Trojaner, der nicht löschbar ist. Dazu soll gesagt sein, dass ich Avast benutze, welches mir bei Löschversuch sagt, dass bei der Löschung ein Fehler aufgetreten ist.


Ich sollte wohl noch erwähnen, das ich Windows XP mit Service Pack 2 habe.

Ich bitte um schnelle Hilfe und danke schonmal im voraus.

LG, Artur

Alt 06.12.2007, 23:25   #2
Franz1968
/// Helfer-Team
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Hallo,
Zitat:
Zitat von Hypophysis Beitrag anzeigen
Ich sollte wohl noch erwähnen, das ich Windows XP mit Service Pack 2 habe.
vor allem solltest du ein HijackThis-Logfile posten, siehe FAQ.

Wo wird das Biest denn gefunden?
Zitat:
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{A6B5858C-56E9-4E0A-895D-72E410BD4D90}\Microsoft\Outlook Express\Posteingang.dbx\Forderung AZ- 497917-56].eml#2331104\Forderung AZ: 497917\56#3124431267\Rechnung.zip#3634457680\O_rechnung.pdf.exe
Nur hier? Wenn ja, dann befindet es sich "nur" als E-Mail-Anhang in deinem Posteingangsordner. Solange du den Anhang nicht ausgeführt hast, bist du damit auch nicht infiziert. In diesem Fall müssen deine Probleme eine andere Ursache haben.
__________________

__________________

Alt 07.12.2007, 10:18   #3
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Das HijackThis Logfile:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:14, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\ScanPanel\ScnPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\vycwkert.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*Mein Accountname*\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F3 - REG:win.ini: run=hpfsched
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Programme\Gemeinsame Dateien\Viewpoint\Toolbar Runtime\3.8.0\IEViewBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Windows Zero Driver] wncmgr.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\system32\algs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [50a95d23] rundll32.exe "C:\WINDOWS\system32\yxvpugnj.dll",b
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - ?p=ZJ
O8 - Extra context menu item: &Viewpoint Search - res://C:\Programme\Viewpoint\Viewpoint Toolbar V35\ViewBar.dll/CXTSEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\vycwkert.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe

--
End of file - 8847 bytes
Das hilft uns dann hoffentlich weiter^^.

Zitat:
Nur hier? Wenn ja, dann befindet es sich "nur" als E-Mail-Anhang in deinem Posteingangsordner. Solange du den Anhang nicht ausgeführt hast, bist du damit auch nicht infiziert. In diesem Fall müssen deine Probleme eine andere Ursache haben.
Nun, wie ich schon sagte, findet Avast nur diesen einen Trojaner, den er nicht weg kriegt und wenn das nur ein Email Anhang ist müsste das Problem ja gelöst sein, wenn ich die Email einfach lösche. Ob ich diesen Anhang mal geöffnet habe, weiß ich jetzt nicht mehr, aber Rechnungen zählen eigentlich nicht zu meinem Interessenfeld *g*. Wie würde ich das denn sehen? Müsste Avast mir dann nicht noch weitere Infektionen anzeigen?

Wo wir gerade beim Öffnen von Anhängen sind, die Datei die ich über msn bekommen und definitiv geöffnet/ausgeführt habe, aber dann gelöscht habe, macht sich bzw. ihre Sprösslinge bei Avast auch nicht bemerkbar.
__________________

Alt 07.12.2007, 12:23   #4
Franz1968
/// Helfer-Team
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Zunächst bitte die besagte E-Mail löschen und den Papierkorb von Outlook-Express leeren, damit der schädliche Anhang eine Datensicherung und ein Neuaufsetzen nicht überlebt. Dann:

1. Lade dir The Avenger.
Aktiviere die Option Input script manually, klicke dann auf die Lupe und kopiere folgenden Text hinein:
Zitat:
Files to delete:
C:\WINDOWS\system32\vycwkert.exe
C:\WINDOWS\system32\algs.exe
C:\WINDOWS\system32\yxvpugnj.dll
Danach auf die grüne Ampel klicken, das System wird neu starten.

2. Mithilfe dieser Anleitung versteckte Dateien und Ordner sichtbar machen und mit der Windows-Suche folgende Datei suchen:
Code:
ATTFilter
wncmgr.exe
         
Dahinter dürfte sich der Schädling verbergen, den du über MSN bekommen hast. Wenn gefunden, die Datei bei Virustotal überprüfen und das Ergebnis posten.

3. Mit HijackThis, wie in der Anleitung beschrieben, fixen:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F3 - REG:win.ini: run=hpfsched
O4 - HKLM\..\Run: [Windows Zero Driver] wncmgr.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\system32\algs.exe
O4 - HKLM\..\Run: [50a95d23] rundll32.exe "C:\WINDOWS\system32\yxvpugnj.dll",b
O8 - Extra context menu item: &Search - ?p=ZJ
O23 - Service: DomainService - - C:\WINDOWS\system32\vycwkert.exe
4. Ein neues HJT-Logfile und den Inhalt der Datei c:\avenger.txt posten.

Wirklich viel Hoffnung für dein System kann ich dir aber nicht machen, denn die algs.exe sieht sehr nach einem Bot aus.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 07.12.2007, 17:10   #5
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Der Bericht von Avenger:

Zitat:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vuvtqeqa

*******************

Script file located at: \??\C:\Program Files\fcutcgrq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\vycwkert.exe deleted successfully.


File C:\WINDOWS\system32\algs.exe not found!
Deletion of file C:\WINDOWS\system32\algs.exe failed!

Could not process line:
C:\WINDOWS\system32\algs.exe
Status: 0xc0000034

File C:\WINDOWS\system32\yxvpugnj.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Ich habe nur eine alg.exe gefunden, ist das möglicherweise die, die du meintest?

Ausserdem wird wncmgr.exe ciht gefunden, obwohl ich die anleitung befolgt habe.

Die restlichen Schritte kann ich mir dann vermutlich vorerst sparen, oder?


Geändert von Hypophysis (07.12.2007 um 17:24 Uhr) Grund: hinzufügend

Alt 07.12.2007, 21:36   #6
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Ich entschuldige mich jetzt schon für den Doppelpost, aber ich finde das Editicon nicht mehr Oo

Jedenfalls hab ich schritt 3 dann auch noch durchgezogen.

HJT Protkoll nach dem fixen im abgesicherten Modus, neustart,einem erneuten Scan mit Avast, der 4 Funde hatte und erfolgreich gelöscht hat und erneutem neustart.

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:52, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Dokumente und Einstellungen\Arthur\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Programme\Gemeinsame Dateien\Viewpoint\Toolbar Runtime\3.8.0\IEViewBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Viewpoint Search - res://C:\Programme\Viewpoint\Viewpoint Toolbar V35\ViewBar.dll/CXTSEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe

--
End of file - 8135 bytes
Der Nurech-AG ist übrigens auch nicht mehr aufgetaucht, nachdem ich die e-Mail gelöscht habe.

Und jetz sagt mir bitte, dass mein system jetz wieder rein ist...^^

Alt 08.12.2007, 22:51   #7
Franz1968
/// Helfer-Team
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Gehe jetzt bitte zu Virustotal, prüfe dort die folgenden vier Dateien und poste im Anschluss die kompletten Ergebnisse:

1.) Im Ordner C:\Avenger sollte sich eine Datei backup.zip befinden, in der die folgenden beiden Dateien gepackt sein müssten:
vycwkert.exe
yxvpugnj.dll
Hüte dich bitte davor, eine der beiden beim Entpacken doppelzuklicken!

2.) C:\WINDOWS\system32\algs.exe
Nachdem sie gefixt wurde und im neuen HijackThis-Logfile nicht mehr auftaucht, lässt sie sich nun hoffentlich auffinden. Bitte auf keinen Fall durch Doppelklicken wieder starten!

3.) wncmgr.exe
Dito, bitte versuche noch einmal, sie zu finden, nachdem sie gefixt wurde. Sie sollte sich im Ordner C:\Windows\system32 oder C:\Windows befinden.

Wenn nötig, bemühe für die beiden letztgenannten Dateien noch einmal die Windows-Suche.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 09.12.2007, 18:22   #8
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Das sind die 2 entpackten. Avast scheint wohl doch nich so toll zu sein, wenns die im Gegensatz zu antivir nicht findet...

Die anderen beiden sind nach wie vor "nicht vorhanden".

Zitat:
Datei vycwkert.exe empfangen 2007.12.09 17:58:34 (CET)
Status: Beendet
Ergebnis: 15/32 (46.88%)
Filter
Drucken der Ergebnisse
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 ADSPY/Agent.74304
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.09 BackDoor.Agent.PTA
BitDefender 7.2 2007.12.09 Trojan.Agent.AGBD
CAT-QuickHeal 9.00 2007.12.08 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.12.09 -
DrWeb 4.44.0.09170 2007.12.09 Trojan.EzulaAd
eSafe 7.0.15.0 2007.12.09 Suspicious File
eTrust-Vet 31.3.5361 2007.12.08 Win32/Abetear.I
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 -
Ikarus T3.1.1.12 2007.12.09 Trojan.Agent.AGBD
Kaspersky 7.0.0.125 2007.12.09 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 Win32/Adware.Ezula
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.09 -
Prevx1 V2 2007.12.09 ADWARE.FOTOMOTO.F
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.09 Trojan.Vundo
TheHacker 6.2.9.153 2007.12.07 Backdoor/Agent.czt
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.08 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.12.08 Ad-Spyware.Agent.74304
weitere Informationen
File size: 74304 bytes
MD5: 5eae9f586a2cde9beb82e935bb6914cf
SHA1: 57a6f4275a39f50f2125dd77efdff969103e09ff
PEiD: -
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=82DC43EC40BC1C04224701466D3DCE00275D7D5E

Datei yxvpugnj.dll empfangen 2007.12.09 18:01:48 (CET)
Status: Beendet
Ergebnis: 16/31 (51.62%)
Filter
Drucken der Ergebnisse
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 TR/Vundo.DRT
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.09 Lop
BitDefender 7.2 2007.12.09 Trojan.Vundo.DRT
CAT-QuickHeal 9.00 2007.12.08 AdWare.Virtumonde.bjc (Not a Virus)
ClamAV 0.91.2 2007.12.09 Adware.Virtumonde-475
DrWeb 4.44.0.09170 2007.12.09 -
eSafe 7.0.15.0 2007.12.09 -
eTrust-Vet 31.3.5361 2007.12.08 Win32/Vundo.IB
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 Vundo.gen51
Ikarus T3.1.1.12 2007.12.09 not-a-virus:AdWare.Win32.Virtumonde.bjc
Kaspersky 7.0.0.125 2007.12.09 not-a-virus:AdWare.Win32.Virtumonde.bjc
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 Win32/Adware.Virtumonde
Norman 5.80.02 2007.12.07 W32/Virtumonde.IZU
Panda 9.0.0.4 2007.12.09 Suspicious file
Prevx1 V2 2007.12.09 Trojan.Vundo
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 -
Sunbelt 2.2.907.0 2007.12.07 -
TheHacker 6.2.9.153 2007.12.07 Adware/Virtumonde.bjc
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.08 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.12.08 Trojan.Vundo.DRT
weitere Informationen
File size: 85568 bytes
MD5: 060427757ff8e53c7ca74559366dc566
SHA1: 4f5a02067ba9d50d19d92e427b90082e462f5e0c
PEiD: -
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=A0F2F19640DAE7F04E8A014971E06300F40FED75

Alt 10.12.2007, 17:34   #9
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



so, hab avast jetzt erstmal wieder gekickt und antivir zurück geholt.

nach einem tip eines bekannten, hab ich alle funde des antivir scanns umbenennen lassen und in einem zweiten durchlauf gelöscht.

Mit deaktivierter systemwiederherstellung natürlich.

Hab bis jetzt auch keine neuen funde.

Das hjtfile danach:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:21, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Arthur\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {73F24B2F-4F7A-4BC2-A685-0333C49D1042} - C:\WINDOWS\system32\rqrrsss.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {90D274DE-2466-47AF-A4AA-4D900CED0312} - C:\WINDOWS\system32\gebyx.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Programme\Viewpoint\Viewpoint Toolbar\3.8.0\ViewBarBHO.dll
O2 - BHO: {961e477e-29b9-bb4a-4a94-94740c13ab8a} - {a8ba31c0-4749-49a4-a4bb-9b92e774e169} - C:\WINDOWS\system32\cwviymem.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Programme\Gemeinsame Dateien\Viewpoint\Toolbar Runtime\3.8.0\IEViewBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1167434377\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [50a95d23] rundll32.exe "C:\WINDOWS\system32\dyvrxpbe.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Viewpoint Search - res://C:\Programme\Viewpoint\Viewpoint Toolbar V35\ViewBar.dll/CXTSEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{38B2844F-6236-4B60-9437-D1E725C77779}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: rqrrsss - rqrrsss.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe

--
End of file - 10006 bytes

Alt 10.12.2007, 19:23   #10
Franz1968
/// Helfer-Team
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Zitat:
Zitat von Hypophysis Beitrag anzeigen
Hab bis jetzt auch keine neuen funde.
Aber sauber ist der Rechner nicht, was auch nicht zu erwarten war. Im Gegenteil, es taucht jede Menge Malware neu auf:
Zitat:
O2 - BHO: (no name) - {73F24B2F-4F7A-4BC2-A685-0333C49D1042} - C:\WINDOWS\system32\rqrrsss.dll (file missing)
O2 - BHO: (no name) - {90D274DE-2466-47AF-A4AA-4D900CED0312} - C:\WINDOWS\system32\gebyx.dll (file missing)
O2 - BHO: {961e477e-29b9-bb4a-4a94-94740c13ab8a} - {a8ba31c0-4749-49a4-a4bb-9b92e774e169} - C:\WINDOWS\system32\cwviymem.dll (file missing)
O4 - HKLM\..\Run: [50a95d23] rundll32.exe "C:\WINDOWS\system32\dyvrxpbe.dll",b
O20 - Winlogon Notify: rqrrsss - rqrrsss.dll (file missing)
Wie bereits gesagt, der ursprüngliche Eintrag:
Zitat:
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\system32\algs.exe
deutet auf eine Backdoor hin, auch wenn die Datei algs.exe auf deinem System nicht mehr aufzufinden ist. Du musst daher dein System neu aufsetzen, im Anschluss alle verwendeten Passwörter ändern.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 10.12.2007, 21:44   #11
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



na super... naja danke für die hilfe

Alt 12.12.2007, 22:49   #12
Hypophysis
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Das hjt file nach dem neu aufsetzen

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:23, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Artur\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q5IR8LAR\Install_ICQ6[1].exe
C:\Dokumente und Einstellungen\Artur\Desktop\HJT\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD78B60A-58D0-42D4-BC79-E414A198B2E1}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 3365 bytes
Dazu soll gesagt sein, dass ich vor dem formatieren von C meine musik bilder video und text dateien auf D übertragen hab und diese somit nicht mit formatiert wurden.

Alt 13.12.2007, 14:32   #13
Franz1968
/// Helfer-Team
 
Problem mit Trojaner Win32:Nurech-AG [Trj] - Standard

Problem mit Trojaner Win32:Nurech-AG [Trj]



Das aktuelle Logfile ist sauber. Ich nehme mal an, dass dieser Eintrag:
Zitat:
C:\Dokumente und Einstellungen\Artur\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q5IR8LAR\Install_ICQ6[1].exe
mit einer von dir veranlassten ICQ-Installation in Verbindung steht. Wenn du diese Software aus einer vertrauenswürdigen Quelle hast, dürfte da kein Problem bestehen.
Zitat:
Dazu soll gesagt sein, dass ich vor dem formatieren von C meine musik bilder video und text dateien auf D übertragen hab und diese somit nicht mit formatiert wurden.
Gut, eine Formatierung aller Partitionen und anschließende Neupartitionierung wäre vorzuziehen gewesen. Daten, Bilder und Musik zu sichern ist in der Regel unproblematisch; ausführbare Dateien sollten nicht gesichert, sondern nach dem Neuaufsetzen aus der jeweiligen Original-Quelle neu heruntergeladen werden.

Vergiss nicht, sicherheitshalber alle verwendeten Passwörter - von "E" wie ebay bis "O" wie Online-Banking - zu ändern, falls noch nicht geschehen.

Da du D: nicht formatiert hast, lege ich dir ans Herz, dein gesamtes System mit AntiVir im abgesicherten Modus und "aggressiver" Heuristik noch einmal durchzuscannen; falls sich dabei etwas Auffälliges ergibt, bitte noch mal melden.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Antwort

Themen zu Problem mit Trojaner Win32:Nurech-AG [Trj]
avast, besitzer, datei, einstellungen, explorer, fehler, folge, ide, kontextmenü, laden, lahm, links, microsoft, msn, neue, nicht löschbar, outlook express, problem, probleme, rechnung.zip, schnelle hilfe, tastatur, trojaner, viren, win32, windows, windows xp



Ähnliche Themen: Problem mit Trojaner Win32:Nurech-AG [Trj]


  1. Problem Win32:Crypt-RQA
    Log-Analyse und Auswertung - 09.01.2015 (2)
  2. ESETLog:Win32/OpenCandy Anwendung; Win32/Toolbar.Zugo Anwendung; Var. von: Win32/Bundled.Toolbar.Ask Anwendung; Win32/Injector.AIBG Trojaner
    Log-Analyse und Auswertung - 17.06.2013 (7)
  3. Problem mit Trojaner Win32:Zbot-QGP + Java:Agent-CDZ + Java:Malware-gen
    Log-Analyse und Auswertung - 29.03.2013 (9)
  4. Problem mit ESET Online scanner bei Fund einer Variante von Win32 SpyZBot ZR Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.10.2011 (25)
  5. Problem mit ESET Online scanner bei Fund einer Variante von Win32 SpyZBot ZR Trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 23.10.2011 (1)
  6. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  7. TR/Dropper - Trojan.Downloader.Nurech.AZ
    Plagegeister aller Art und deren Bekämpfung - 18.10.2009 (27)
  8. Problem mit Win32:Trojan-gen und Win32:Adware-gen
    Log-Analyse und Auswertung - 03.03.2009 (0)
  9. Virus-oder Trojaner-Befall (Win32-Problem)
    Log-Analyse und Auswertung - 01.12.2008 (0)
  10. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  11. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  12. Trojaner-Problem Win32/TrojanDropper.Agent.Dgo
    Log-Analyse und Auswertung - 25.01.2008 (5)
  13. keine zuverlässige win32 anwendung - trojaner problem?
    Log-Analyse und Auswertung - 22.01.2008 (10)
  14. nurech.p
    Log-Analyse und Auswertung - 04.03.2007 (6)
  15. problem bei entfernung von trojaner ( win32.mt.rs)
    Plagegeister aller Art und deren Bekämpfung - 19.01.2007 (16)
  16. Trojan-Downloader.Win32.Nurech.v
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (1)
  17. Win32 problem
    Alles rund um Windows - 24.04.2005 (11)

Zum Thema Problem mit Trojaner Win32:Nurech-AG [Trj] - Hallo, Ich habe seit einigen Tagen Probleme mit folgendem Biest: Pfad: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{A6B5858C-56E9-4E0A-895D-72E410BD4D90}\Microsoft\Outlook Express\Posteingang.dbx\Forderung AZ- 497917-56].eml#2331104\Forderung AZ: 497917\56#3124431267\Rechnung.zip#3634457680\O_rechnung.pdf.exe Name: Win32:Nurech-AG [Trj] Typ Trojanisches Pferd Ich hab mir den - Problem mit Trojaner Win32:Nurech-AG [Trj]...
Archiv
Du betrachtest: Problem mit Trojaner Win32:Nurech-AG [Trj] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.