Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Erfolglose Trojanasuche trotz Kapersky?

Erfolglose Trojanasuche trotz Kapersky?


Plagegeister aller Art und deren Bekämpfung: Erfolglose Trojanasuche trotz Kapersky?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 03.04.2008, 20:14   #1
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Hallo Forumgemeinde,

ich hab momentan mit ein neuen Übel zu kämpfen, was sich in öffnen neuer Fenster mit Werbung zeigt. Mein Kapersky verhindert es meistens mit dieser Meldung:

C:\WINDOWS\Explorer.EXE Der Prozess C:\WINDOWS\Explorer.EXE (PID: 1632) versucht, mit Hilfe einer vertrauenswürdigen Anwendung Daten zu senden. Zieladresse: http://83.149.115.142/index.php Daten: i Verschlüsselte Daten: cmp=ghrnc&uid=3A46F072FD1311DC9A04152050CFFFFF&guid=505DAF97C06D469F82D42A478BA7437A&affid=152050&lid=http


und ab und zu:

Intrusion.Win.MSSQL.worm.Helkern 221.204.249.187 UDP 1434
Intrusion.Win.MSSQL.worm.Helkern 121.14.104.165 UDP 1434


Öfters öffnet sich auch diese Fenster:







Hab den Kapersky schon mehrmals mein PC durchsuchen lassen. Auch eine Systembereinigung hat nichts gebracht.

Hofe ihr könnt mich als Laie bei meinem Problem helfen.


Gruß, Max

Alt 03.04.2008, 20:48   #2
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


ach... vergessen:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:59, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wvqpqziv.exe
D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe
C:\Dokumente und Einstellungen\Jacko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VX8D9FI2\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5695F900-BFBB-476E-BD8D-53CBEE67B267} - C:\WINDOWS\system32\ljJYQGaB.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {94BC3D1D-22E9-4744-8ED1-3E08A3B74078} - C:\WINDOWS\system32\hgGvtUMe.dll (file missing)
O2 - BHO: {756c5fa7-040d-9a48-6994-1bcc36a23dca} - {acd32a63-ccb1-4996-84a9-d0407af5c657} - C:\WINDOWS\system32\dtgdwxfq.dll
O2 - BHO: GNX Bingo - {B7EA0C59-1858-423F-B900-EE21B86042A6} - C:\WINDOWS\svpekgonpla.dll (file missing)
O3 - Toolbar: stfngdvw - {76C0CCAD-BC10-4E84-B15C-BE1E12C6C6E0} - C:\WINDOWS\stfngdvw.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [2b52154c] rundll32.exe "C:\WINDOWS\system32\kvkkpyiw.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [mrgdvnxd] C:\WINDOWS\system32\wvqpqziv.exe
O4 - HKLM\..\Policies\Explorer\Run: [nGBC2I7gOf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///F:/components/hidinputmonitorx.ocx
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///F:/components/A9.ocx
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1204064003
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///F:/components/wmvhdrating.ocx
O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (Bl_camera Control) - http://cengiz.viewnetcam.com/bl_camera.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205268779
O17 - HKLM\System\CCS\Services\Tcpip\..\{45A5A0B6-5593-4E4E-B2BB-2AF1FC693A6E}: NameServer = 81.173.194.68 194.8.194.60
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: hgGvtUMe - hgGvtUMe.dll (file missing)
O21 - SSODL: fkdnrwsv - {9E491F2B-4C2F-4394-A02A-626B704711C6} - C:\WINDOWS\fkdnrwsv.dll (file missing)
O21 - SSODL: sxfnewqb - {FE6DB19F-B647-4CE5-9995-FEC4B07A47EE} - C:\WINDOWS\sxfnewqb.dll (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Jacko/LOKALE~1/Temp/msohtml1/03/clip_image002.jpg

--
End of file - 9110 bytes
__________________
Alt 04.04.2008, 16:35   #3
virus
Gast
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Hi Mahoney

Bitte scanne folgende datein hier oder hier online und poste die Ergebnisse:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe

C:\WINDOWS\system32\wvqpqziv.exe

C:\WINDOWS\system32\ljJYQGaB.dll

C:\WINDOWS\system32\dtgdwxfq.dll

C:\WINDOWS\stfngdvw.dll

C:\WINDOWS\system32\kvkkpyiw.dll",b

C:\WINDOWS\system32\hgGvtUMe.dll

F:/components/hidinputmonitorx.ocx

F:/components/A9.ocx

C:\WINDOWS\svpekgonpla.dll

C:\WINDOWS\fkdnrwsv.dll

C:\WINDOWS\sxfnewqb.dll

lass bitte Malwarebytes laufen (link in meiner Signatur) und poste den Report

Bitte fixe mit HijackThis folgende Einträge:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab

O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (Bl_camera Control) - h**p://cengiz.viewnetcam.com/bl_camera.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205268779

O20 - Winlogon Notify: hgGvtUMe - hgGvtUMe.dll (file missing)

Bitte auch einmal CCleaner anwenden auch registry reparieren
Das dein Kaspersky nix gefunden hat verwundert mich schon etwas
__________________
Alt 05.04.2008, 00:33   #4
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


JUHUUU ENDLICH HILFE!

uff! Hier die Ergebnisse:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe

AntiVir TR/Crypt.XPACK.Gen gefunden
Kaspersky Anti-Virus Keine Viren gefunden
Panda Antivirus Trj/Agent.IMA gefunden



C:\WINDOWS\system32\wvqpqziv.exe

AntiVir TR/Crypt.XPACK.Gen gefunden
AVG Antivirus Downloader.Obfuskated gefunden
CPsecure Troj.Proxy.W32.Agent.qq gefunden


C:\WINDOWS\system32\ljJYQGaB.dll

AntiVir TR/Vundo.Gen gefunden
Avast Win32:TratBHO gefunden
BitDefender Trojan.Vundo.EFN gefunden
ClamAV Trojan.Vundo-2063 gefunden
CPsecure AdWare.W32.Virtumonde.gen gefunden
Norman Virus Control W32/Vundo.gen142 gefunden
Sophos Antivirus Troj/Virtum-Gen gefunden


C:\WINDOWS\system32\dtgdwxfq.dll

AntiVir TR/Vundo.Gen gefunden
Avast Win32:TratBHO gefunden
AVG Antivirus Lop gefunden
Norman Virus Control W32/Vundo.gen142 gefunden
Sophos Antivirus Troj/Virtum-Gen gefunden
VirusBuster Adware.Vundo.Gen!Pac.18 gefunden


C:\WINDOWS\stfngdvw.dll
C:\WINDOWS\system32\kvkkpyiw.dll",b
C:\WINDOWS\system32\hgGvtUMe.dll
F:/components/hidinputmonitorx.ocx
F:/components/A9.ocx
C:\WINDOWS\svpekgonpla.dll
C:\WINDOWS\fkdnrwsv.dll
C:\WINDOWS\sxfnewqb.dll

Deinahme ungültig

Zitat:
Bitte fixe mit HijackThis folgende Einträge:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab

O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (Bl_camera Control) - h**p://cengiz.viewnetcam.com/bl_camera.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205268779

O20 - Winlogon Notify: hgGvtUMe - hgGvtUMe.dll (file missing)
das ist ein wenig zuviel Latain. Verstehe nicht sorecht was du damit meinst.

Zum CCleare. Hab da schon das Programm Sweepi auseführt.

Gruß, Max

Alt 05.04.2008, 00:42   #5
BataAlexander
> MalwareDB
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Wir können den Vorgang vielleicht ankürzen.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.


Alt 05.04.2008, 01:08   #6
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


hey, noch mehr hilfe^^

Hab das Programm mal ausgeführt. Ergebnis:


ComboFix 08-04-03.5 - Jacko 2008-04-05 1:51:49.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.236 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jacko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VX8D9FI2\ComboFix[1].exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Jacko\Desktopblackbird.jpg
C:\Dokumente und Einstellungen\Jacko\DesktopEditorFKWP1.5.exe
C:\Dokumente und Einstellungen\Jacko\DesktopEditorFKWP2.0.exe
C:\Dokumente und Einstellungen\Jacko\Desktopfilemanagerclient.exe
C:\Dokumente und Einstellungen\Jacko\Desktopfkwp1.5.exe
C:\Dokumente und Einstellungen\Jacko\Desktopfkwp2.0.exe
C:\Dokumente und Einstellungen\Jacko\Desktopfwebd.exe
C:\Dokumente und Einstellungen\Jacko\DesktopFWebdEditor.exe
C:\Dokumente und Einstellungen\Jacko\DesktopTrojan.Win32.BlackBird.exe
C:\Dokumente und Einstellungen\Jacko\Desktopvirii
C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Hotbar
C:\Programme\media-codec
C:\WINDOWS\a.bat
C:\WINDOWS\bdn.com
C:\WINDOWS\cookies.ini
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\ajjyjxna.dll
C:\WINDOWS\system32\BaGQYJjl.ini
C:\WINDOWS\system32\BaGQYJjl.ini2
C:\WINDOWS\system32\dtgdwxfq.dll
C:\WINDOWS\system32\hliltyji.ini
C:\WINDOWS\system32\jnvniewk.ini
C:\WINDOWS\system32\kvkkpyiw.dll
C:\WINDOWS\system32\kweinvnj.dll
C:\WINDOWS\system32\ljJYQGaB.dll
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\quximpbfis.dat
C:\WINDOWS\system32\quximpbfis_nav.dat
C:\WINDOWS\system32\quximpbfis_navps.dat
C:\WINDOWS\system32\wdtvocmt.dll
C:\WINDOWS\system32\wiypkkvk.ini
C:\WINDOWS\system32akttzn.exe
C:\WINDOWS\system32anticipator.dll
C:\WINDOWS\system32awtoolb.dll
C:\WINDOWS\system32bdn.com
C:\WINDOWS\system32bsva-egihsg52.exe
C:\WINDOWS\system32dpcproxy.exe
C:\WINDOWS\system32emesx.dll
C:\WINDOWS\system32h@tkeysh@@k.dll
C:\WINDOWS\system32hoproxy.dll
C:\WINDOWS\system32hxiwlgpm.dat
C:\WINDOWS\system32hxiwlgpm.exe
C:\WINDOWS\system32medup012.dll
C:\WINDOWS\system32medup020.dll
C:\WINDOWS\system32msgp.exe
C:\WINDOWS\system32msnbho.dll
C:\WINDOWS\system32mssecu.exe
C:\WINDOWS\system32msvchost.exe
C:\WINDOWS\system32mtr2.exe
C:\WINDOWS\system32mwin32.exe
C:\WINDOWS\system32netode.exe
C:\WINDOWS\system32newsd32.exe
C:\WINDOWS\system32ps1.exe
C:\WINDOWS\system32psof1.exe
C:\WINDOWS\system32psoft1.exe
C:\WINDOWS\system32regc64.dll
C:\WINDOWS\system32regm64.dll
C:\WINDOWS\system32Rundl1.exe
C:\WINDOWS\system32smp
C:\WINDOWS\system32smp\msrc.exe
C:\WINDOWS\system32sncntr.exe
C:\WINDOWS\system32ssurf022.dll
C:\WINDOWS\system32ssvchost.com
C:\WINDOWS\system32ssvchost.exe
C:\WINDOWS\system32sysreq.exe
C:\WINDOWS\system32taack.dat
C:\WINDOWS\system32taack.exe
C:\WINDOWS\system32temp#01.exe
C:\WINDOWS\system32thun.dll
C:\WINDOWS\system32thun32.dll
C:\WINDOWS\system32VBIEWER.OCX
C:\WINDOWS\system32vbsys2.dll
C:\WINDOWS\system32vcatchpi.dll
C:\WINDOWS\system32winlogonpc.exe
C:\WINDOWS\system32winsystem.exe
C:\WINDOWS\system32WINWGPX.EXE
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\Web\def.htm
C:\WINDOWS\winsystem.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-05 bis 2008-04-05 ))))))))))))))))))))))))))))))
.

2008-04-03 19:24 . 2008-04-03 19:24 <DIR> d-------- C:\Programme\YooApplications
2008-04-03 19:24 . 2003-12-26 01:13 212,992 --a------ C:\WINDOWS\system32\YExBar.ocx
2008-04-03 19:24 . 1998-06-24 11:55 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX
2008-04-03 19:24 . 1998-05-05 17:35 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2008-04-03 19:24 . 1998-07-06 18:55 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2008-04-03 19:24 . 1998-05-05 17:35 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2008-04-03 19:18 . 2008-04-03 19:18 <DIR> d--hs---- C:\FOUND.009
2008-04-01 18:27 . 2008-04-01 20:04 415 ---hs---- C:\WINDOWS\system32\rxmtxkab.ini
2008-03-30 18:41 . 2008-03-30 18:41 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-03-30 18:41 . 2008-03-30 18:41 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-30 18:31 . 2008-03-30 18:31 <DIR> d-------- C:\kav
2008-03-29 10:36 . 2008-03-29 10:36 <DIR> d-------- C:\Programme\PC-Cleaner
2008-03-28 22:32 . 2008-03-28 22:32 <DIR> dr-h----- C:\$VAULT$.AVG
2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\AVG7
2008-03-28 22:28 . 2008-03-28 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-03-28 21:56 . 2008-03-28 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch
2008-03-28 21:56 . 2008-03-28 21:56 106,496 --a------ C:\WINDOWS\system32\wvqpqziv.exe
2008-03-26 20:08 . 2008-03-26 20:08 <DIR> d--hs---- C:\FOUND.008
2008-03-22 16:55 . 2008-03-22 16:55 <DIR> d--hs---- C:\FOUND.007
2008-03-19 17:28 . 2008-03-19 17:28 <DIR> d--hs---- C:\FOUND.006
2008-03-07 10:16 . 2008-03-07 10:16 <DIR> d--hs---- C:\FOUND.005
2008-03-06 11:53 . 2008-03-06 11:53 48 ---hs---- C:\WINDOWS\SA1A34E25.tmp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-24 15:15 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-24 15:15 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\skypePM
2008-02-24 15:05 --------- d-----w C:\Programme\Skype
2008-02-24 15:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\Skype
2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-01-11 04:33 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-07-14 20:34 58,056 ----a-w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"mrgdvnxd"="C:\WINDOWS\system32\wvqpqziv.exe" [2008-03-28 21:56 106496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-11-12 19:53 372736 C:\WINDOWS\system32\nwiz.exe]
"CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2002-12-30 17:34 90112]
"CPLBTS88"="C:\PROGRA~1\EzButton\CPLBTS88.EXE" [2002-11-29 15:42 188416]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2002-11-08 13:32 434176]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-03-29 14:40 122880]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2002-12-10 16:58 45056]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 01:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe]
"NapsterShell"="C:\Programme\Napster\napster.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55 267064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"nGBC2I7gOf"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD]
C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\MSN Messenger\\MSNMSGR.EXE"=

R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-14 00:14]
R2 BBDemon;Backbone Service;"D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service []
R2 DPortIO;Dritek Port I/O Driver;C:\WINDOWS\system32\Drivers\DPortIO.sys [2001-04-12 16:04]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-09-17 15:12]
R3 WBSD;Winbond Secure Digital Storage Device Driver;C:\WINDOWS\system32\Drivers\WBSD.SYS [2002-11-08 12:28]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-29 11:17:26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 02:03:36
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-05 2:05:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-05 00:05:42
14 Verzeichnis(se), 1,136,181,248 Bytes frei
83 Verzeichnis(se), 1,172,652,032 Bytes frei
.
2008-04-01 01:02:24 --- E O F ---

Alt 05.04.2008, 01:33   #7
BataAlexander
> MalwareDB
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
C:\WINDOWS\system32\rxmtxkab.ini
C:\WINDOWS\system32\wvqpqziv.exe
C:\WINDOWS\SA1A34E25.tmp

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mrgdvnxd"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"nGBC2I7gOf"=-
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Alt 05.04.2008, 14:54   #8
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Moment... was meinst du damit? Welches Notpad? wie starte ich das Notepad?

Alt 05.04.2008, 15:30   #9
BataAlexander
> MalwareDB
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Z.B. über Start / Ausführen / Notepad eintippen und [Enter]

Alt 05.04.2008, 21:07   #10
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


ok. hoffe ich hab es richtig gemacht:


ComboFix 08-04-04.1 - Jacko 2008-04-05 21:55:38.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.290 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jacko\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Jacko\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\SA1A34E25.tmp
C:\WINDOWS\system32\rxmtxkab.ini
C:\WINDOWS\system32\wvqpqziv.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe
C:\WINDOWS\system32\rxmtxkab.ini
C:\WINDOWS\system32\wvqpqziv.exe
C:\WINDOWS\SA1A34E25.tmp . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-05 bis 2008-04-05 ))))))))))))))))))))))))))))))
.

2008-04-03 19:24 . 2008-04-03 19:24 <DIR> d-------- C:\Programme\YooApplications
2008-04-03 19:24 . 2003-12-26 01:13 212,992 --a------ C:\WINDOWS\system32\YExBar.ocx
2008-04-03 19:24 . 1998-06-24 11:55 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX
2008-04-03 19:24 . 1998-05-05 17:35 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2008-04-03 19:24 . 1998-07-06 18:55 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2008-04-03 19:24 . 1998-05-05 17:35 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2008-04-03 19:18 . 2008-04-03 19:18 <DIR> d--hs---- C:\FOUND.009
2008-03-30 18:41 . 2008-03-30 18:41 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-03-30 18:41 . 2008-03-30 18:41 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-30 18:31 . 2008-03-30 18:31 <DIR> d-------- C:\kav
2008-03-29 10:36 . 2008-03-29 10:36 <DIR> d-------- C:\Programme\PC-Cleaner
2008-03-28 22:32 . 2008-03-28 22:32 <DIR> dr-h----- C:\$VAULT$.AVG
2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\AVG7
2008-03-28 22:28 . 2008-03-28 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-03-26 20:08 . 2008-03-26 20:08 <DIR> d--hs---- C:\FOUND.008
2008-03-22 16:55 . 2008-03-22 16:55 <DIR> d--hs---- C:\FOUND.007
2008-03-19 17:28 . 2008-03-19 17:28 <DIR> d--hs---- C:\FOUND.006
2008-03-07 10:16 . 2008-03-07 10:16 <DIR> d--hs---- C:\FOUND.005
2008-03-06 11:53 . 2008-04-05 22:01 0 --------- C:\WINDOWS\SA1A34E25.tmp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-24 15:15 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-24 15:15 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\skypePM
2008-02-24 15:05 --------- d-----w C:\Programme\Skype
2008-02-24 15:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\Skype
2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-01-11 04:33 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-07-14 20:34 58,056 ----a-w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-11-12 19:53 372736 C:\WINDOWS\system32\nwiz.exe]
"CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2002-12-30 17:34 90112]
"CPLBTS88"="C:\PROGRA~1\EzButton\CPLBTS88.EXE" [2002-11-29 15:42 188416]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2002-11-08 13:32 434176]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-03-29 14:40 122880]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2002-12-10 16:58 45056]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 01:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe]
"NapsterShell"="C:\Programme\Napster\napster.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55 267064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD]
C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\MSN Messenger\\MSNMSGR.EXE"=

R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-14 00:14]
R2 BBDemon;Backbone Service;"D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service []
R2 DPortIO;Dritek Port I/O Driver;C:\WINDOWS\system32\Drivers\DPortIO.sys [2001-04-12 16:04]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-09-17 15:12]
R3 WBSD;Winbond Secure Digital Storage Device Driver;C:\WINDOWS\system32\Drivers\WBSD.SYS [2002-11-08 12:28]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-29 11:17:26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 22:01:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-05 22:05:15 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-05 20:05:10
ComboFix2.txt 2008-04-05 00:05:52
15 Verzeichnis(se), 2,314,420,224 Bytes frei
84 Verzeichnis(se), 2,322,907,136 Bytes frei
.
2008-04-01 01:02:24 --- E O F ---

Alt 05.04.2008, 21:29   #11
BataAlexander
> MalwareDB
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Hast alles richtig gemacht.

Die Datei

C:\WINDOWS\SA1A34E25.tmp

bitte bei VirusTotal - Free Online Virus and Malware Scan hochladen und das Ergebnis hier posten.
Kopiere der Einfachheit halber den Pfad von hier ab.

Alt 05.04.2008, 22:00   #12
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


0 bytes size received / Se ha recibido un archivo vacio
Alt 05.04.2008, 22:03   #13
BataAlexander
> MalwareDB
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Ich geh im Moment davon aus, das es sich hier um eine gernerische Datei Deines Virenprogrammes handelt.
Trotzdem:

Dateien verschieben mit OTMoveIt

- Lade OTMoveIt von OldTimer.
- Speichere es auf dem Desktop.
- Doppelklicke OTMoveIt.exe um das Programm zu starten.
- Kopiere die untenstehenden Dateien mittels markieren STRG+C oder nach dem markieren, rechtsklick und kopieren wählen.

Code:
ATTFilter
C:\WINDOWS\SA1A34E25.tmp
- Zurück zur OTMoveIt Oberfläche, Rechtsklick auf dem "Paste List of Files/Folders to be moved" Fenster und wähle "Einfügen" oder direkt STRG+V.
- Klick den roten Moveit! button.
- Klick "Exit" um OTMoveIt zu schließen.

- Wenn Du soweit bist, poste den Inhalt des Logs im Forum. Das Logfile liegt im Windows Stammverzeichnis (meist C:\)
Bsp.: C:\_OTMoveIt\MovedFiles\********_******.log
(wobei "********_******" das "Datum_Zeit" ist)
- Wenn eine Datei oder ein Ordner nicht direkt verschoben werden kann, wirst Du gefragt ob Du Neustarten willst um den Vorgang abzuschließen. Falls diese Frage auftaucht, den Rechner neu starten.
- Dann bitte das Log posten.

Alt 05.04.2008, 22:30   #14
Mahoney
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


File move failed. C:\WINDOWS\SA1A34E25.tmp scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04052008_232609

Files moved on Reboot...
File move failed. C:\WINDOWS\SA1A34E25.tmp scheduled to be moved on reboot.

Alt 05.04.2008, 22:48   #15
BataAlexander
> MalwareDB
 
Erfolglose Trojanasuche trotz Kapersky? - Standard

Erfolglose Trojanasuche trotz Kapersky?


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Collect:: 
C:\WINDOWS\SA1A34E25.tmp
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegangen ist, wird ein Fenster aufpoppen (Submit files for further analysis), dieses Fenster mit OK wegklicken, die Webseite dann aber schließen, das Formular nicht ausfüllen.
Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese Datei auf dem Desktop an mailen. Dann das Archiv und die CF-Submit.htm löschen und den Papierkorb leeren.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Antwort
Seite 1 von 3 1 23

Themen zu Erfolglose Trojanasuche trotz Kapersky?
anwendung, daten, durchsuchen, fenster, kapersky, meldung, neue, neuen, neuer, nichts, problem, prozess, systembereinigung, tan, troja, trotz, verhindert, verschlüsselte, versucht, vertrauenswürdige, werbung, windows, öffnen, öffnet


« Trojan.Vundo.EFK -brauch eure Hilfe!! | benötige Hilfe bei Trojaner "TR/Virtumod.WS" bzw. "jkkjjgd.dll" »

Ähnliche Themen: Erfolglose Trojanasuche trotz Kapersky?


  1. Windows EXTREMST langsam - seit Kaperskyupdate Bluescreens (Kapersky meinte Computer verseucht)
    Log-Analyse und Auswertung - 16.04.2014 (5)
  2. GVU Trojaner - Kapersky und abgesicherter Modus gehen nicht
    Plagegeister aller Art und deren Bekämpfung - 18.06.2013 (5)
  3. Verschlüsselungstrojaner, erfolglose Wiederherstellungsversuche
    Plagegeister aller Art und deren Bekämpfung - 19.02.2013 (3)
  4. Polizei Virus auf XP PC mit Kapersky freigeschallten
    Log-Analyse und Auswertung - 04.12.2012 (1)
  5. GVU nach Kapersky Nutzung als Gast anmelden OK ohne Passwort, nicht als Administrator mit Passwort
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (33)
  6. Gema-Trojaner: Kapersky bringt kein Ergebnis - was tun, DRINGEND!
    Plagegeister aller Art und deren Bekämpfung - 20.03.2012 (1)
  7. Windows gesperrt - Herunterladen und Bezahlen 50 € - Kapersky ...etc. Version
    Log-Analyse und Auswertung - 18.02.2012 (10)
  8. Der übliche 50€-Windows-Sperre-Kapersky-mist..
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (3)
  9. Spyware Doctor oder Kapersky Internet security ?
    Antiviren-, Firewall- und andere Schutzprogramme - 15.02.2012 (3)
  10. schwarzes fenster 50 euro kapersky infiziert durch pornografische seiten
    Plagegeister aller Art und deren Bekämpfung - 12.02.2012 (2)
  11. bka trojaner - kapersky 10 & otlpe bisher erfolglos
    Plagegeister aller Art und deren Bekämpfung - 19.08.2011 (3)
  12. Kapersky Rescue Disk 10 läßt sich nicht starten
    Log-Analyse und Auswertung - 06.06.2011 (3)
  13. Desktop Security 2010 - erfolglose Bekämpfung auch durch malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (3)
  14. Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?
    Plagegeister aller Art und deren Bekämpfung - 24.04.2008 (25)
  15. Kapersky
    Antiviren-, Firewall- und andere Schutzprogramme - 11.10.2006 (4)
  16. Kapersky konfigurieren
    Antiviren-, Firewall- und andere Schutzprogramme - 11.04.2004 (10)
  17. Kapersky
    Plagegeister aller Art und deren Bekämpfung - 27.07.2003 (24)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Erfolglose Trojanasuche trotz Kapersky? - Hallo Forumgemeinde, ich hab momentan mit ein neuen Übel zu kämpfen, was sich in öffnen neuer Fenster mit Werbung zeigt. Mein Kapersky verhindert es meistens mit dieser Meldung: C:\WINDOWS\Explorer.EXE Der - Erfolglose Trojanasuche trotz Kapersky?...
Archiv
Du betrachtest: Erfolglose Trojanasuche trotz Kapersky? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27