GESUCHT: Hilfe beim Logfile-Lesen

m1de · 02.07.2008, 15:32

Hallo, ich habe bisher keine Probleme mit Viren etc gehabt. (Zumindest habe ich und mein Antivir nichts gemerkt

) Doch letzte Woche wurde ich Opfer meiner Unachsamkeit. Falsches Feld beim Virenscanner Antivir geklickt und schon wars um meinen PC geschehen.

System: Windows XP Media Center SP2
Virenscanner: Anivir

Der Antivir hatte auch super angeschlagen und mir einen Trojaner bescheinigt (Name ???). Nun versuchte ich selbst die Dateien zu finden und teilweise gelang mir das auch. Dann bin ich heute nochmal mit den Vorgehensweisen die hier immer beschrieben werden drüber gegangen. Ich habe das ungute Gefühl da ist noch viel über gblieben was auf meinem PC rumspukt.

Vorgehensweise
1. CCleaner
2. AVZ --> siehe Logfile
3. Hijack --> siehe Logfile

Frage: Ist da jetzt noch was auf dem PC oder bin ich clean

AVZ Log und AVZ CSV Log

siehe unter: h**p://m1de.champusspeicher.de/avz.html

Hijack Log

Code:

ATTFilter

C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\21_03_02_Lokale_Access_Assistenten_Formular\Lokale_Access_Assistenten\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\24_03_Create_Database_Table_SQLServer\Create_Database_SQLServer_TSQL\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\25_03_01_GetSchemaTable_OleDb_SQLClient\GetSchemaTable_OleDb_SQLClient\obj\Debug\TempPE\My Project.Resources.Designer.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\obj\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_06_WebdienstClient_GlobalWeather\Webdienst_Client_GlobalWeather\obj\Debug\TempPE\My Project.Resources.Designer.vb.d;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Programme\MWAV\mexe.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\MWAV\MWAVSCAN.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\Installer\495f38.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\4c256.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
C:\WINDOWS\Installer\de41c.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\f390e8.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\system32\chcp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcomp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcopy.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\edit.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\format.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\graftabl.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\mode.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\more.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\shdocvw.bak;3;PE file with non-standard extension(dangerousness level is 5%)
C:\WINDOWS\system32\T.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\TASKMGR.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\tree.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\win.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\winspool.drv;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\RICHED32.DLL;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\ntshrui.dll;5;Suspicion for Keylogger or Trojan DLL
D:\autorun.inf;3; HSC: suspicion for  hidden autorun (high degree of probability)
D:\Autorun.exe;3; HSC: suspicion for  hidden autorun D:\autorun.inf [Autorun\Open]

Vielen Dank für eure Hilfe schon mal im voraus.

m1de

-SilverDragon- · 02.07.2008, 18:00

Zitat:

Zitat von m1de

Hijack Log

Code:

ATTFilter

C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\21_03_02_Lokale_Access_Assistenten_Formular\Lokale_Access_Assistenten\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\24_03_Create_Database_Table_SQLServer\Create_Database_SQLServer_TSQL\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\25_03_01_GetSchemaTable_OleDb_SQLClient\GetSchemaTable_OleDb_SQLClient\obj\Debug\TempPE\My Project.Resources.Designer.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\obj\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_06_WebdienstClient_GlobalWeather\Webdienst_Client_GlobalWeather\obj\Debug\TempPE\My Project.Resources.Designer.vb.d;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Programme\MWAV\mexe.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\MWAV\MWAVSCAN.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\Installer\495f38.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\4c256.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
C:\WINDOWS\Installer\de41c.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\f390e8.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\system32\chcp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcomp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcopy.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\edit.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\format.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\graftabl.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\mode.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\more.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\shdocvw.bak;3;PE file with non-standard extension(dangerousness level is 5%)
C:\WINDOWS\system32\T.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\TASKMGR.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\tree.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\win.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\winspool.drv;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\RICHED32.DLL;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\ntshrui.dll;5;Suspicion for Keylogger or Trojan DLL
D:\autorun.inf;3; HSC: suspicion for  hidden autorun (high degree of probability)
D:\Autorun.exe;3; HSC: suspicion for  hidden autorun D:\autorun.inf [Autorun\Open]

Das ist kein HijackThis Logfile. Poste bitte ein Log nach der Anleitung die hier verlinkt ist!

Desweiteren lasse Malwarebytes sowie SUPERAntiSpyware scannen. Reports danach posten.

m1de · 03.07.2008, 01:19

Sorry, dass ich mich da ein bischen in den Logfiles vertan habe. Ich denke, ich weiß nun, dass mein System definitiv noch verseucht ist. Kann man da trotzdem durch gezielte Maßnahmen noch was regeln?

zur Info, ich habe nochmal nu einen kompletten Durchlauf mehrerer Programme gestartet und erstmal keine Dateien löchen lassen, um nciht die Ergebnisse der nachfolgenden Programme zu verässern.

Die Logfiles habe ich wie gewohnt uf eine ebsite gestellt, da sie insgesamt für hier zu lang wären. Leider muss dort noch die Dateiendung geändert werden.

Link zu den Logfiles: h**p://m1de.champusspeicher.de/avz.html

den Hijackthisfile pote ich hier trotzdem nochmal:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:36, on 02.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\XPclean5\Regwarner.exe
C:\WINDOWS\system32\ctfmon.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35218E2A-1C45-46FE-829B-8415790B0210} - C:\WINDOWS\system32\jkkKdeEv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {6FA2421A-54B1-4B69-A19E-5BC2FA9D096F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [DisplayFusion] "C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine Downloads\Dual Monitor\DisplayFusion.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: MultiMon Taskbar.lnk = C:\Programme\MMTaskbar\MultiMon.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138717820890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144585369421
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: jkkKdeEv - C:\WINDOWS\SYSTEM32\jkkKdeEv.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)
O24 - Desktop Component 1: (no name) - (no file)
O24 - Desktop Component 2: (no name) - (no file)

--
End of file - 9072 bytes

So, ich hoffe ich habe diesmal genug Stoff zum Analyieren gegeben, und hofe auf euere Tipps. Wie gesagt, ich würde gerne ine Neuinstalation verhindern.

mfg, M1de

undoreal · 03.07.2008, 08:40

Hallöle.

Auf der Seite

Zitat:

h**p://m1de.champusspeicher.de/avz.html

finde ich das log nicht und ich habe auch keine Lust ewig danach zu suchen.
Lade die logs bitte bei rapidshare hoch und poste den direkt Link hier.

Fixe mit HJT bitte folgende Einträge:

Zitat:

C:\Programme\XPclean5\Regwarner.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {35218E2A-1C45-46FE-829B-8415790B0210} - C:\WINDOWS\system32\jkkKdeEv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {6FA2421A-54B1-4B69-A19E-5BC2FA9D096F} - (no file)
O20 - Winlogon Notify: jkkKdeEv - C:\WINDOWS\SYSTEM32\jkkKdeEv.dll

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Folders to delete:
C:\Programme\XPclean5

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

m1de · 03.07.2008, 12:00

Hallo und Danke für die ersten hilfe-Anätze. Du hattest recht, die Bereitstellung der Logfiles war zu umständlich. Sorry dafür. Ich habe aber mit Rapidhare nix am hut und habe mir deshalb erlaubt, die Logfiles als Plain-Text auf meine Seite ( h**p://m1de.champusspeicher.de/avz.html )zu schreiben. Dann kann man sie direkt lesen oder mit STRG+C rauskopieren.

Ich hoffe das ist auch akzeptabel, denn immerhin möchte ich ja von euch geholfen bekommen.

In der wischenzeit werde ich mal mit Hijack die angegebenen Stellen fixen.

Bis dann, m1de

m1de · 03.07.2008, 13:07

ZUSATZ:

Ich wollte eben mit dem Registry-Editor ein paar Einträge löschen, die mir ja angzeigt wurden. Doch der Regedit ließ sich nicht starten.
Ich habe dann mit Eingabeauforderung nach der Datei gesucht und festgestellt, dass diese und viele andere in C:\Windows und \System32 doppelt oder wie im Fall Regdi erstetzt sind. Die Doppelte oder Ersatzdatei hat dann noch zusätzlich die Endung ZOTTEL.

Beispiel: taskmgr.exe.zottel oder explorer.exe und explorer.exe.zottel in einem Verzeichnis.

Was kann das sein und wie mache ich es am Besten rückgängig?

In den ganzen Logiles wurde ja nicht einmal sowas angezeigt!?

Grüße, m1de

GESUCHT: Hilfe beim Logfile-Lesen

Log-Analyse und Auswertung: GESUCHT: Hilfe beim Logfile-Lesen