Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Your Cumputer is infected!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 21.10.2008, 09:07   #1
XaRaaN
 
Your Cumputer is infected! - Standard

Your Cumputer is infected!



Schönen Guten Morgen zusammen,

ich habe mir den Virus eingefangen der permanent ein Rotes X unten am Bildschirm zeigt und mir sagt " Your Computer is infected! ". Ich habe hier schon etwas in den Forum gestöbert und einige nützliche Tipps gefunden.

Ich habe bis jetzt Spybot S&D sowie Ad-Aware druchlaufen lassen , mit teilweisen Erfolg. Ich kann nun Meinen Pc wieder komplett steuern sprich TaskManager etc.

Ich bekomme aber nun dieses Schild in der Tast-Leiste nicht mehr los .

Mein HiJack-Log
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:05, on 21.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Razer\Tarantula\razerhid.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\bgvajcva.exe
C:\Programme\Razer\Tarantula\razertra.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis.exe
C:\WINDOWS\system32\bgvajcva.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Programme\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SmartMsg] C:\WINDOWS\system32\bgvajcva.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: MsgEn - {51B7ACD9-6F5A-DECF-653A-09CCA5399E79} - C:\Programme\bzhdpvf\MsgEn.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5071 bytes1

schonmal ein Danke im Voraus wenn sich jemand etwas Zeit nimmt


mfg

Christian

Alt 21.10.2008, 11:45   #2
Chris4You
 
Your Cumputer is infected! - Standard

Your Cumputer is infected!



Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Programme\bzhdpvf\MsgEn.dll
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\bgvajcva.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls alles erkannt wurde hier weiter, nicht erkannte Files aus den Scripten nehmen:
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brastk
 
Files to delete:
C:\Programme\bzhdpvf\MsgEn.dll
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\bgvajcva.exe
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O21 - SSODL: MsgEn - {51B7ACD9-6F5A-DECF-653A-09CCA5399E79} - C:\Programme\bzhdpvf\MsgEn.dll
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [SmartMsg] C:\WINDOWS\system32\bgvajcva.exe
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
R3 - URLSearchHook: (no name) - - (no file)
         
Weiter mit MAM:
Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles beseitigen lassen, poste alle Logs und ein neues HJ-Log...

Chris

Ps.: Du solltest unbedingt SP3 aufspielen...
__________________

__________________

Alt 21.10.2008, 13:31   #3
XaRaaN
 
Your Cumputer is infected! - Standard

Your Cumputer is infected!



So danke schonmal sieht bis jetzt alles sehr gut aus

Die Logs: Virtustotal


Zitat:
Datei MsgEn.dll empfangen 2008.10.21 12:53:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/36 (11.12%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 Win32:PureMorph
AVG 8.0.0.161 2008.10.20 -
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 -
GData 19 2008.10.21 Win32:PureMorph
Ikarus T3.1.1.44.0 2008.10.21 -
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 -
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 VirTool:Win32/Obfuscator.DE
NOD32 3541 2008.10.21 -
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.21 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 -
Rising 20.67.12.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 -
Sophos 4.34.0 2008.10.21 Mal/EncPk-DG
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 -
TheHacker 6.3.1.0.121 2008.10.21 -
TrendMicro 8.700.0.1004 2008.10.21 -
VBA32 3.12.8.8 2008.10.21 -
ViRobot 2008.10.21.1429 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 -
weitere Informationen
File size: 106496 bytes
MD5...: c422622d9f026226479f95388e86486d
SHA1..: cfcf92e655eb8ed7cf1b8a03378a677fa8e67931
SHA256: 1a43415e2ad086d610b51aa1dd8437164c13a58ebf4870a8dfebbf50211b25fa
SHA512: e7169e5656f2a3b1949a6c4a27b56717679cad0454abd36feb735197852a6735
336680726a054c5365b9011880500d485214ee2feea3c33ad5c8e8a451f1c8cf
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001d25
timedatestamp.....: 0x48fcd5b5 (Mon Oct 20 19:02:13 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.dgptjx 0x1000 0x140c4 0x15000 6.32 f0d9be86d7fcc6cc9bef3580ede57410
.nopfd 0x16000 0x565 0x1000 2.28 13c31c0b892e0f576b07afaded20216c
.hmrjzh 0x17000 0x1fd0 0x1000 0.58 bc75f2a83377bd7abfa630641fdda11b
.reloc 0x19000 0x1920 0x2000 5.98 45e33b740f612947cf133dfc0a27759b

( 2 imports )
> KERNEL32.dll: LockResource, VirtualAlloc, lstrcpyW, GetVersion, GetModuleFileNameW, lstrlenW, GetUserDefaultLangID, CreateWaitableTimerW, SetThreadPriority, GlobalFree, GetModuleHandleW, SetEndOfFile, SetWaitableTimer, MoveFileW, FindClose, FindFirstChangeNotificationW, GetLogicalDrives, CreateProcessW, SuspendThread, GetPrivateProfileStringW, GetCurrentProcessId, GlobalDeleteAtom, GetProcAddress, LoadLibraryA, GetDriveTypeW, WideCharToMultiByte, GetLastError, Sleep, LoadResource, FreeResource, CreateThread, InterlockedIncrement, GetTickCount, SetFilePointer
> GDI32.dll: GetDeviceCaps, GetStockObject, CreateSolidBrush, GetMapMode, CreateRoundRectRgn, CreatePen, StretchBlt, CreateBitmap, GetObjectW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
packers (Kaspersky): PE_Patch
Zitat:
Datei brastk.exe empfangen 2008.10.21 12:58:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 16/36 (44.45%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 Dropper.Bravix.J
BitDefender 7.2 2008.10.21 Packer.Malware.Lighty.I
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 Trojan.Click.19754
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6161 2008.10.21 Win32/FakeAlert.HK
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 Trojan-Downloader:W32/Renos.gen
Fortinet 3.113.0.0 2008.10.21 -
GData 19 2008.10.21 Packer.Malware.Lighty.I
Ikarus T3.1.1.44.0 2008.10.21 Packer.Malware.Lighty.I
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 -
McAfee 5409 2008.10.21 Generic FakeAlert.d
Microsoft 1.4005 2008.10.21 TrojanDownloader:Win32/Renos
NOD32 3541 2008.10.21 a variant of Win32/TrojanDownloader.FakeAlert.MN
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.21 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 Cloaked Malware
Rising 20.67.12.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 Trojan.Dldr.LooksLike.FraudLoad.vcsh
Sophos 4.34.0 2008.10.21 Troj/FakeVir-GL
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 Trojan.Virantix.C
TheHacker 6.3.1.0.121 2008.10.21 -
TrendMicro 8.700.0.1004 2008.10.21 -
VBA32 3.12.8.8 2008.10.21 Trojan-Downloader.Win32.Renos
ViRobot 2008.10.21.1429 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 Trojan.DR.Renos.Gen.14
weitere Informationen
File size: 10240 bytes
MD5...: f234fe69c941f11185389dda49af2430
SHA1..: 42b76c054e5b913e415459e596b7cd3ffe5838cd
SHA256: c0cff7c5899628040354ed5192899818cc5226ce2c84b2d35fbd2151dbd35977
SHA512: 97658e23456ff5b6fb4c26d12cbca8ee430c5c016743636a69d544f060beef18
d8e363580e402efbd8c9340984c7918398a1697f0d3261687a3334a14663a642
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x200 5.10 9a9394f701a10c05e34fb1d60992ad2b
.data 0x3000 0x5000 0x2200 7.41 06ba5706ccb1ad4582fc12b68ac74c6d
.rdata 0x8000 0x2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xa000 0x2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 3 imports )
> KERNEL32.DLL: BackupSeek, BuildCommDCBA, CreateDirectoryA, EnumSystemLocalesW, ExitProcess, FindFirstChangeNotificationW, FindFirstFileExA, GetBinaryTypeA, GetComputerNameW, GetConsoleTitleA, GetDiskFreeSpaceW, GetFileAttributesW, GetNumberFormatA, GetNumberOfConsoleMouseButtons, GetProcessTimes, GetShortPathNameW, GetTempFileNameA, GetThreadContext, GetTimeZoneInformation, GlobalWire, LockFileEx, MapViewOfFileEx, MoveFileExA, OpenWaitableTimerW, SearchPathA, SetCommBreak, SetCommConfig, SetDefaultCommConfigA, SetTapePosition, UTRegister
> USER32.DLL: CloseClipboard, DialogBoxIndirectParamA, DialogBoxParamA, DlgDirSelectExW, EnumPropsExW, EnumWindowStationsW, GetCaretBlinkTime, GetClipboardFormatNameA, GetKeyboardLayoutList, GetMenuState, GetMessagePos, GetScrollInfo, GetWindowTextLengthW, ModifyMenuA, ReleaseCapture, RemovePropW, SetMenuContextHelpId, SetMenuItemInfoW, SetPropW, SetUserObjectSecurity, SwitchToThisWindow, TranslateMessage
> GDI32.DLL: CancelDC, CopyMetaFileW, CreateBitmap, CreateFontIndirectA, CreatePolygonRgn, Ellipse, EnumFontFamiliesA, EnumObjects, GdiPlayJournal, GdiPlayScript, GetEnhMetaFileA, GetTextExtentPointA, GetWorldTransform, PlayMetaFile, SelectPalette, SetColorAdjustment, SetDIBColorTable, SetPixel, SetPixelFormat, SetPixelV, SetTextColor, StretchBlt, TextOutA, TextOutW

( 0 exports )
Prevx info: http://info.prevx.com
Zitat:
Datei bgvajcva.exe empfangen 2008.10.21 13:01:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/36 (30.56%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 45 und 64 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 Win32:PureMorph
AVG 8.0.0.161 2008.10.20 -
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21 Win32.Trojan.Obfuscated.gx.3
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 W32/PolySmall.BP!tr
GData 19 2008.10.21 Win32:PureMorph
Ikarus T3.1.1.44.0 2008.10.21 -
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 -
McAfee 5409 2008.10.21 FakeAlert-BD
Microsoft 1.4005 2008.10.21 Trojan:Win32/Busky.EI
NOD32 3541 2008.10.21 a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.21 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 Suspicious
Rising 20.67.12.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 -
Sophos 4.34.0 2008.10.21 Mal/EncPk-DG
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 Packed.Generic.182
TheHacker 6.3.1.0.121 2008.10.21 -
TrendMicro 8.700.0.1004 2008.10.21 -
VBA32 3.12.8.8 2008.10.21 -
ViRobot 2008.10.21.1429 2008.10.21 Trojan.Win32.Amvo.Gen
VirusBuster 4.5.11.0 2008.10.20 -
weitere Informationen
File size: 81920 bytes
MD5...: 0d6f16713231f6c02fa0a307bb4e02ca
SHA1..: e47e9e841f67dc430e30bf494ba06c0f1bcbcde5
SHA256: b4814f744c8a23e4e02ac81e81ae73bf69e7d0e1762b98bca4f2eeb7e7e5b203
SHA512: 5df5c2c9440e904ed4b829fbbe378cb41e63dec659b7cb7a197dcaaa923dedec
30a8b6a967722101615a345d4b56c453bb11021a57ff8ecbb814cc448034ba0e
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40c6aa
timedatestamp.....: 0x48fcc79f (Mon Oct 20 18:02:07 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.vvfuaan 0x1000 0x10802 0x11000 6.37 6af4e476fea128ba2178327e130c2bb9
.xnsddwx 0x12000 0x2f2 0x1000 1.41 37794010a3223c7ac9eb1265ab0b7716
.fxhnrj 0x13000 0x5a18 0x1000 0.58 47cc6a60e74325d3aa1b19e53139d397

( 1 imports )
> KERNEL32.dll: GlobalUnlock, LockResource, InterlockedDecrement, FindFirstChangeNotificationW, SetThreadPriority, FreeLibrary, MultiByteToWideChar, InterlockedIncrement, FindFirstFileW, CreateThread, MulDiv, FindNextFileW, GetLocalTime, lstrcpyW, GetProcAddress, FindResourceExW, LoadLibraryA, WriteFile, GetVersion, GetCurrentProcess, SuspendThread, GetFileSize, SetFilePointer, CreateProcessW, SetEndOfFile, WideCharToMultiByte, TerminateThread

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1300D64000BFA4B440E2010ACB353C0047BDEB3D
packers (Kaspersky): PE_Patch
Dann Avenger :
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Programme\bzhdpvf\MsgEn.dll" deleted successfully.
File "C:\WINDOWS\system32\brastk.exe" deleted successfully.
File "C:\WINDOWS\system32\bgvajcva.exe" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brastk" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


MAM :
Zitat:
Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1299
Windows 5.1.2600 Service Pack 2

21.10.2008 14:24:13
mbam-log-2008-10-21 (14-24-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 195002
Laufzeit: 1 hour(s), 9 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wini10455.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Und das Neue HiJack

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:07, on 21.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Razer\Tarantula\razerhid.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Razer\Tarantula\razertra.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Programme\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4628 bytes


Danke für die schnelle antwort sieht bis jetzt gut aus . Wenn du nun noch das OK gibst bin ich wieder beruhigt.


mfg Christian

PS: SP3 lädt grade
__________________

Alt 21.10.2008, 14:21   #4
Chris4You
 
Your Cumputer is infected! - Standard

Your Cumputer is infected!



Hi,

HJ-Log sieht gut aus, nur noch zur Sicherheit Silentrunner:

SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 21.10.2008, 15:43   #5
XaRaaN
 
Your Cumputer is infected! - Standard

Your Cumputer is infected!



So das sagt SilentRunner

Zitat:
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "d:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"CTxfiHlp" = "CTXFIHLP.EXE" ["Creative Technology Ltd"]
"Tarantula" = "C:\Programme\Razer\Tarantula\razerhid.exe" ["Razer USA Ltd."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"WinampAgent" = "D:\Programme\Winamp\winampa.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase"
-> {HKCU...CLSID} = "SafeEraseObj Class"
\InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableTaskMgr" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQToolBar"
-> {HKLM...CLSID} = "ICQToolBar"
\InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "d:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "D:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQToolBar"
\InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Creative Audio Service, CTAudSvcService, "C:\Programme\Creative\Shared Files\CTAudSvc.exe" ["Creative Technology Ltd"]
ICQ Service, ICQ Service, "C:\Programme\ICQ6Toolbar\ICQ Service.exe" [empty string]
Lavasoft Ad-Aware Service, aawservice, "D:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


---------- (launch time: 2008-10-21 16:40:48)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 31 seconds, including 16 seconds for message boxes)

1000 Dank für die schnelle und kompetente Hilfe


Alt 22.10.2008, 06:21   #6
Chris4You
 
Your Cumputer is infected! - Standard

Your Cumputer is infected!



Hi,

sieht ebenfalls gut aus, das wars...

chris & out
__________________
--> Your Cumputer is infected!

Antwort

Themen zu Your Cumputer is infected!
ad-aware, antivir, antivirus, avira, bildschirm, computer, desktop, dll, einstellungen, explorer, firefox, hijackthis, hkus\s-1-5-18, infected, internet, internet explorer, mozilla, nvidia, programme, rundll, software, system, taskmanager, urlsearchhook, virus, virus eingefangen, windows, windows xp



Ähnliche Themen: Your Cumputer is infected!


  1. Non-standard or infected MBR?
    Plagegeister aller Art und deren Bekämpfung - 24.09.2010 (1)
  2. explorer.exe infected
    Log-Analyse und Auswertung - 29.08.2010 (25)
  3. Your System is infected :(
    Log-Analyse und Auswertung - 09.07.2009 (7)
  4. Your Computer is infected help
    Log-Analyse und Auswertung - 20.10.2008 (6)
  5. Your computer is infected!...
    Mülltonne - 13.10.2008 (0)
  6. Your computer is infected!
    Plagegeister aller Art und deren Bekämpfung - 01.08.2008 (9)
  7. Your Computer is Infected
    Mülltonne - 22.07.2008 (0)
  8. Your computer is infected
    Log-Analyse und Auswertung - 23.03.2008 (0)
  9. Am i Infected or not ?
    Log-Analyse und Auswertung - 14.12.2006 (1)
  10. Your Computer Is Infected!
    Log-Analyse und Auswertung - 21.06.2006 (5)
  11. Your Computer is infected!
    Plagegeister aller Art und deren Bekämpfung - 14.03.2006 (1)
  12. Infected !
    Plagegeister aller Art und deren Bekämpfung - 15.02.2006 (24)
  13. Your computer is infected!
    Plagegeister aller Art und deren Bekämpfung - 06.01.2006 (1)
  14. Your Computer is infected
    Plagegeister aller Art und deren Bekämpfung - 25.11.2005 (2)
  15. your Computer is infected
    Log-Analyse und Auswertung - 16.11.2005 (1)
  16. Your computer is infected........!!!
    Plagegeister aller Art und deren Bekämpfung - 13.11.2005 (3)
  17. Your computer is infected
    Plagegeister aller Art und deren Bekämpfung - 10.11.2005 (2)

Zum Thema Your Cumputer is infected! - Schönen Guten Morgen zusammen, ich habe mir den Virus eingefangen der permanent ein Rotes X unten am Bildschirm zeigt und mir sagt " Your Computer is infected! ". Ich habe - Your Cumputer is infected!...
Archiv
Du betrachtest: Your Cumputer is infected! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.