Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hab mir irgendetwas eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 07.06.2007, 16:38   #1
edekaner
 
Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



Seit neuestem öffnet sich mein Internet-Explorer von alleine obwohl ich es gar nicht will zudem öffnen sich ständig neue Seiten mit irgend welchen Inhalten.

Mir ist auch aufgefallen das ich wenn ich google und mir eine gegoogelte Seite anschauen möchte ich erst einmal auf eine andere Seite komme obwohl sie nich dem angegebenen Link entspricht wenn ich dann über den zurückbutton zurück gehe und die Seite nocheinmal anklicke bin ich dann auf der richtigen Seite.

So hier mal mein HJT Log-File

Logfile of HijackThis v1.99.1
Scan saved at 17:25:28, on 07.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Brother\Brmfcmon\BrMfimon.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Starforge Studios\Evolution\Client.exe
C:\Programme\Starforge Studios\Evolution\GC\GC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175753407734
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: NameServer = 192.168.110.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE


Ich hoffe Ihr könt mir helfen.

Alt 05.07.2007, 14:52   #2
edekaner
 
Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



Jetzt öffnet sich zwar nicht mehr der Browser von alleine allerdings wenn ich unter Google was suche und dann einen entsprechenden Link anklicke öffnet sich eine Seite die mit dem angegebenen Link gar nichts zu tun hat.

Hier mal meine HijackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 15:50:55, on 05.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Brother\Brmfcmon\BrMfimon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\BlazeVideo\BlazeDTV2.1\MediaDetector.exe
D:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Starforge Studios\Evolution\Client.exe
C:\Programme\Starforge Studios\Evolution\GC\GC.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {50228235-505B-423D-A4AA-E32CC06F8529} - C:\WINDOWS\system32\mljgg.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {54CBB12C-3481-4C5D-942D-4976C0F0A406} - C:\WINDOWS\system32\qomlllm.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8470E6CB-5A92-4F5B-8ED9-CF74FB294D49} - C:\WINDOWS\System32\tcpmib32.dll
O2 - BHO: (no name) - {CE160D66-D9F5-4ACB-AC15-0C68E79BA96A} - C:\WINDOWS\system32\pmnlk.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programme\BlazeVideo\BlazeDTV2.1\MediaDetector.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.moove.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175753407734
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: NameServer = 192.168.110.254,192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
__________________


Alt 05.07.2007, 15:18   #3
Sunny
Administrator
> Competence Manager
 

Hab mir irgendetwas eingefangen - Ausrufezeichen

Hab mir irgendetwas eingefangen



Hallo und im Trojaner Board!

Das sieht ganz nach einem BackdoorTrojaner aus, sowie Reste vom VUNDO.


Arbeite das hier ab:


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\System32\tcpmib32.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Datenträgerbereinigung


Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Gruß
Sunny
__________________
__________________

Alt 05.07.2007, 16:07   #4
edekaner
 
Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



So hier die Ergebnisse von VirusTotal.

Complete scanning result of "tcpmib32.dll", received in VirusTotal at 07.05.2007, 16:56:03 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.05.2007 Win-AppCare/Stud.9728
AntiVir 7.4.0.37 07.05.2007 ADSPY/Stud.D
Authentium 4.93.8 07.04.2007 no virus found
Avast 4.7.997.0 07.04.2007 Win32:Trojano-3384
AVG 7.5.0.476 07.04.2007 Adware Generic.WNV
BitDefender 7.2 07.05.2007 Adware.Stud.I
CAT-QuickHeal 9.00 07.05.2007 AdWare.Stud.d (Not a Virus)
ClamAV devel-20070416 07.05.2007 Adware.BHO-15
DrWeb 4.33 07.05.2007 no virus found
eSafe 7.0.15.0 07.05.2007 no virus found
eTrust-Vet 30.8.3765 07.05.2007 no virus found
Ewido 4.0 07.05.2007 Adware.Stud
FileAdvisor 1 07.05.2007 no virus found
Fortinet 2.91.0.0 07.05.2007 no virus found
F-Prot 4.3.2.48 07.04.2007 W32/Adware.IJT
F-Secure 6.70.13260.0 07.05.2007 no virus found
Ikarus T3.1.1.8 07.05.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 07.05.2007 not-a-virus:AdWare.Win32.Stud.d
McAfee 5067 07.04.2007 no virus found
Microsoft 1.2701 07.05.2007 Trojan:Win32/Webprefix
NOD32v2 2379 07.04.2007 Win32/Adware.BHO.AA
Norman 5.80.02 07.04.2007 W32/Stud.Y
Panda 9.0.0.4 07.05.2007 no virus found
Sophos 4.19.0 06.24.2007 MapKon
Sunbelt 2.2.907.0 07.04.2007 no virus found
Symantec 10 07.05.2007 Adware.Webprefix
TheHacker 6.1.6.142 07.04.2007 Adware/Stud.d
VBA32 3.12.0.2 07.05.2007 AdWare.Win32.Stud.d
VirusBuster 4.3.23:9 07.05.2007 Adware.BHO.EC
Webwasher-Gateway 6.0.1 07.05.2007 Ad-Spyware.Stud.D


Aditional Information
File size: 25321 bytes
MD5: c0cd85cb6c22dbee1048ef5df39164c3
SHA1: 2734fb27b378bc8f3957579194e19c194b725af8
packers: UPX
packers: UPX
packers: UPX
packers: UPX


Mal noch ne Frage was is ein Hash?

So hier die txt Datei von ComboFix:

"Enrico" - 2007-07-05 17:15:46 - ComboFix 07-07-04.4 - Service Pack 2


((((((((((((((((((((((((( Files Created from 2007-06-05 to 2007-07-05 )))))))))))))))))))))))))))))))


2007-07-05 17:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-05 15:43 <DIR> d-------- C:\Programme\RegCleaner
2007-07-05 10:09 99,840 --a------ C:\WINDOWS\system32\ZIPDLL.dll
2007-07-05 10:09 94,208 --a------ C:\WINDOWS\system32\UNZDLL.dll
2007-07-05 10:09 380,416 --a------ C:\WINDOWS\system32\LCSScanner.dll
2007-07-05 10:09 283,136 --a------ C:\WINDOWS\system32\LCSOCR.dll
2007-07-05 08:24 532,480 --a------ C:\WINDOWS\system32\imagx5.dll
2007-07-05 08:24 503,808 --a------ C:\WINDOWS\system32\imagr5.dll
2007-07-05 08:24 353,792 --a------ C:\WINDOWS\system32\GDS32.DLL
2007-07-05 08:24 35,328 --a------ C:\WINDOWS\system32\picn20.dll
2007-07-05 08:24 275,312 --a------ C:\WINDOWS\system32\ImagXpr5.dll
2007-07-05 08:24 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-07-05 08:23 99,840 --a------ C:\WINDOWS\ZIPDLL.DLL
2007-07-05 08:23 94,208 --a------ C:\WINDOWS\UNZDLL.DLL
2007-07-05 08:23 302,592 --a------ C:\WINDOWS\unin0407.exe
2007-07-05 08:23 <DIR> d-------- C:\Programme\Borland
2007-07-05 08:23 <DIR> d-------- C:\lcs
2007-07-02 14:06 <DIR> d-------- C:\DOKUME~1\Enrico\ANWEND~1\DataDesign
2007-07-02 13:42 <DIR> d-------- C:\Programme\Buhl
2007-07-02 13:05 28,160 --------- C:\WINDOWS\system32\msxml3a.dll
2007-07-02 13:05 236,544 --a------ C:\WINDOWS\fpuninst.exe
2007-07-02 13:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DataDesign
2007-07-02 13:05 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\fun communications
2007-07-02 13:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-06-26 16:54 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-06-26 16:54 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-06-26 16:54 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-06-26 16:54 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-06-26 16:54 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-06-26 16:54 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-06-26 16:54 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-06-26 16:54 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2007-06-26 16:54 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-06-26 16:54 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-06-26 16:54 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-06-26 16:54 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-06-26 16:54 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-06-26 16:54 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-06-26 16:54 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-06-26 16:54 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-06-26 16:54 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-06-26 16:54 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-06-25 12:15 <DIR> d-------- C:\DOKUME~1\Enrico\ANWEND~1\PC-FAX TX
2007-06-22 11:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-06-20 15:35 14 --a------ C:\WINDOWS\system32\systeminfo.dll
2007-06-20 15:34 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-06-20 15:34 363,520 --a------ C:\WINDOWS\system32\PsisDecd.dll
2007-06-20 15:34 15,360 --a------ C:\WINDOWS\system32\drivers\MPE.sys
2007-06-20 15:34 11,776 --a------ C:\WINDOWS\system32\drivers\BdaSup.sys
2007-06-20 15:34 <DIR> d-------- C:\Programme\BlazeVideo
2007-06-20 15:33 24,576 --a------ C:\WINDOWS\system32\AF05BDAEX.dll
2007-06-20 15:33 133,504 --a------ C:\WINDOWS\system32\drivers\AF05BDA.sys
2007-06-18 15:34 <DIR> d-------- C:\DOKUME~1\Enrico\ANWEND~1\SecondLife
2007-06-18 15:33 <DIR> d-------- C:\Programme\SecondLife
2007-06-18 08:11 974,848 --------- C:\WINDOWS\system32\mfc70.dll
2007-06-18 08:11 91,072 --------- C:\WINDOWS\system32\RoseCo2.dll
2007-06-18 08:11 82,896 --------- C:\WINDOWS\system32\KickCom2.dll
2007-06-18 08:11 344,064 --------- C:\WINDOWS\system32\msvcr70.dll
2007-06-18 08:11 237,568 --a------ C:\WINDOWS\system32\demooverGer.exe
2007-06-15 07:11 <DIR> d--hs---- C:\WINDOWS\CSC
2007-06-15 05:45 7,040 --a------ C:\WINDOWS\system32\drivers\flash.sys
2007-06-11 15:14 <DIR> d-------- C:\DOKUME~1\Enrico\ANWEND~1\Hemera
2007-06-09 07:05 2,368 --a------ C:\WINDOWS\system32\SVKP.sys
2007-06-08 20:19 <DIR> d-------- C:\DOKUME~1\Enrico\ANWEND~1\My Games
2007-06-08 08:08 1,984 --a------ C:\WINDOWS\mozver.dat
2007-06-08 08:06 0 --a------ C:\WINDOWS\nsreg.dat
2007-06-08 05:38 <DIR> d-------- C:\VundoFix Backups
2007-06-07 19:01 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-06-07 17:01 <DIR> d-------- C:\WINDOWS\pss
2007-06-07 14:20 <DIR> d-------- C:\Programme\Avira
2007-06-07 12:44 <DIR> d-------- C:\Programme\phonostar
2007-06-07 12:44 <DIR> d-------- C:\DOKUME~1\Enrico\ANWEND~1\phonostar-Player
2007-06-07 10:16 <DIR> d-------- C:\Programme\Lavasoft
2007-06-07 10:16 <DIR> d-------- C:\DOKUME~1\Enrico\ANWEND~1\Lavasoft
2007-06-07 10:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-07 09:45 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-06-07 08:19 786,432 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-07 08:19 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-07 08:19 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-06-07 08:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-07 08:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-07 08:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-07 08:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-07 08:19 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-07 07:28 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-06-06 04:46 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-05 14:58:46 -------- d-----w C:\DOKUME~1\Enrico\ANWEND~1\Skype
2007-07-05 14:40:54 -------- d-----w C:\Programme\ICQ6
2007-07-02 11:02:20 63,976 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-02 11:02:20 391,574 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-01 14:10:31 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-25 10:17:14 0 ----a-w C:\WINDOWS\brdfxspd.dat
2007-06-08 18:19:45 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-06-07 14:49:20 -------- d-----w C:\DOKUME~1\Enrico\ANWEND~1\Ahead
2007-06-07 07:44:38 -------- d-----w C:\Programme\T-Online
2007-06-05 11:44:39 -------- d-----w C:\Programme\Namo
2007-06-04 16:25:32 -------- d-----w C:\Programme\MSXML 4.0
2007-06-04 05:45:38 -------- d-----w C:\Programme\Gemeinsame Dateien\SourceTec
2007-06-03 15:34:31 -------- d-----w C:\DOKUME~1\Enrico\ANWEND~1\ICQ
2007-05-31 16:07:18 -------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2007-05-31 05:32:03 -------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-05-26 18:06:02 -------- d-----w C:\Programme\Gemeinsame Dateien\Macromedia Shared
2007-05-26 14:44:54 -------- d-----w C:\Programme\VRtainment
2007-05-26 14:29:03 -------- d-----w C:\Programme\Common Files
2007-05-25 18:04:36 2,048 ----a-w C:\WINDOWS\system32\Tr_sttool.dat
2007-05-25 03:30:03 -------- d-----w C:\Programme\WinSCP3
2007-05-21 13:17:22 33,872 ----a-w C:\DOKUME~1\Enrico\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-05-21 09:45:32 -------- d-----w C:\DOKUME~1\Enrico\ANWEND~1\ScanSoft
2007-05-19 17:46:26 -------- d-----w C:\DOKUME~1\Enrico\ANWEND~1\teamspeak2
2007-05-19 17:45:38 -------- d-----w C:\Programme\Teamspeak2_RC2
2007-05-17 19:23:52 -------- d-----w C:\Programme\DAEMON Tools
2007-05-17 19:23:45 223,128 ----a-w C:\WINDOWS\system32\drivers\dtscsi.sys
2007-05-17 19:21:51 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd1581.sys
2007-05-17 19:21:51 643,072 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-14 06:22:02 -------- d-----w C:\Programme\Blue Label Soft
2007-05-11 06:55:02 50 ----a-w C:\WINDOWS\system32\bridf06a.dat
2007-05-11 06:54:22 -------- d-----w C:\Programme\Brother
2007-05-11 06:51:32 -------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2007-05-11 06:51:21 -------- d-----w C:\Programme\ScanSoft
2007-05-11 06:50:51 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-05-11 05:53:08 -------- d-----w C:\Programme\GEngine
2007-05-11 05:53:05 -------- d-----w C:\Programme\gotomaxx
2007-05-11 05:53:05 -------- d-----w C:\DOKUME~1\Enrico\ANWEND~1\gotomaxx
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-05 05:57:30 25,321 ----a-w C:\WINDOWS\system32\tcpmib32.dll
2007-04-05 05:45:58 0 --sha-r C:\MSDOS.SYS
2007-04-05 05:45:58 0 --sha-r C:\IO.SYS
2007-04-05 05:45:58 0 ----a-w C:\CONFIG.SYS
2007-04-05 05:45:58 0 ----a-w C:\AUTOEXEC.BAT
2007-04-05 05:42:51 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
2007-03-23 13:49 722472 --a------ C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{50228235-505B-423D-A4AA-E32CC06F8529}]
C:\WINDOWS\system32\mljgg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8470E6CB-5A92-4F5B-8ED9-CF74FB294D49}]
2007-04-05 07:57 25321 --a------ C:\WINDOWS\System32\tcpmib32.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE160D66-D9F5-4ACB-AC15-0C68E79BA96A}]
C:\WINDOWS\system32\pmnlk.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 11:01 C:\WINDOWS\SOUNDMAN.EXE]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 11:12]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-04 11:11]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 07:25]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 09:57]
"ISUSPM Startup"="c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" []
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-12 00:30]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 16:39]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 17:01]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [2006-06-28 07:46]
"ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [2006-06-29 12:18]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"NWEReboot"="" []
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-01-23 08:06]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-23 13:52]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-08-30 15:05]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-06-24 18:55]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"BlazeServoTool"="C:\Programme\BlazeVideo\BlazeDTV2.1\MediaDetector.exe" [2007-01-28 02:09]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

*Newly Created Service* - CATCHME

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-05 17:16:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-05 17:17:13

--- E O F ---

Geändert von edekaner (05.07.2007 um 16:18 Uhr)

Alt 05.07.2007, 16:36   #5
Sunny
Administrator
> Competence Manager
 

Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen




Deaktiviere als erstes den Tea Timer.


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereninigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



Anleitung Avenger:


1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\system32\mljgg.dll
C:\WINDOWS\System32\tcpmib32.dll
C:\WINDOWS\system32\pmnlk.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Und poste noch das Ergebnis vom eScan wenn er fertig ist.

Gruß
Sunny

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.07.2007, 17:59   #6
edekaner
 
Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



So hier erst einmal noch der E-Scan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\Enrico\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\gotomaxx\Setup\{528EC8F4-1C19-41BA-80A1-0B5EA21BA628}\NetUpdate.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\System32\tcpmib32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\tcpmib32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\mljgg.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\pmnlk.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\qomlllm.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\tcpmib32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\mirc621.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
File E:\System Volume Information\_restore{E57B4924-E27E-4D96-B90D-D64E7810054F}\RP187\A0016424.exe//WiseSFX Dropper//WISE0017.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File E:\System Volume Information\_restore{E57B4924-E27E-4D96-B90D-D64E7810054F}\RP187\A0016425.exe//WiseSFX Dropper//WISE0017.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Enrico\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\Programme\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Programme\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.110.2 lcs
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 143348
Gefundene Viren: 16
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 227
Dauer des Scans bisher: 01:20:16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:50:44,65
Batchende: 18:50:55,31

Alt 05.07.2007, 18:15   #7
Sunny
Administrator
> Competence Manager
 

Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



Von wann ist der eScan, bevor du den Avenger gebraucht hast, oder danach?

Ist wichtig für den weiteren Verlauf der Bereinigung.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.07.2007, 18:22   #8
edekaner
 
Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



der ist von davor und hat ja fast 1 stunde und 30 min gedauert

hab aber bereits Smirtfraud durchgeführt Avenger noch nicht

SmitFraudFix v2.200

Scan done at 19:13:16,79, 05.07.2007
Run from C:\Dokumente und Einstellungen\Enrico\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
192.168.110.2 lcs

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: NameServer=192.168.110.254,192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: NameServer=192.168.110.254,192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{35CFCAEF-AC9A-43A4-AAB4-3FD436C3CF49}: NameServer=192.168.110.254,192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 05.07.2007, 18:25   #9
Sunny
Administrator
> Competence Manager
 

Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



Dann führe jetzt den Avenger aus und starte danach eScan nochmal. (Nur die C Partition)

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.07.2007, 20:37   #10
edekaner
 
Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kiylvpvf

*******************

Script file located at: \??\C:\WINDOWS\hmfslvaa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\mljgg.dll not found!
Deletion of file C:\WINDOWS\system32\mljgg.dll failed!

Could not process line:
C:\WINDOWS\system32\mljgg.dll
Status: 0xc0000034

File C:\WINDOWS\System32\tcpmib32.dll deleted successfully.


File C:\WINDOWS\system32\pmnlk.dll not found!
Deletion of file C:\WINDOWS\system32\pmnlk.dll failed!

Could not process line:
C:\WINDOWS\system32\pmnlk.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

------------------------------------------------------------------

E-Scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\Enrico\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\gotomaxx\Setup\{528EC8F4-1C19-41BA-80A1-0B5EA21BA628}\NetUpdate.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Enrico\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Enrico\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\avenger\backup.zip/avenger/tcpmib32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Enrico\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Enrico\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5A0A5A4E-9ECF-4CFE-A740-497AB2BD41DD}\RP242\A0030622.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\mljgg.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\pmnlk.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\qomlllm.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Enrico\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Enrico\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Enrico\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Enrico\Desktop\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Enrico\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.110.2 lcs
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 90690
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 222
Dauer des Scans bisher: 01:35:33
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Aktiviert
Überprüfung aller Festplatten eaktiviert

Batchstart: 21:30:26,82
Batchende: 21:30:40,67

Alt 05.07.2007, 20:42   #11
Sunny
Administrator
> Competence Manager
 

Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



Na das sieht doch schon mal gut aus, mach aber noch folgendes:

1.) Lösche den Quarantäne-Ordner von Avenger und Vundofix:

Zitat:
C:\avenger\backup.zip/avenger/tcpmib32.dll

C:\VundoFix Backups
2.) Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

3.)
Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\svkp.sys
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 06.07.2007, 06:31   #12
edekaner
 
Hab mir irgendetwas eingefangen - Standard

Hab mir irgendetwas eingefangen



Si hier der Scann von VirusTotal:

Complete scanning result of "SVKP.sys", received in VirusTotal at 07.06.2007, 07:23:15 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.06.2007 no virus found
AntiVir 7.4.0.39 07.06.2007 no virus found
Authentium 4.93.8 07.06.2007 no virus found
Avast 4.7.997.0 07.05.2007 no virus found
AVG 7.5.0.476 07.05.2007 no virus found
BitDefender 7.2 07.06.2007 no virus found
CAT-QuickHeal 9.00 07.05.2007 TrojanSpy.Joiner.av
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 no virus found
eSafe 7.0.15.0 07.05.2007 no virus found
eTrust-Vet 30.8.3766 07.05.2007 no virus found
Ewido 4.0 07.05.2007 no virus found
FileAdvisor 1 07.06.2007 no virus found
Fortinet 2.91.0.0 07.06.2007 SPY/Joiner
F-Prot 4.3.2.48 07.06.2007 no virus found
F-Secure 6.70.13260.0 07.06.2007 no virus found
Ikarus T3.1.1.8 07.06.2007 no virus found
Kaspersky 4.0.2.24 07.06.2007 no virus found
McAfee 5068 07.05.2007 no virus found
Microsoft 1.2704 07.06.2007 no virus found
NOD32v2 2380 07.06.2007 no virus found
Norman 5.80.02 07.05.2007 no virus found
Panda 9.0.0.4 07.05.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 07.06.2007 no virus found
Symantec 10 07.06.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.06.2007 no virus found
VirusBuster 4.3.23:9 07.05.2007 no virus found
Webwasher-Gateway 6.0.1 07.06.2007 no virus found


Aditional Information
File size: 2368 bytes
MD5: f05028b163b92c302a74409d683ac9b0
SHA1: 74a943b9f3bf63f8de5c3175f96366b24a661067

Antwort

Themen zu Hab mir irgendetwas eingefangen
adobe, antivir, avira, controlcenter, dateien, excel, google, helfen, hijack, hijackthis, icq, ics, internet explorer, messenger, microsoft, msn, msn messenger, neue seite, object, programme, seiten, shockwave, skype.exe, software, system, system32, windows, windows xp, wireless, wireless lan, öffnet



Ähnliche Themen: Hab mir irgendetwas eingefangen


  1. Viel Werbung und irgendetwas stimmt nicht
    Log-Analyse und Auswertung - 29.09.2013 (13)
  2. Pc lädt ständig irgendetwas...Trojaner Gefahr?
    Plagegeister aller Art und deren Bekämpfung - 03.08.2013 (15)
  3. Irgendetwas stimmt hier nicht...
    Log-Analyse und Auswertung - 05.01.2012 (1)
  4. Irgendetwas stimmt nicht !
    Log-Analyse und Auswertung - 13.10.2011 (17)
  5. Habe ich irgendetwas verdächtiges in meinem LOG!
    Log-Analyse und Auswertung - 08.06.2010 (3)
  6. Verdacht dass Bekannter mir irgendetwas auf den PC geladen hat
    Plagegeister aller Art und deren Bekämpfung - 16.10.2009 (8)
  7. Irgendetwas hängt in meinem Internet!
    Log-Analyse und Auswertung - 22.09.2009 (6)
  8. Irgendetwas löscht Dateien
    Log-Analyse und Auswertung - 28.07.2009 (5)
  9. schon wieder irgendetwas doofes
    Log-Analyse und Auswertung - 28.03.2009 (1)
  10. hijackthis log file, irgendetwas faul?
    Mülltonne - 30.06.2007 (0)
  11. Irgendetwas stimmt nicht - nur was?
    Log-Analyse und Auswertung - 11.06.2006 (1)
  12. irgendetwas stimmt nicht
    Log-Analyse und Auswertung - 01.05.2006 (2)
  13. Pingschwankungen durch irgendetwas...
    Alles rund um Windows - 01.11.2005 (6)
  14. Hilfe: Irgendetwas hat mein Computer befallen !
    Log-Analyse und Auswertung - 17.10.2005 (10)
  15. irgendetwas läuft verkehrt, bitte um hilfe
    Log-Analyse und Auswertung - 10.10.2005 (5)
  16. irgendetwas läuft verkehrt, bitte um hilfe
    Mülltonne - 10.10.2005 (1)
  17. Irgendetwas stimmt nicht..
    Log-Analyse und Auswertung - 27.05.2005 (6)

Zum Thema Hab mir irgendetwas eingefangen - Seit neuestem öffnet sich mein Internet-Explorer von alleine obwohl ich es gar nicht will zudem öffnen sich ständig neue Seiten mit irgend welchen Inhalten. Mir ist auch aufgefallen das ich - Hab mir irgendetwas eingefangen...
Archiv
Du betrachtest: Hab mir irgendetwas eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.