| |
| |||||||
Log-Analyse und Auswertung: Trojan.Downloader.Zlob.AADO DNSChanger.gen10Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
22.07.2007, 20:53
| #1 |
 |  Trojan.Downloader.Zlob.AADO DNSChanger.gen10 Hey, also ich bin echt verzweifelt. Habe zwar schon in einem anderen Forum Hilfe erbeten, aber da grad (denke mal Uhrzeizabhängig) niemand antwortet, ich aber noch einiges für die Uni zu tun habe, trag ich mein Problem mal eben hier vor. Ich habe gestern abend eine *.exe gestartet, weil ich der Meinung war, eine mir bekannte Anwendung verbirgt sich dahinter. Kurz darauf musste ich feststellen, dass video activex access enthalten war inklusive specials. Habe sofort im abesicherten Modus gestartet und die jeweiligen Anwendungen (video activex...) mittels autorun entfernt. Da ich, auch wenn scheinbar alles wieder io zu sein scheint weiss, dass sich ein Trojaner nicht so einfach verjagen lässt, habe ich von der *.exe, die ich kurioser Weise im Papierkorb wiedergefunden habe, bei VirusTotal einen OnlineScan derselbigen gemacht. Ergebnis: BitDefender 7.2 2007.07.22 Trojan.Downloader.Zlob.AADO F-Secure 6.70.13030.0 2007.07.22 Trojan-Downloader.Win32.Zlob.bxi Kaspersky 4.0.2.24 2007.07.22 Trojan-Downloader.Win32.Zlob.bxi Microsoft 1.2704 2007.07.22 TrojanDownloader:Win32/Zlob Norman 5.80.02 2007.07.20 DNSChanger.gen10 Nod32 habe ich auch kurz installiert, hat aber nichts gefunden. Darauf hin habe ich RootkitReveal laufen lassen. HKLM\SECURITY\Policy\Secrets\SAC* 20.06.2007 20:56 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 20.06.2007 20:56 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{5645C8C2-E277-11CF-8FDA-00AA00A14F93}\InprocServer32\ThreadingModel 18.07.2007 13:15 5 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 14.07.2007 03:48 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 22.07.2007 14:10 4 bytes Data mismatch between Windows API and raw hive data. Mein HiJackThis.log meint folgendes (habe die Websiten mal laut vorschrift editiert). Logfile of HijackThis v1.99.1 Scan saved at 20:37:40, on 22.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*ttp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*ttp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*ttp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*ttp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*ttp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*ttp://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/securityadvisor/pestscan/pestscan.cab O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://w**ww.eset.eu/buxus/docs/programs/OnlineScanner.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://w**ww.ca.com/securityadvisor/virusinfo/webscan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe Dankeschön für eure Zeit. Grüsse |
|
22.07.2007, 22:59
| #2 |
| |  ??? Bitte, brauche wirklich eure Hilfe, oder sollte mein System doch in Ordnung sein?
__________________Da ich momentan etwas programmiere, was auch auf C: liegt, weiss ich nun nicht, ob ich weiter machen kann oder nicht. |
|
22.07.2007, 23:56
| #3 |
| > MalwareDB   | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 endecken kann ich in dem Log nicht, allerdings findet HJT auch nicht alles.
__________________Diverse Onlinescans hast Du ja schon versucht. Lese hier und poste die vier Logs, aber vorher führe Cleanup vorher(!) aus. Bata
__________________ |
|
23.07.2007, 00:38
| #4 |
| | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 Danke, mach ich sofort, habe ein log von meinem ad-ware (etwas lang-hoffe das geht io) Item Scanned: 184339 Infections Detected: 56 Infections Ignored: 0 Scan detailed statistics =========================== Type Critical Total Process Scan....: 0 0 Registry Scan...: 40 40 Registry PE Scan: 0 0 Hosts File Scan.: 0 0 File Scan.......: 0 0 Folder Scan.....: 1 1 LSP Scan........: 0 0 ADS Scan........: 0 0 Cookie Scan.....: 12 12 File Hash Scan..: 0 0 Infections Found =========================== Family Id: 1040 Name: Win32.Trojandownloader.Zlob Category: Malware TAI:10 Item Id: 300027650 Value: Root: HKCR Path: clsid\{29c5a3b6-9a8d-4fa0-b5ad-3e20f4aa5c00} Item Id: 300027651 Value: Root: HKCR Path: clsid\{45c2fdbe-1d46-b98e-f9a9-9d44b93a9d52} Item Id: 300022273 Value: Root: HKLM Path: software\microsoft\windows\currentversion\uninstall\iexplorer security plug-in Item Id: 300022274 Value: Root: HKLM Path: software\microsoft\windows\currentversion\uninstall\internet explorer secure bar Item Id: 300022275 Value: Root: HKLM Path: software\microsoft\windows\currentversion\uninstall\messenger service Item Id: 300027615 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\contraviruspro.com Item Id: 300027616 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\freepornmoviesworld.net Item Id: 300027617 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\freerealitympegs.com Item Id: 300027618 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\funcodec.com Item Id: 300027619 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\gocodec.com Item Id: 300027620 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\gomyron.com Item Id: 300027621 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\hollywoodfiles.tv Item Id: 300027622 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\inc-codec.com Item Id: 300027623 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-codec.com Item Id: 300027624 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\nmextensions.com Item Id: 300027625 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\playjust.com Item Id: 300027626 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\play-mega.com Item Id: 300027627 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\plus-codec.com Item Id: 300027628 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\porndrive.net Item Id: 300027629 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\the-codec.com Item Id: 300027630 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\web-codec.com Item Id: 300027631 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\domains\wmvmedialease.com Item Id: 300027632 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\contraviruspro.com Item Id: 300027633 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\freepornmoviesworld.net Item Id: 300027634 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\freerealitympegs.com Item Id: 300027635 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\funcodec.com Item Id: 300027636 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\gocodec.com Item Id: 300027637 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\gomyron.com Item Id: 300027638 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\hollywoodfiles.tv Item Id: 300027639 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\inc-codec.com Item Id: 300027640 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\net-codec.com Item Id: 300027641 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\nmextensions.com Item Id: 300027642 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\playjust.com Item Id: 300027643 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\play-mega.com Item Id: 300027644 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\plus-codec.com Item Id: 300027645 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\porndrive.net Item Id: 300027646 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\the-codec.com Item Id: 300027647 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\web-codec.com Item Id: 300027648 Value: Root: HKU Path: S-1-5-21-2025429265-113007714-839522115-1003\software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\wmvmedialease.com Item Id: 300027655 Value: Root: HKLM Path: software\microsoft\windows\currentversion\uninstall\windows safety alert Item Id: 400001634 Value: Folder: C:\Programme\video activex access Family Id: 725 Name: Tracking Cookie Category: DataMiner TAI:3 Item Id: 600000542 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt ivwbox.de i00 / Item Id: 600000144 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt doubleclick.net id / Item Id: 600000182 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt as1.falkag.de WIDYMD / Item Id: 600000182 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt as1.falkag.de TRG / Item Id: 600000001 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt adserver.trojaner-info.de phpAds_blockAd[301] / Item Id: 600000182 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt as1.falkag.de BSUID / Item Id: 600000182 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt as1.falkag.de KIDYMD / Item Id: 600000182 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt as1.falkag.de IIDYMD / Item Id: 600000126 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt hitbox.com CTG / Item Id: 600000126 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt hitbox.com WSS_GW / Item Id: 600000126 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt ehg-avanquest.hitbox.com DM560519K3WCV6 / Item Id: 600000190 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\PC-User\Anwendungsdaten\Mozilla\Firefox\Profiles/5g62o70l.default\cookies.txt www.googleadservices.com Conversion /pagead/conversion/1066607600/ Family Id: 9999 Name: MRU Object Category: MRU Object TAI:0 Item Id: 1 Value: MRU Path: C:\Dokumente und Einstellungen\PC-User\Recent Count: 31 Item Id: 2 Value: MRU Registry Key: S-1-5-21-2025429265-113007714-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 Count: 1 Item Id: 3 Value: MRU Registry Key: S-1-5-21-2025429265-113007714-839522115-1003\Software\Microsoft\Internet Explorer\TypedURLs Count: 1 Nach diesem Scan habe ich mal gelöscht und noch einen Scan gemacht, welcher dann nichts mehr hervorbrachte. Folge jetzt aber erstmal deinen Hinweisen. Danke schon mal, dass du geanwortet hast. Poste sobald ich was habe. MfG |
|
23.07.2007, 00:59
| #5 |
| | Logfiles Es geht los: vorweg ist noch zu sagen, dass ich die Festplatte erst seit maximal 3,5 Wochen habe. Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 90A5-E651 Verzeichnis von C:\WINDOWS\system32 22.07.2007 18:55 2.206 wpa.dbl 22.07.2007 15:31 81.984 bdod.bin 22.07.2007 12:00 0 bdss.log 22.07.2007 01:56 9.216 cqsfk.dll 20.07.2007 12:38 8 success 19.07.2007 00:54 30.648 oodbs.lor 18.07.2007 14:57 1.566 iklog.log 18.07.2007 13:15 42.316 perfc009.dat 18.07.2007 13:15 317.328 perfh009.dat 18.07.2007 13:15 323.458 perfh007.dat 18.07.2007 13:15 51.108 perfc007.dat 18.07.2007 13:15 739.874 PerfStringBackup.INI 17.07.2007 15:44 1.559.664 FNTCACHE.DAT 16.07.2007 18:28 10.752 BASSMOD.dll 16.07.2007 14:10 57 mapisvc.inf 04.07.2007 15:14 2.211.840 OnlineScanner.ocx 04.07.2007 14:53 233.472 OnlineScannerDLLA.dll 04.07.2007 14:53 221.184 OnlineScannerDLLW.dll 04.07.2007 14:28 225.356 lnod32apiW.dll 04.07.2007 14:28 196.684 lnod32apiA.dll 29.06.2007 17:32 16.896 OnlineScannerLang.dll 28.06.2007 09:57 16.256.984 MRT.exe 26.06.2007 16:53 206.088 klogon.dll 21.06.2007 00:30 0 h323log.txt 20.06.2007 22:42 2.278.400 TUKernel.exe 20.06.2007 21:52 122.142 TZLog.log 20.06.2007 20:44 146.650 BuzzingBee.wav 20.06.2007 20:44 940.794 LoopyMusic.wav 20.06.2007 20:36 261 $winnt$.inf 20.06.2007 20:35 2.951 CONFIG.NT 20.06.2007 20:35 16.832 amcompat.tlb 20.06.2007 20:35 23.392 nscompat.tlb 20.06.2007 20:34 488 logonui.exe.manifest 20.06.2007 20:34 488 WindowsLogon.manifest 20.06.2007 20:34 749 nwc.cpl.manifest 20.06.2007 20:34 749 sapi.cpl.manifest 20.06.2007 20:34 749 wuaucpl.cpl.manifest 20.06.2007 20:34 749 cdplayer.exe.manifest 20.06.2007 20:34 749 ncpa.cpl.manifest 20.06.2007 20:32 21.740 emptyregdb.dat 13.06.2007 11:10 77.824 OnlineScannerUninstaller.exe 16.05.2007 17:11 683.520 inetcomm.dll 11.05.2007 02:09 1.050.120 oodag.exe 11.05.2007 02:08 2.512.392 oodtray.exe 11.05.2007 02:08 194.056 oodbs.exe 11.05.2007 02:07 206.344 oodtrrs.dll 11.05.2007 02:07 15.880 oodagrs.dll 11.05.2007 02:07 10.248 oodbsrs.dll 11.05.2007 02:07 16.904 oodagmg.dll 10.05.2007 23:18 15.368 ootmapi.dll Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 90A5-E651 Verzeichnis von C:\ 23.07.2007 01:56 0 systemtemp.txt 23.07.2007 01:50 100.699 system32.txt 23.07.2007 01:49 295 c.txt 23.07.2007 01:49 1.077 sys.txt 23.07.2007 01:49 295 down.txt 23.07.2007 01:49 267 tmp.txt 23.07.2007 01:48 5.146 windows.txt 23.07.2007 01:48 5.146 system.txt 22.07.2007 17:22 2.138.624.000 hiberfil.sys 22.07.2007 14:38 644 RootkitReveal.txt 16.07.2007 11:51 25 csb.log 15.07.2007 23:33 389 boot.ini 20.06.2007 20:42 347 RHDSetup.log 20.06.2007 20:35 0 AUTOEXEC.BAT 20.06.2007 20:35 0 MSDOS.SYS 20.06.2007 20:35 0 CONFIG.SYS 04.08.2004 14:00 4.952 bootfont.bin 04.08.2004 14:00 47.564 NTDETECT.COM 04.08.2004 14:00 251.184 ntldr 19 Datei(en) 2.139.042.030 Bytes 0 Verzeichnis(se), 6.989.447.168 Bytes frei Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 90A5-E651 Verzeichnis von C:\WINDOWS 23.07.2007 00:23 306 wiadebug.log 22.07.2007 21:55 1.150.765 WindowsUpdate.log 22.07.2007 19:37 395.769 setupapi.log 22.07.2007 17:22 0 0.log 22.07.2007 17:22 50 wiaservc.log 22.07.2007 17:22 2.048 bootstat.dat 22.07.2007 17:20 17.316 SchedLgU.Txt 22.07.2007 15:45 4.716 gdrv.sys 22.07.2007 15:32 684 win.ini 22.07.2007 04:22 135.548 ntbtlog.txt 22.07.2007 00:16 19.554 hpoins01.dat 21.07.2007 12:50 217.967 iis6.log 21.07.2007 12:50 24.818 comsetup.log 21.07.2007 12:50 18.943 ntdtcsetup.log 21.07.2007 12:50 1.374 imsins.log 21.07.2007 12:50 40.295 tsoc.log 21.07.2007 12:50 2.488 tabletoc.log 21.07.2007 12:50 4.821 ocmsn.log 21.07.2007 12:50 4.628 KB909394.log 21.07.2007 12:50 12.407 netfxocm.log 21.07.2007 12:50 6.040 MedCtrOC.log 21.07.2007 12:50 59.136 ocgen.log 21.07.2007 12:50 4.150 msgsocm.log 21.07.2007 12:50 64.540 FaxSetup.log 21.07.2007 12:50 37.230 msmqinst.log 19.07.2007 14:57 69 NeroDigital.ini 19.07.2007 07:36 12.081 KB923689.log 19.07.2007 07:36 501 updspapi.log 19.07.2007 06:09 316.640 WMSysPr9.prx 19.07.2007 06:01 14.735 wmsetup.log 19.07.2007 05:58 26.672 DirectX.log 18.07.2007 14:33 62 SpywareDoctor5Install.log 18.07.2007 13:16 2.424 imsins.BAK 18.07.2007 04:36 180 setupact.log 17.07.2007 22:51 25.891 KB917013Uninst.log 17.07.2007 22:43 138 setuperr.log 17.07.2007 22:42 0 Amibcp.INI 17.07.2007 22:36 315.392 HideWin.exe 17.07.2007 12:28 100.352 KB939373.log 17.07.2007 11:19 27.688 KB917013.log 17.07.2007 11:18 3.874 KB915800.log 17.07.2007 11:18 4.779 KB915865.log 16.07.2007 20:42 0 nsreg.dat 16.07.2007 04:47 417 UPGRADE.TXT 14.07.2007 04:04 1.174 OEWABLog.txt 14.07.2007 03:53 0 oodcnt.INI 21.06.2007 00:00 0 Sti_Trace.log 20.06.2007 23:58 231 system.ini 20.06.2007 22:35 1.475 MOBackup-DatensicherungfrOutlook_Uninstall.in 20.06.2007 20:35 0 control.ini 20.06.2007 20:34 4.161 ODBCINST.INI 20.06.2007 20:34 749 WindowsShell.Manifest 20.06.2007 20:32 37 vbaddin.ini 20.06.2007 20:32 36 vb.ini 10.05.2007 17:08 16.342.528 RTHDCPL.exe 07.05.2007 17:51 1.826.816 SkyTel.exe Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 90A5-E651 Verzeichnis von C:\WINDOWS\Temp 16.07.2007 11:42 646 IntelChip 1 Datei(en) 646 Bytes 0 Verzeichnis(se), 6.989.438.976 Bytes frei Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 90A5-E651 Verzeichnis von C:\WINDOWS\Downloaded Program Files 04.07.2007 15:13 1.860 OnlineScanner.inf 1 Datei(en) 1.860 Bytes 0 Verzeichnis(se), 6.989.438.976 Bytes frei Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 90A5-E651 Verzeichnis von C:\ 23.07.2007 01:58 0 sys.txt 23.07.2007 01:57 295 down.txt 23.07.2007 01:57 267 tmp.txt 23.07.2007 01:56 5.146 system.txt 23.07.2007 01:56 1.120 systemtemp.txt 23.07.2007 01:50 100.699 system32.txt 23.07.2007 01:49 295 c.txt 23.07.2007 01:48 5.146 windows.txt 22.07.2007 17:22 2.138.624.000 hiberfil.sys 22.07.2007 14:38 644 RootkitReveal.txt 16.07.2007 11:51 25 csb.log 15.07.2007 23:33 389 boot.ini 20.06.2007 20:42 347 RHDSetup.log 20.06.2007 20:35 0 CONFIG.SYS 20.06.2007 20:35 0 MSDOS.SYS 20.06.2007 20:35 0 AUTOEXEC.BAT 04.08.2004 14:00 4.952 bootfont.bin 04.08.2004 14:00 47.564 NTDETECT.COM 04.08.2004 14:00 251.184 ntldr 19 Datei(en) 2.139.042.073 Bytes 0 Verzeichnis(se), 6.989.438.976 Bytes frei Ich hoffe es fehlt nichts? Liebe Grüsse zu solch unchristlicher Zeit Was ich nicht versteh, sind Einträge, die mir Ad-Aware gebracht hat, da ich die einzigste an meinem Rechner bin und als Frau auch nicht an Pornoseiten interessiert bin-wie kann das aber sein? Geändert von pyranja (23.07.2007 um 01:05 Uhr) |
|
23.07.2007, 01:10
| #6 |
| > MalwareDB | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 die Pornoseiten kommen daher, dass der Spyeware ziemlich egal ist, was Du bist, die ist einfach an jedem Rechner interessiert. Die Datei cqsfk.dll bitte bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen. Das Ergebniss dann hier posten. Mehr habe ich dort jetzt nicht finden können. Bata
__________________ --> Trojan.Downloader.Zlob.AADO DNSChanger.gen10 |
|
23.07.2007, 01:23
| #7 |
| | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 File cqsfk.dll received on 07.23.2007 02:15:32 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Loading server information... Your file is queued in position: 4. Estimated start time is between 58 and 83 seconds. Do not close the window untill scan is complete. The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result. If you are waiting for more than five minutes you have to resend your file. Your file is being scanned by VirusTotal in this moment, results will be shown as they're generated. Print results Print Your file has expired or do not exists. Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time. You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished. Email: Antivirus Version Last Update Result AhnLab-V3 2007.7.21.0 2007.07.20 no virus found AntiVir 7.4.0.44 2007.07.22 no virus found Authentium 4.93.8 2007.07.20 no virus found Avast 4.7.997.0 2007.07.22 no virus found AVG 7.5.0.476 2007.07.22 no virus found BitDefender 7.2 2007.07.23 no virus found CAT-QuickHeal 9.00 2007.07.20 no virus found ClamAV devel-20070416 2007.07.23 no virus found DrWeb 4.33 2007.07.22 no virus found eSafe 7.0.15.0 2007.07.22 no virus found eTrust-Vet 30.8.3797 2007.07.20 no virus found Ewido 4.0 2007.07.22 no virus found FileAdvisor 1 2007.07.23 no virus found Fortinet 2.91.0.0 2007.07.22 no virus found F-Prot 4.3.2.48 2007.07.20 no virus found F-Secure 6.70.13030.0 2007.07.22 no virus found Ikarus T3.1.1.8 2007.07.22 no virus found Kaspersky 4.0.2.24 2007.07.23 no virus found McAfee 5079 2007.07.20 no virus found Microsoft 1.2704 2007.07.22 no virus found NOD32v2 2411 2007.07.21 no virus found Norman 5.80.02 2007.07.20 no virus found Panda 9.0.0.4 2007.07.22 no virus found Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.21 no virus found Symantec 10 2007.07.23 Downloader TheHacker 6.1.7.151 2007.07.22 no virus found VBA32 3.12.2.1 2007.07.23 no virus found VirusBuster 4.3.26:9 2007.07.22 no virus found Webwasher-Gateway 6.0.1 2007.07.23 Win32.UPXpacked.gen!94 (suspicious) Additional information File size: 9216 bytes MD5: 565f80661f93da73951a12759200c58f SHA1: 291e8c94829197331057b4a1e3967ac63096770c packers: UPX packers: UPX packers: UPX |
|
23.07.2007, 01:28
| #8 |
| > MalwareDB | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 die Datei löschen, dann sollte alles gut sein. Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 01:31
| #9 |
| | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 Mach ich. Herzlichen Dank. Nur so ganz trau ich dem Frieden nicht, werd nach dem Löschen mal Systemwiederherstellung deaktivieren und neu booten. Ich hoffe dann passt immer noch alles. Wie gesagt, Dankeschön Pyranja |
|
23.07.2007, 01:34
| #10 |
| > MalwareDB | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 Mea Culpa, hab vlt. was übersehen. Benutze SmitFraudFix nach der Methode 1. Poste dann das LOg aus C:\rapport.txt. Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 01:44
| #11 |
| | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 Gesagt getan.... SmitFraudFix v2.206 Scan done at 2:42:02,77, 23.07.2007 Run from C:\Dokumente und Einstellungen\PC-User\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\PC-User »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\PC-User\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\PC-User\FAVORI~1 C:\DOKUME~1\PC-User\FAVORI~1\Online Security Test.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\VirusProtectPro 3.4\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Paketplaner-Miniport DNS Server Search Order: 217.68.161.141 DNS Server Search Order: 217.68.161.171 HKLM\SYSTEM\CCS\Services\Tcpip\..\{E491BA81-EB15-4151-8E0F-7C193B9BCC63}: DhcpNameServer=217.68.161.141 217.68.161.171 HKLM\SYSTEM\CS1\Services\Tcpip\..\{E491BA81-EB15-4151-8E0F-7C193B9BCC63}: DhcpNameServer=217.68.161.141 217.68.161.171 HKLM\SYSTEM\CS2\Services\Tcpip\..\{E491BA81-EB15-4151-8E0F-7C193B9BCC63}: DhcpNameServer=217.68.161.141 217.68.161.171 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=217.68.161.141 217.68.161.171 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=217.68.161.141 217.68.161.171 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=217.68.161.141 217.68.161.171 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
|
23.07.2007, 01:50
| #12 |
| > MalwareDB | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 wenn Dein Provider PRIMACOM ist, sollte alles ok sein. Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 01:50
| #13 |
| | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 Ey, das VirusProtect Pro habe ich auch erst seit dem Vorfall auf dem Rechner (lt. Uhrzeit). Aber wo das schon wieder her kommt, weiss ich auch nicht. Hab auch grad unter AllUsers die beiden Icons, ein grünes und ein blaues gefunden, die gestern auch von selbst auf dem Desktop erschienen sind. |
|
23.07.2007, 01:54
| #14 | |
| > MalwareDB | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 hast Du auch gereinigt? Zitat:
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 01:56
| #15 |
| | Trojan.Downloader.Zlob.AADO DNSChanger.gen10 Ups, dachte nur Punkt 1, hab da was Missverstanden. Ich mach das mal. |
|
| Themen zu Trojan.Downloader.Zlob.AADO DNSChanger.gen10 |
| 0 bytes, ad-aware, adobe, appinit_dlls, autorun, bho, bonjour, browser, defender, explorer, firefox, hijack, internet, internet explorer, internet security, mozilla, mozilla firefox, object, pdf, problem, secrets, security, senden, shockwave, software, system, trojaner, unknown file in winsock lsp, virus, windows, windows xp |
Linear-Darstellung
