Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: sygate meldet rundll32 zugriff auf rightonadz.biz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.10.2007, 10:18   #1
xardras
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Hallo!

Als ich eben mein XP home hochgefahren hab, meldete Sygate Personal Firewall einen Zugriffsversuch der rundll32.dll in Richtung der Domain rightonadz.biz (spaeter auch die grammatisch seltsame meldung "an application named is trying to access rightonadz.biz...", der name also ein lehrer String, suspekt!)

Die zugehoerige IP mit whois-ergebnis:
Code:
ATTFilter
85.92.152.71
inetnum:     85.92.152.0 - 85.92.159.255
netname:     RecurringInternational
descr:       Recurring International Inc.
person:      Recurring International Inc Support Team
address:     U12 Gamma Commercial Complex
address: #47 Rizal Highway cor. Manila Avenue
address:     Subic Bay Freeport, Philippines
phone:       +63 754327753
abuse-mailbox: abuse@webair.net
         
Kam mir jedenfalls verdaechtig vor und deshalb hab ich mal gegoogelt und wurde hier fuendig...
Nachdem ich paar aehnliche Beitrage gelesen hatte, fand ich auch bei mir eine sog. gzmrotate.dll unter C:\WINDOWS\system32.

Diese bei VirusTotal gescannt, ergab:

AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.18 ADSPY/RightHandz.2
Authentium 4.93.8 2007.10.17 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.17 -
BitDefender 7.2 2007.10.18 -
CAT-QuickHeal 9.00 2007.10.17 Trojan.RightHandz.gen
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.18 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5219 2007.10.18 -
Ewido 4.0 2007.10.17 -
FileAdvisor 1 2007.10.18 -
Fortinet 3.11.0.0 2007.10.18 -
F-Prot 4.3.2.48 2007.10.18 -
F-Secure 6.70.13030.0 2007.10.18 -
Ikarus T3.1.1.12 2007.10.18 -
Kaspersky 7.0.0.125 2007.10.18 -
McAfee 5143 2007.10.17 -
Microsoft 1.2908 2007.10.18 Adware:Win32/AdRotator
NOD32v2 2599 2007.10.17 -
Norman 5.80.02 2007.10.17 -
Panda 9.0.0.4 2007.10.18 Adware/AdRotator
Prevx1 V2 2007.10.18 -
Rising 19.45.31.00 2007.10.18 -
Sophos 4.22.0 2007.10.18 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.16 -
TheHacker 6.2.9.097 2007.10.18 -
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.17 -
Webwasher-Gateway 6.6.1 2007.10.18 Ad-Spyware.RightHandz.2

o_O

da stellt sich mir einerseits doch die Frage warum findet mein AVG nix!?? sollte ich doch wieder zu AntiVir wechseln, was empfehlt ihr?

und weiterhin natuerlich "omg was soll denn die sch****, was mach ich jetzt!??"

Ich liess auch mal den Ad-Aware SE Deep Scan laufen (was gefuehlt ungewoehnlich lange dauerte), mit folgendem Ergebnis:

Tracking Cookies (3 Objects)
Adware.Adssites (29 Objects)
Other (1 Object):

Other Object Recognized!
Type : File
Data : SETUP_RIGHTONADZ.EXE-07E6498D.pf
TAC Rating : 7
Category : Malware
Comment :
Object : C:\WINDOWS\prefetch\

Habe alles entfernt. (zur Sicherheit davor schon ein HiJackThis-Log erstellt, falls das von Interesse waere)

Als naechstes (bzw waehrend dem Scan ) kam mir natuerlich die Idee die HJT-Logs zu posten wie von euch praktisch beschrieben (also Ergebnis jetzt NACH Ad-Aware Reinigung):

Logfile of HijackThis v1.99.1
Scan saved at 09:58:15, on 18.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vidalia\vidalia.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Privoxy\privoxy.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\locator.exe
C:\Programme\Tor\tor.exe
C:\Programme\FirefoxPortable\App\firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=localhost:8118;gopher=localhost:8118;h**p=localhost:8118;h**ps=localhost:8118;socks=localhost:9050
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsiE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe"
O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Startup: Verknüpfung mit taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Download All Files by HiDownload - C:\Programme\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\Programme\HiDownload\HDGet.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\Programme\HiDownload\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3419CF94-A2B9-4FB4-B584-93C170B8AEA6}: NameServer = 192.168.***.***
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFC2F90C-79D3-49D0-A314-8893DE79F621}: NameServer = 192.168.***.***
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



So, ich versteh nur Bahnhof ^^ Ich hoffe sehr ich MUSS mein System nicht neu aufsetzen. VIELEN Dank fuer euere Hilfe!!

Alt 18.10.2007, 20:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Hallo.

Zitat:
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
Wenn du schon Acronis hast warum setzt du es nicht ein und spielst einfach ein Image zurück, wo das System nicht diesen Befall hatte?
__________________

__________________

Alt 18.10.2007, 21:08   #3
xardras
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Cool

sygate meldet rundll32 zugriff auf rightonadz.biz



habe kein aktuelles und weiss nicht wie lang da schon etwas verseucht ist (also auch auf nem image evtl.), hab mich lang nicht mit HJT etc beschaeftigt, wollte es aber fast gleichlang.

die frage quasi: sehen die logs wieder gesund aus!? und heisst das mit hinreichender wahrscheinlichkeit, dass mein system nun wieder gesundet ist?

thx!
__________________

Alt 18.10.2007, 21:28   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Wozu hast du denn überhaupt Acronis wenn du es nicht nutzt? Ist doch rausgeschmissenes Geld...und es ist doch kein Problem alle paar Wochen mal ein Systemimage anzufertigen. Naja, ich will da auch nicht noch weiter drauf rumreiten. Hätte ja sein können, dass du was aktuelles da hast und man sich somit einen langen Thread (unnötige Schreiberei) hätte ersparen können.

Zum Log:

Code:
ATTFilter
C:\WINDOWS\system32\nsiE.dll
         
Werte diese Datei online bei Virustotal aus und poste alle Ergebnisse.

Führ auch mal für Analysenzwecke folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.10.2007, 02:43   #5
xardras
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Ich nutze es doch. Schon nach paar Tagen wäre ein Image jedoch eher nur noch die Notlösung und als diese ist Acronis für mich gedacht. Sonst wärs ja unnötig hier zu posten, seh ich auch so. Ich versprech mir vom Posten eine bessere Lösung.

Wollte die nsiE.dll eben scannen, jetzt existiert die Datei nicht mehr! (Habe mittlerweile einmal neu gebootet, und habe versteckte sowie Systemdateien eingeblendet.)
aber ich glaub sie ist nichtmal das hauptproblem..... danke für die guten tools!
scheint jedoch leider nicht gut auszusehen.. :-\ ?

MWAV:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.2.6
Sprache: English
Virus Database Date: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "look2me Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\Addon\BSI\toolbox\Parentsfriend\pfsetup.exe//data0025 infected by "Trojan-PSW.Win32.VB.ji" Virus! Action Taken: No Action Taken.
File C:\Addon\Norton_Internet_Security\NAV\External\NORTON\NAVAPW32.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Programme\Adobe\Reader 8.0\Setup Files\{AC76BA86-7AD7-1033-7B44-A81000000003}\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOWNLOAD\UltraVNC-102-Bin(2).zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\DOWNLOAD\UltraVNC-102-Bin.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\Programme\UltraVNC-102-Bin\UltraVNC-server.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\Programme\UltraVNC-102-Bin\vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\Programme\UltraVNC-102-Bin\winvnc.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\[MP3PLAYER]\[FIRMWARE]\AMV_Convert_368_www.mympxplayer.org.zip/AMV_Convert_368/MSI.CAB/_6227252443C841BF9FFDFF29A9856421 tagged as "not-a-virus:RiskTool.Win32.Deleter.b". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\look2me !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7fd154a-86ac-11da-bf09-00904bd2ecd1} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOWNLOAD\CMI8738.zip not Scanned. Possibly password protected...
C:\DOWNLOAD\Rainlendar-0.22.1.exe.part not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 19
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 112
Time Elapsed: 03:04:55
Total Objects Scanned: 260506
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 2:29:42,48
Batchende: 2:29:52,40



ComboFix:

ComboFix 07-10-17.8@ - *** 2007-10-18 22:04:24.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.439 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com\played_list.sol
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com\video_queue.sol
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.broadcaster.com
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.broadcaster.com\settings.sol
C:\WINDOWS\system32\nsc13.dll
C:\WINDOWS\system32\system

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-18 bis 2007-10-18 ))))))))))))))))))))))))))))))
.

2007-10-18 22:03 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-17 20:06 40,733 --a------ C:\WINDOWS\system32\rightonadz-uninst.exe
2007-10-17 20:05 79,877 --a------ C:\WINDOWS\system32\adssite-remove.exe
2007-10-17 00:50 468,480 --a------ C:\WINDOWS\system32\NMDll.dll
2007-10-17 00:50 208,896 --a------ C:\WINDOWS\system32\HDBHO.dll
2007-10-17 00:50 20,480 --a------ C:\WINDOWS\yhl.dll
2007-10-17 00:50 7,168 --a------ C:\WINDOWS\lq.dll
2007-10-17 00:34 <DIR> d-------- C:\Programme\Real Alternative
2007-10-16 23:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-10-16 22:54 <DIR> d-------- C:\Programme\Real
2007-10-15 19:07 <DIR> d-------- C:\Programme\PHTML Encoder
2007-10-15 19:06 <DIR> d-------- C:\Programme\phpCipher
2007-10-15 18:53 <DIR> d-------- C:\Programme\SourceGuardian 2.0 Pro Demo
2007-10-15 17:57 <DIR> d-------- C:\Programme\PHP Obfuscator
2007-10-02 22:01 <DIR> d-------- C:\Programme\ordrumbox
2007-10-01 05:24 <DIR> d-------- C:\Programme\WinBoard-4.2.7

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-18 20:03 --------- d-----w C:\Programme\Trillian
2007-10-18 20:03 --------- d-----w C:\Programme\GuildFTPd
2007-10-18 20:03 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\SmartFTP
2007-10-18 19:09 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tor
2007-10-18 17:33 --------- d-----w C:\Programme\Java
2007-10-18 17:26 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia
2007-10-18 09:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVG7
2007-10-17 21:31 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\foobar2000
2007-10-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2007-10-16 09:42 --------- d-----w C:\Programme\PortableFirefox
2007-10-16 01:51 --------- d-----w C:\Programme\FirefoxPortable
2007-10-16 01:49 --------- d-----w C:\Programme\Biet-O-Matic
2007-10-15 17:06 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-10-15 17:06 249,856 ------w C:\WINDOWS\Setup1.exe
2007-10-12 00:45 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-09-20 23:59 --------- d-----w C:\Programme\Last.fm
2007-09-15 16:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-09-11 16:37 --------- d-----w C:\Programme\Lexmark X1100 Series
2007-09-09 13:24 --------- d-----w C:\Programme\speq
2007-08-31 16:01 --------- d-----w C:\Programme\foobar2000
2007-07-07 13:16 606 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat
2006-04-24 16:55 54,313 ----a-w C:\Programme\tor-bundle-uninstall.exe
2006-02-11 00:41 26,657 ----a-w C:\Programme\BUNDLE_LICENSE
2005-09-09 17:55 7,155,864 ----a-w C:\Programme\NGhost10.msi
2005-09-09 17:55 4,588,454 ----a-w C:\Programme\setup.exe
2005-09-09 17:55 37,766,164 ----a-w C:\Programme\Data1.cab
2005-09-09 17:55 35 ----a-w C:\Programme\SCSSDist.ini
2007-01-20 14:52:05 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49]
"SiSPower"="SiSPower.dll" [2004-09-02 14:47 C:\WINDOWS\system32\SiSPower.dll]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2004-09-02 13:44]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 19:15]
"OdTray.exe"="C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" [2003-12-16 12:44]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-09-14 09:08]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57]
"CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [2002-03-19 17:30]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2007-02-08 03:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= C:\active desktop\wiki.html
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
Source= C:\activeDesktop.html
FriendlyName=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"

R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys
R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys
R3 EU3_USB;WLAN miniUSB USB Driver;C:\WINDOWS\system32\DRIVERS\EU3USB.sys
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\NSNDIS5.SYS
S3 PRISM_A00;PRISM 802.11 Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys



[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1733BDA9-5A3F-F9C1-1D48-21CFE0F1A0B4}]
C:\WINDOWS\system32\system\system.exe s
.
Inhalt des "geplante Tasks" Ordners
"2007-10-12 15:16:20 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-18 22:11:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-18 22:13:41 - machine was rebooted
.
--- E O F ---


Geändert von xardras (19.10.2007 um 03:05 Uhr)

Alt 19.10.2007, 02:45   #6
xardras
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Silent Runners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Vidalia" = ""C:\Programme\Vidalia\vidalia.exe"" ["vidalia-project.net"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"SiSPower" = "Rundll32.exe SiSPower.dll,ModeAgent" [MS]
"SiS Windows KeyHook" = "C:\WINDOWS\system32\keyhook.exe" ["Silicon Integrated Systems Corporation"]
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"OdTray.exe" = ""C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"" ["Funk Software, Inc."]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"CoolSwitch" = "C:\WINDOWS\system32\taskswitch.exe" [null data]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"TrueImageMonitor.exe" = "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" ["Acronis"]
"Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"" ["Acronis"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"
-> {HKLM...CLSID} = "SmartFTP Shell Extension DLL"
\InProcServer32\(Default) = "C:\Programme\SmartFTP\smarthook.dll" ["SmartFTP"]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{1530F7EE-5128-43BD-9977-84A4B0FAD7DF}" = "PhotoToys"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\phototoys.dll" [MS]
"{8903F6C9-25E3-40AC-A98F-E6D35CD0469C}" = "PSPad"
-> {HKLM...CLSID} = "PSPad"
\InProcServer32\(Default) = "C:\Programme\PSPad\pspadshell.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
PSPad\(Default) = "{8903F6C9-25E3-40AC-A98F-E6D35CD0469C}"
-> {HKLM...CLSID} = "PSPad"
\InProcServer32\(Default) = "C:\Programme\PSPad\pspadshell.dll" [null data]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
VIDEOTRANS\(Default) = "{548773BA-874E-4C02-9DC7-B7A096772C7D}"
-> {HKLM...CLSID} = "CountLines Class"
\InProcServer32\(Default) = "C:\Programme\MP3 Player Utilities 3.57\AMVTools\SrcCount.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Default executables:
--------------------

HKCU\Software\Classes\batfile\

HKCU\Software\Classes\cmdfile\


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoRecentDocsNetHood" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"LinkResolveIgnoreLinkInfo" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"LinkResolveIgnoreLinkInfo" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoResolveSearch" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\

"NoUpdateCheck" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

"NoInternetOpenWith" = (REG_DWORD) hex:0x00000001
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "***" & "All Users" startup folders:
----------------------------------------------------

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
"Mozilla Thunderbird" -> shortcut to: "C:\Programme\Mozilla Thunderbird\thunderbird.exe" ["Mozilla Corporation"]
"Verknüpfung mit taskmgr" -> shortcut to: "C:\WINDOWS\system32\taskmgr.exe" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation"]
"Last.fm Helper" -> shortcut to: "C:\Programme\Last.fm\LastFMHelper.exe" ["Last.fm"]
"Privoxy" -> shortcut to: "C:\Programme\Privoxy\privoxy.exe" ["The Privoxy team - www.privoxy.org"]
"Utility Tray" -> shortcut to: "C:\WINDOWS\system32\sistray.exe" ["Silicon Integrated Systems Corporation"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\***ssenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
BlueSoleil Hid Service, BlueSoleil Hid Service, "C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe" [null data]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Odyssey Client, odClientService, "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe" ["Funk Software, Inc."]
Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
TuneUp WinStyler Theme Service, TUWinStylerThemeSvc, ""C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe"" ["TuneUp Software GmbH"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
RICOH Language Monitor2\Driver = "rc4mon.dll" ["RICOH CO.,Ltd."]


---------- (launch time: 2007-10-18 22:27:09)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 45 seconds, including 18 seconds for message boxes)

Alt 20.10.2007, 02:48   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Zitat:
Ich versprech mir vom Posten eine bessere Lösung.
Also wirklich...eine Bereinigung ist eher die Notlösung. Wenn man die Möglichkeit hat, wird man auch neu aufsetzen können und nicht aus Faulheit irgendwelche Foren mit Logfiles füttern, in der Hoffnung das wieder hinzubiegen. In der Tat, bei manchen Infektionen bekommt man das sogar hin, aber in der Mehrzahl eher nicht bzw. nicht sicher genug.

Sei mir nicht böse, ich versteh einfach nur nicht die Philosophie dahinter. Wie klingt denn das für dich: Man hat eins der besten Backupprogramme, nutzt es einfach zu selten, um denn irgendwas wieder per Forum zu bereinigen.

Wenn du die Möglichkeit hast, nutze das Image.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.10.2007, 13:57   #8
xardras
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Pfeil

sygate meldet rundll32 zugriff auf rightonadz.biz



Ok cosinus, da du mir offenbar noch immer nicht folgen kannst: ich wollte in Erfahrung bringen, ob mein System, falls - wie sich nun wohl herausstellt - befallen, zu sanieren ist. Und habe bei einer etwaigen Sanierung auf kompetente Unterstützung gehofft. Ein Kerngedanke dieses Forums aus meiner Sicht. Dies nun vor dem Hintergrund, dass die Möglichkeit es wiederherzustellen eben NICHT besteht. Falls du mit deinem zweifelhaften Beitrag versucht hast, meine Frage zu verneinen, frage ich mich, wieso du die Antwort bei mir als bekannt vorraussetzt. Sogar eine Erklärung.

Zitat:
Zitat von cosinus Beitrag anzeigen
Wenn man die Möglichkeit hat, wird man auch neu aufsetzen können und nicht aus Faulheit irgendwelche Foren mit Logfiles füttern, in der Hoffnung das wieder hinzubiegen.
Zudem würde mich deine - vllt Licht in die Sache bringende - Definition von Faulheit in obigem Kontext interessieren. Nennst du es auch faul, bei vollem Autoaschenbecher diesen zu leeren, anstatt weder Kosten noch Mühen zu scheuen, das Fahrzeug erneut zu beschaffen, mit leerem Aschenbecher? Mit dem Hund den Tierarzt aufzusuchen, anstatt einen neuen in deinem Umfeld zu installieren?

"Na hätten Sie mal besser auf Ihre Gesundheit geachtet. Auf Wiedersehen!" -- "...au..auf Wiedersehen Herr Doktor" ?

Da du dich, um beim Bild zu bleiben, als Arzt nicht wirklich zu qualifizieren scheinst, wozu dein Beitrag?

Kann mir jemand weiterhelfen?


(Dass ich die Logfiles auf dein Anraten gepostet habe, sei dann mal dahingestellt oder? Zum Thema Philosophie.)

Geändert von xardras (20.10.2007 um 14:03 Uhr)

Alt 20.10.2007, 16:48   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Ich habs dir nur geschrieben, dass du in Zukuft evtl. mal stärker auf die Imaging-Lösung setzt, denn eine Bereinigung ist meist nur Flickschusterei - wir könnens aber trotzdem machen. Ich schau mir gleich mal deine Logfiles genauer an. Du solltest aber eben im Hinterkopf behalten, dass bei einer Bereinigung eben die Möglichkeit besteht, dass nicht alles aufgespürt bzw. entfernt werden kann.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.10.2007, 17:07   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Bei dir verdichten sich die Hinweise auf eine Look2me-Infektion:
Code:
ATTFilter
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\look2me !!! 
2007-10-17 00:50 468,480 --a------ C:\WINDOWS\system32\NMDll.dll
         
Daher mal folgendes Tool herunterladen und starten -> Look2Me Destroyer

-Vorher alle Windows-Fenster schließen
-Programm starten -> Scan for L2M -> danach Remove L2M
-dann wird der Rechner heruntergefahren
-Nach dem Neustart den Inhalt der Look2Me-Destroyer.txt posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.10.2007, 19:21   #11
xardras
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



thx! habe den scanner laufen lassen, mit folgendem ergebnis:

Code:
ATTFilter
Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 20.10.2007 17:58:04


Attempting to delete infected files...

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded
         

Alt 20.10.2007, 19:52   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Ok. Mach mal ein Filelist, vllt. sehen wir dadurch noch weitere krumme Dateien:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop, öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Falls noch vorhanden, werte diese Dateien bei Virustotal aus und poste die Ergebnisse:

Code:
ATTFilter
C:\WINDOWS\yhl.dll
C:\WINDOWS\lq.dll
         
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.10.2007, 16:04   #13
xardras
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



C:\WINDOWS\yhl.dll

Result: 0/31 (0%)
File size: 20480 bytes

Im Hexeditor fand ich gegen Ende der Datei den String "Copyright (C) 1995,1996,1997 Realnetworks, Inc."
Hatte den neuesten RealPlayer auch erst kuerzlich installiert, dann wieder deinstalliert.
Dateidatum der letzten Aenderung ist jedoch 27.07.2003 (?), Erstellungsdatum 17.10.2007.


C:\WINDOWS\lq.dll

Result: 0/31 (0%)
File size: 7168 bytes

Dateidatum letzter Aenderung ist 09.06.2003, Erstellungsdatum wieder 17.10.2007. *kopfkratz*
Im Hexeditor habe ich keinen entsprechenden String gefunden.


Filelist

Code:
ATTFilter
----- Root ----------------------------- 

 Verzeichnis von C:\

21.10.2007  13:35     1.006.030.848 hiberfil.sys
21.10.2007  13:35     1.560.281.088 pagefile.sys
19.10.2007  01:54                 0 23990098.$$$

 
----- System32 ------------------------- 

 Verzeichnis von C:\WINDOWS\system32

18.10.2007  19:33             5.686 jupdate-1.6.0_03-b05.log
18.10.2007  10:33            79.877 adssite-remove.exe
17.10.2007  20:06            40.733 rightonadz-uninst.exe
14.10.2007  19:35             1.158 wpa.dbl
01.10.2007  19:29             1.409 tmp19378.FOT
01.10.2007  19:29             1.409 tmp40378.FOT
01.10.2007  19:29             1.409 tmp87278.FOT
01.10.2007  19:29             1.409 tmpBE178.FOT
29.09.2007  16:24             1.409 tmpD0023.FOT
29.09.2007  16:24             1.409 tmp18F13.FOT
28.09.2007  07:19        18.089.592 MRT.exe
26.09.2007  19:50                75 ScreensaverManager.log
24.09.2007  23:31           139.264 javaws.exe
24.09.2007  23:31            69.632 javacpl.cpl
24.09.2007  22:30           135.168 javaw.exe
24.09.2007  22:30           135.168 java.exe
18.09.2007  18:37             5.214 jupdate-1.6.0_02-b06.log

 
----- Prefetch ------------------------- 

 Verzeichnis von C:\WINDOWS\Prefetch

21.10.2007  14:14            13.116 FIND.EXE-0EC32F1E.pf
21.10.2007  14:13            16.398 CMD.EXE-087B4001.pf
21.10.2007  14:11            16.916 NOTEPAD.EXE-336351A9.pf
21.10.2007  14:11            69.774 WINRAR.EXE-3588DFE8.pf
21.10.2007  14:11            16.342 VERCLSID.EXE-3667BD89.pf
21.10.2007  13:58            54.914 PSPAD.EXE-1D63659A.pf
21.10.2007  13:51            18.116 SNDVOL32.EXE-383480B7.pf
21.10.2007  13:47            71.152 TRILLIAN.EXE-302642F0.pf
21.10.2007  13:46            19.664 NOTEPAD.EXE-189578DA.pf
21.10.2007  13:44            94.824 FIREFOX.EXE-046A72A5.pf
21.10.2007  13:44            43.868 FIREFOXPORTABLE.EXE-34E83F69.pf
21.10.2007  13:36            37.948 WUAUCLT.EXE-399A8E72.pf
21.10.2007  13:36            26.954 TOR.EXE-07E0527E.pf
21.10.2007  13:36            32.068 WMIPRVSE.EXE-28F301A9.pf
21.10.2007  13:36            13.790 LOCATOR.EXE-2C8326B1.pf
21.10.2007  13:36            11.466 HID2HCI.EXE-0869C6B5.pf
21.10.2007  13:36         1.135.804 NTOSBOOT-B00DFAAD.pf
21.10.2007  06:11            17.876 LOGONUI.EXE-0AF22957.pf
20.10.2007  20:32            52.950 FOOBAR2000.EXE-1D515AA1.pf
20.10.2007  20:30            26.070 LASTFMHELPER.EXE-398ECA4E.pf
20.10.2007  20:30            43.724 LASTFM.EXE-2B09628D.pf
20.10.2007  20:24            21.028 RUNDLL32.EXE-12E27DD0.pf
20.10.2007  18:05            20.000 REGSVR32.EXE-25EEFE2F.pf
20.10.2007  18:05            12.544 REGEDIT.EXE-1B606482.pf
20.10.2007  17:58            17.972 LOOK2ME-DESTROYER.EXE-06A8334A.pf
20.10.2007  17:57            14.338 AT.EXE-2770DD18.pf
20.10.2007  17:57            43.068 AVGINET.EXE-035BBB37.pf
20.10.2007  17:30            75.242 ACRORD32.EXE-153330F0.pf
20.10.2007  17:30            77.490 ACRORD32INFO.EXE-19D979CC.pf
20.10.2007  15:07            75.470 THUNDERBIRD.EXE-031A6371.pf
20.10.2007  13:30            20.996 DRWTSN32.EXE-2B4B52AC.pf
20.10.2007  13:30            62.434 DWWIN.EXE-30875ADC.pf
20.10.2007  13:28            18.858 TASKMGR.EXE-20256C55.pf
20.10.2007  12:51            71.406 VCEXPRESS.EXE-088FECEA.pf
19.10.2007  20:37            27.702 ENGINE.EXE-15393964.pf
19.10.2007  20:37            82.664 IEXPLORE.EXE-2CA9778D.pf
19.10.2007  17:15            43.850 SYSTEMOPTIMIZER.EXE-191231CF.pf
19.10.2007  17:15            81.530 REGISTRYCLEANER.EXE-2ACFEEF7.pf
19.10.2007  15:21            15.426 CALC.EXE-02CD573A.pf
19.10.2007  14:16            52.776 AUDACITY.EXE-23DBBCC2.pf
19.10.2007  13:52            51.268 DFRGNTFS.EXE-269967DF.pf
19.10.2007  13:52            23.320 DEFRAG.EXE-273F131E.pf
19.10.2007  13:52           362.938 Layout.ini
19.10.2007  13:34            28.390 GUILDFTPD.EXE-091FA379.pf
19.10.2007  13:34            26.530 WSCRIPT.EXE-32960AB9.pf
19.10.2007  13:32            54.896 PING.EXE-31216D26.pf
19.10.2007  11:02             7.170 CHCP.COM-18156052.pf
19.10.2007  11:02            14.192 IS-NAK5P.TMP-359348CC.pf
19.10.2007  11:02            14.582 HITMANPRO26.EXE-07459FB3.pf
19.10.2007  10:59            11.882 VBRPCCHYJYK.EXE-15E2157F.pf
19.10.2007  10:59            12.302 ROOTKITREVEALER.EXE-301CB48B.pf
19.10.2007  10:00            74.474 SPYBOTSD.EXE-1D495A65.pf
19.10.2007  09:36            16.898 HELPER.EXE-36449B49.pf
19.10.2007  09:35            62.006 UPDATER.EXE-35A8DB8E.pf
19.10.2007  09:08            30.370 AVGW.EXE-2A7BF89D.pf
18.10.2007  22:13             7.810 GREP.CFEXE-20443039.pf
18.10.2007  22:12             6.974 SED.CFEXE-268D7E58.pf
18.10.2007  20:52            25.070 SCRNSAVE.SCR-017F06EB.pf
18.10.2007  19:36            44.238 SMARTFTP.EXE-28770AA4.pf
18.10.2007  19:31           184.238 CIDAEMON.EXE-27AE97A4.pf
              60 Datei(en)      3.728.076 Bytes
 
----- Windows -------------------------- 

 Verzeichnis von C:\WINDOWS

21.10.2007  13:37         1.217.972 WindowsUpdate.log
21.10.2007  13:35             6.104 ModemLog_Bluetooth DUN Modem.txt
21.10.2007  13:35             6.098 ModemLog_Bluetooth Fax Modem.txt
21.10.2007  13:35                 0 0.log
21.10.2007  13:35             5.142 ModemLog_Smart Link 56K Modem.txt
21.10.2007  13:35               159 wiadebug.log
21.10.2007  13:35                50 wiaservc.log
21.10.2007  13:35             2.048 bootstat.dat
21.10.2007  06:11            32.614 SchedLgU.Txt
21.10.2007  05:21           758.171 setupapi.log
19.10.2007  02:27                26 Lic.xxx
19.10.2007  01:34           214.742 ntbtlog.txt
18.10.2007  22:43               969 win.ini
16.10.2007  23:29               116 NeroDigital.ini
15.10.2007  19:06           249.856 Setup1.exe
15.10.2007  19:06            73.216 ST6UNST.EXE
12.10.2007  15:35             2.024 ModemLog_Bluetooth LAP Modem #2.txt
12.10.2007  15:35             2.024 ModemLog_Bluetooth LAP Modem.txt
10.10.2007  19:02           169.233 ntdtcsetup.log
10.10.2007  19:02           317.325 tsoc.log
10.10.2007  19:02           278.985 comsetup.log
10.10.2007  19:02           127.919 iis6.log
10.10.2007  19:02             1.393 imsins.log
10.10.2007  19:02            45.063 ocmsn.log
10.10.2007  19:02            14.124 KB933729.log
10.10.2007  19:02           404.851 ocgen.log
10.10.2007  19:02            40.941 msgsocm.log
10.10.2007  19:02           819.305 FaxSetup.log
10.10.2007  19:02            60.470 updspapi.log
10.10.2007  19:02             1.393 imsins.BAK
10.10.2007  19:02            42.381 KB939653.log
10.10.2007  18:59            15.870 KB941202.log
02.10.2007  22:01           213.639 setupact.log
28.09.2007  09:06           135.168 catchme.exe
29.08.2007  16:32            27.249 KB933360.log
 
----- Tasks ---------------------------- 

 Verzeichnis von C:\WINDOWS\tasks

21.10.2007  13:35                 6 SA.DAT
19.10.2007  17:16               390 1-Klick-Wartung.job
04.08.2004  14:00                65 desktop.ini
               3 Datei(en)            461 Bytes
 
----- Wintemp -------------------------- 

 Verzeichnis von C:\WINDOWS\temp

20.10.2007  17:58            16.384 ~DF64F7.tmp
18.10.2007  22:37                 0 T30DebugLogFile.txt
               2 Datei(en)         16.384 Bytes
 
----- Temp ----------------------------- 

 Verzeichnis von C:\WINTEMP

21.10.2007  14:14           136.169 filelist.txt
21.10.2007  13:50        25.014.993 fla5.tmp
21.10.2007  13:40             1.557 jusched.log
19.10.2007  02:33           518.824 sfdb.dat
19.10.2007  02:33        28.784.614 MWAV.LOG
19.10.2007  02:27            80.921 mwXface.log
18.10.2007  22:48               385 EUpdate.ini
18.10.2007  22:48            12.012 Download.log
18.10.2007  22:43             5.886 filelist.lst
18.10.2007  22:43                 0 download.lck
18.10.2007  22:42           626.688 msvcr80.dll
18.10.2007  22:42           548.864 msvcp80.dll
18.10.2007  22:42           241.664 MYDB.DLL

----- UserTemp ------------------------- 

 Verzeichnis von C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp
 
Datei nicht gefunden
         
C:\WINDOWS\system32\rightonadz-uninst.exe ergab bei Virustotal:

Result: 1/31 (3.23%)
Rising 19.45.62.00 2007.10.21 Trojan.DL.Win32.Zlob.dbi


C:\WINDOWS\system32\adssite-remove.exe ergab ebenfalls:

Result: 1/32 (3.13%)
Rising 19.45.62.00 2007.10.21 Trojan.DL.Win32.Zlob.dbi


C:\WINDOWS\ST6UNST.EXE ergab:

Result: 0/32 (0%)


C:\WINDOWS\catchme.exe ergab:

Result: 4/32 (12.5%)
CAT-QuickHeal 9.00 2007.10.20 (Suspicious) - DNAScan
eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm
Prevx1 V2 2007.10.21 Heuristic: Suspicious File With Code Injection Technology
Sunbelt 2.2.907.0 2007.10.20 VIPRE.Suspicious

File size: 135168 bytes
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.



Ich bekomm ferner die letzten Tage unerwartet Werbe-Popups im Firefox oder Meldungen "NOTICE: If your computer has been running slower than normal, it may be infected with Viruses, Adware or Spyware. MalwareAlarm will perform a quick and completely FREE scan of your system for malicious programs. Download MalwareAlarm for FREE now!" die ich mit ALT+F4 schliesse.

Danke für deine bisherige Mühe!

Alt 21.10.2007, 19:27   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sygate meldet rundll32 zugriff auf rightonadz.biz - Standard

sygate meldet rundll32 zugriff auf rightonadz.biz



Die catchme.exe wird m.W. vom Rootkitscanner GMER verwendet, der ist ja auch in der combofix.exe mit drin.
Die anderen ausgewerteten Dateien würde ich an deiner Stelle löschen, denn die sehen allein schon vom Dateinamen her sehr merkwürdig aus.

Löschen diese und andere Dateien wir folgt:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
c:\windows\system32\adssite-remove.exe
c:\windows\system32\rightonadz-uninst.exe
C:\WINDOWS\yhl.dll
C:\WINDOWS\lq.dll
c:\windows\system32\tmp19378.FOT
c:\windows\system32\tmp40378.FOT
c:\windows\system32\tmp87278.FOT
c:\windows\system32\tmpBE178.FOT
c:\windows\system32\tmpD0023.FOT
c:\windows\system32\tmp18F13.FOT
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Hattest du schon die Zlob-Entfernung in Angriff genommen? Wenn nicht, klcik hier für die Anleitung.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu sygate meldet rundll32 zugriff auf rightonadz.biz
.dll, ad-aware, adobe, alert, application, bho, dll, explorer, firewall, frage, ftp, hijack, hilfe!!, home, internet, internet explorer, mozilla, mozilla thunderbird, pdf, prefetch, programme, rundll, rundll32.dll, sicherheit, software, suspekt, system, tuneup utilities, vielen dank, virus, warum, windows, windows xp



Ähnliche Themen: sygate meldet rundll32 zugriff auf rightonadz.biz


  1. Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an
    Plagegeister aller Art und deren Bekämpfung - 11.04.2015 (3)
  2. Firewall meldet Zugriff auf File 1SKKKKKKK.exe
    Log-Analyse und Auswertung - 04.04.2014 (12)
  3. GenVariant.Jaik.462, Zugriff durch rundll32.exe
    Plagegeister aller Art und deren Bekämpfung - 09.02.2014 (10)
  4. ESET meldet Zugriff auf Seite blockiert - im Log steht Variante von Win32/Kryptik.BEFI
    Plagegeister aller Art und deren Bekämpfung - 27.06.2013 (19)
  5. AntiVir meldet Virus TR/Sirefef.A.78 beim Zugriff auf Datei C:\RECYCLERS\S-1-5-18\...\00000001.@
    Log-Analyse und Auswertung - 23.06.2013 (9)
  6. avast meldet: Datei: system\cm106eye.exe - Geöfnet von: SysWOW64\rundll32.exe
    Antiviren-, Firewall- und andere Schutzprogramme - 03.11.2011 (17)
  7. Antivirusprogramm meldet Zugriff verweigert zu Static.layoutsexpress.com/js/layouts_facebook_..
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (9)
  8. Sygate PFW meldet Hijacking
    Log-Analyse und Auswertung - 22.03.2009 (7)
  9. Rightonadz/Adssite löschen[Guide]
    Plagegeister aller Art und deren Bekämpfung - 24.07.2008 (0)
  10. system32\rundll32.exe verweigert Zugriff!
    Plagegeister aller Art und deren Bekämpfung - 05.03.2008 (6)
  11. rightonadz, unerwünschte pop-ups, was tun?
    Log-Analyse und Auswertung - 05.02.2008 (4)
  12. C:\WINDOWS\system32\gzmrotate.dll rightonadz browser optimizer
    Log-Analyse und Auswertung - 29.10.2007 (0)
  13. Sygate 5.6 unzuverlässig???
    Antiviren-, Firewall- und andere Schutzprogramme - 22.06.2007 (4)
  14. Sygate 5.5 veraltet ?
    Antiviren-, Firewall- und andere Schutzprogramme - 07.04.2006 (8)
  15. Fragen zu Sygate
    Antiviren-, Firewall- und andere Schutzprogramme - 03.01.2006 (2)
  16. Kerio/Sygate
    Antiviren-, Firewall- und andere Schutzprogramme - 08.10.2005 (7)
  17. Problem mit Sygate Pro 5.5
    Antiviren-, Firewall- und andere Schutzprogramme - 24.09.2004 (3)

Zum Thema sygate meldet rundll32 zugriff auf rightonadz.biz - Hallo! Als ich eben mein XP home hochgefahren hab, meldete Sygate Personal Firewall einen Zugriffsversuch der rundll32.dll in Richtung der Domain rightonadz.biz (spaeter auch die grammatisch seltsame meldung "an application - sygate meldet rundll32 zugriff auf rightonadz.biz...
Archiv
Du betrachtest: sygate meldet rundll32 zugriff auf rightonadz.biz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.