| |
| |||||||
Log-Analyse und Auswertung: Großes TrojanerproblemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
06.05.2008, 23:42
| #1 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Großes TrojanerproblemZitat:
 Ich hab überwiegend mit Vundo und Co gerechnet - wollte aber sichergehen, daß nicht was Schlimmeres dabei ist - aber wenn Du meinst Du mußt erst alles hinterfragen, dann haben wir ein ganz schweres Spiel hier. Genauso wie Deine Daten, die wahrscheinlich niemals gesichert wurden - iss ja klar, man sichert ja nur dann wenn man neu aufsetzen muß nach Deiner Logik. Bring die Logfiles oder laß es sein oder setz Dein System gleich neu auf. 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
07.05.2008, 14:21
| #2 | |
 |  Großes TrojanerproblemZitat:
Nur hab ich halt gesehn, dass bei Combofix die Warnung "1 von 100 PC's werden bei der Desinfizierung beschädigt" gelesen und ich so einem Risiko aus dem Weg gehen wollte, wenn es zu verhindern ist. Im Nachhinein ist mir bewusst geworden, dass du ja nur den Log verlangt hast, den ich gleich posten werde. EDIT: Hier der Log vom Test: Die infizierten dll's wurden ja gelöscht, bin ich den Trojaner jetzt los? ComboFix 08-05-01.3 - Seb 2008-05-07 15:23:17.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.660 [GMT 2:00] ausgeführt von:: D:\hp\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\pskt.ini C:\WINDOWS\system32\bchrhseb.dll C:\WINDOWS\system32\bjgstvmv.dll C:\WINDOWS\system32\dmtdauno.dll C:\WINDOWS\system32\edrfkamk.ini C:\WINDOWS\system32\fqnivrso.dll C:\WINDOWS\system32\hgrodhvm.dll C:\WINDOWS\system32\jacsjody.dll C:\WINDOWS\system32\mvhdorgh.ini C:\WINDOWS\system32\nlnwlrxn.ini C:\WINDOWS\system32\nwuowkmj.dll C:\WINDOWS\system32\nxrlwnln.dll C:\WINDOWS\system32\pmnkKawv.dll C:\WINDOWS\system32\ppefopqr.dll C:\WINDOWS\system32\teejteuk.dll C:\WINDOWS\system32\urqNEWNF.dll C:\WINDOWS\system32\vipkekeh.ini C:\WINDOWS\system32\vwaKknmp.ini C:\WINDOWS\system32\vwaKknmp.ini2 . ---- Previous Run ------- . C:\WINDOWS\pskt.ini C:\WINDOWS\system32\mcrh.tmp . ((((((((((((((((((((((( Dateien erstellt von 2008-04-07 bis 2008-05-07 )))))))))))))))))))))))))))))) . 2008-05-06 20:38 . 2008-05-06 20:38 <DIR> d-------- C:\Programme\ASIO4ALL v2 2008-05-06 20:37 . 2008-05-06 20:37 <DIR> d-------- C:\Programme\Vstplugins 2008-05-06 20:37 . 2002-07-08 00:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm 2008-05-06 20:37 . 2006-06-20 10:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll 2008-05-06 20:35 . 2008-05-06 20:35 <DIR> d-------- C:\Programme\Outsim 2008-05-06 20:32 . 2008-05-06 20:38 <DIR> d-------- C:\Programme\Image-Line 2008-05-06 18:01 . 2008-05-06 18:01 <DIR> d-------- C:\Nokia 2008-05-06 18:01 . 2008-05-06 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Seb\.Nokia 2008-05-06 17:54 . 2008-05-06 17:54 <DIR> d-------- C:\S60 2008-05-06 15:36 . 2008-05-06 15:36 <DIR> d-------- C:\Programme\Trend Micro 2008-05-05 15:35 . 2008-05-05 15:35 24,576 --a------ C:\WINDOWS\system32\OV2INSTX.DLL 2008-05-05 15:35 . 2005-10-19 12:33 3,375 --a------ C:\WINDOWS\ONBRV2CL.INI 2008-05-05 15:35 . 2002-02-12 04:57 765 --a------ C:\WINDOWS\ONFORMAT.INI 2008-05-05 15:35 . 2008-05-05 15:35 364 --a------ C:\WINDOWS\ONBLV2CL.INI 2008-05-05 15:35 . 2008-05-05 15:35 45 --a------ C:\WINDOWS\system32\ONBV2VER.INI 2008-05-05 15:28 . 2008-05-06 00:16 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-05-05 14:34 . 2008-05-05 14:34 <DIR> d-------- C:\Programme\Panasonic 2008-05-05 14:34 . 2006-02-27 11:45 36,864 --a------ C:\WINDOWS\system32\SDDEVMGR.dll 2008-05-05 14:25 . 2008-05-05 14:27 <DIR> d-------- C:\Programme\Microsoft ActiveSync 2008-05-05 14:25 . 2005-10-21 03:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys 2008-05-05 14:25 . 2005-10-21 03:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys 2008-05-04 19:49 . 2008-05-06 19:11 121 --a------ C:\WINDOWS\bdagent.INI 2008-05-04 18:32 . 2008-05-06 19:10 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-05-04 18:30 . 2008-05-04 18:30 <DIR> d-------- C:\Programme\BitDefender 2008-05-04 18:28 . 2008-05-04 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender 2008-05-03 12:57 . 2008-05-06 15:29 109,738 --a------ C:\WINDOWS\BM1fb7f55c.xml 2008-05-02 19:39 . 2008-05-02 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus 2008-05-02 19:23 . 2008-05-02 19:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Totem Shared 2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\num41.jbd 2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\info147.sys 2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\data4711.bak 2008-04-20 19:18 . 2008-04-28 21:29 <DIR> d-------- C:\My Downloads 2008-04-20 19:17 . 2008-05-04 19:04 <DIR> d-------- C:\Programme\BearShare 2008-04-19 20:10 . 1998-11-12 13:06 48,128 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2008-04-19 19:26 . 2008-05-03 14:37 <DIR> d-------- C:\Programme\Bubble Bobble Quest 2008-04-19 19:26 . 2000-07-08 15:06 87,040 --a------ C:\WINDOWS\UnGins.exe 2008-04-16 21:57 . 2008-04-16 21:57 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2008-04-16 21:57 . 2008-04-16 21:57 <DIR> d-------- C:\Programme\MSXML 6.0 2008-04-16 21:57 . 2008-02-01 15:17 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll 2008-04-16 21:56 . 2008-04-16 21:57 <DIR> d-------- C:\Programme\Nokia 2008-04-16 21:56 . 2008-04-16 21:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia 2008-04-16 21:56 . 2008-04-16 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-04-12 15:00 . 2008-04-12 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\My Games 2008-04-12 14:39 . 2008-04-12 14:39 <DIR> d-------- C:\Programme\Firaxis Games 2 Datei(en) . 2,590 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-06 20:49 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Vso 2008-05-06 20:09 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\foobar2000 2008-05-06 18:09 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\OpenOffice.org2 2008-05-06 16:01 --------- d--h--w C:\Programme\Zero G Registry 2008-05-05 12:34 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-04 21:23 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\ICQ 2008-05-04 17:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-05-04 16:28 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-05-03 13:00 --------- d-----w C:\Programme\Opera 2008-05-02 23:17 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Tobit 2008-05-02 18:35 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Azureus 2008-05-02 17:39 --------- d-----w C:\Programme\Azureus 2008-04-29 15:30 --------- d-----w C:\Programme\Gamers.IRC 2008-04-29 15:20 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Skype 2008-04-29 14:35 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\skypePM 2008-04-27 13:58 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\teamspeak2 2008-04-21 19:10 --------- d-----w C:\Programme\PokerStars 2008-04-20 17:17 --------- d-----w C:\Programme\Incomplete 2008-04-20 17:15 --------- d-----w C:\Programme\LimeWire 2008-04-20 17:15 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\LimeWire 2008-04-17 17:00 --------- d-----w C:\Programme\ICQ6 2008-04-05 12:16 461 ----a-w C:\Programme\Verknüpfung mit LimeWire.lnk 2008-03-31 06:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound 2008-03-31 06:08 26,112 ----a-w C:\WINDOWS\system32\drivers\nchssvad.sys 2008-03-31 06:08 --------- d-----w C:\Programme\NCH Swift Sound 2008-03-31 06:08 --------- d-----w C:\Programme\NCH Software 2008-03-31 06:08 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\NCH Swift Sound 2008-03-31 06:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software 2008-03-27 12:57 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-03-27 12:57 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-03-21 20:29 --------- d-----w C:\Programme\foobar2000 2008-03-20 21:36 --------- d-----w C:\Programme\Veoh Networks 2008-03-20 01:28 --------- d-----w C:\Programme\Teamspeak2_RC2 2008-03-17 02:15 --------- d-----w C:\Programme\AlienGUIse 2008-03-17 02:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock 2008-03-17 02:12 --------- d-----w C:\Programme\Google 2008-03-17 00:48 --------- d-----w C:\Programme\RocketDock 2008-03-15 16:21 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Styler 2008-03-14 16:46 --------- d-----w C:\Programme\PokerStars.NET 2008-03-08 17:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero 2008-03-08 17:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2008-03-08 17:29 --------- d-----w C:\Programme\7-Zip 2008-02-29 16:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-12-13 20:10 103720] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 13:50 1289000] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2006-08-17 19:13 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "C-Media Mixer"="Mixer.exe" [2002-07-12 10:33 1581056 C:\WINDOWS\mixer.exe] "NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 15:21 2213160] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqNEWNF] urqNEWNF.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] C:\Programme\AlienGUIse\fastload.dll 2001-12-21 00:34 24576 C:\Programme\AlienGUIse\fastload.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm "vidc.ffds"= C:\PROGRA~1\ffdshow\ffdshow.ax "vidc.yv12"= yv12vfw.dll "msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^hamachi.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\hamachi.lnk backup=C:\WINDOWS\pss\hamachi.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^WinFlip.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\WinFlip.lnk backup=C:\WINDOWS\pss\WinFlip.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^Yahoo! Widgets.lnk] path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\Yahoo! Widgets.lnk backup=C:\WINDOWS\pss\Yahoo! Widgets.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1c84c6c0] C:\WINDOWS\system32\hgrodhvm.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2007-10-10 20:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] --a------ 2007-02-28 23:06 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange] --a------ 2007-09-29 04:58 26112 C:\WINDOWS\system32\Ati2mdxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] C:\Programme\BearShare\BearShare.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-12-13 20:10 103720 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1fb7f55c] C:\WINDOWS\system32\bjgstvmv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CatalystRegistration] --a------ 2007-07-27 12:04 274432 C:\Programme\ATI\CatalystRegistration\dolce.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray] C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-09-18 16:16 171464 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent] C:\Programme\DAEMON Tools Pro\DTProAgent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2006-11-13 13:50 1289000 C:\Programme\Microsoft ActiveSync\Wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-12-13 20:10 1688872 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 2006-08-25 12:11 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] --a------ 2006-08-25 12:11 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON] --a------ 2002-03-08 05:02 900096 C:\WINDOWS\system32\LXSUPMON.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2006-08-17 19:13 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-12-03 15:21 2213160 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services] --a------ 2006-02-13 18:33 214648 C:\Programme\Octoshape Streaming Services\Seb\OctoshapeClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray] C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2008-02-06 19:21 21898024 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 12:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] --a------ 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-12-25 18:25 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trickler] c:\programme\divx\divx pro codec\gain_trickler_3202.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-04-01 18:35 3587120 C:\Programme\Veoh Networks\Veoh\VeohClient.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"= "C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 c2scsi;c2scsi;C:\WINDOWS\system32\drivers\c2scsi.sys [2006-03-04 14:00] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22] S3 zlportio;zlportio;D:\Programme\Microsoft Office\UltraStar\zlportio.sys [2001-09-22 10:16] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-04-25 16:10:17 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-04-10 21:27:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-07 15:31:44 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Programme\AlienGUIse\AlienwareDock\DockShellHookOEM.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\AlienGUIse\wbload.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-07 15:36:40 - machine was rebooted [Seb] ComboFix-quarantined-files.txt 2008-05-07 13:36:22 18 Verzeichnis(se), 6,586,408,960 Bytes frei 22 Verzeichnis(se), 6,799,810,560 Bytes frei 300 Geändert von fa1th1337 (07.05.2008 um 14:45 Uhr) |
|
07.05.2008, 14:46
| #3 |
| | Großes Trojanerproblem Sorry für Doppelpost, aber Post war zu lang.
__________________HiJacklog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:42:33, on 07.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AlienGUIse\wbload.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\Mixer.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugCurrent.html O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugNext.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: urqNEWNF - urqNEWNF.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe -- End of file - 7886 bytes |
|
07.05.2008, 18:26
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Großes Trojanerproblem Da sind noch einige (!) Dateien: C:\WINDOWS\system32\OV2INSTX.DLL C:\WINDOWS\ONBRV2CL.INI C:\WINDOWS\ONFORMAT.INI C:\WINDOWS\ONBLV2CL.INI C:\WINDOWS\system32\ONBV2VER.INI Werte diese bitte bei Viristotal aus und poste alle Ergebnisse inkl. Prüfsummen. C:\Programme\BearShare C:\Programme\Azureus C:\Programme\LimeWire Du hast Dir da riesige Einfallstore installiert! Software aus dubiosen Quellen ist meist nicht nur illegal, sondern auch in den allermeisten Fällen verseucht. Verzichte am besten ganz auf Filesharing. Manche proprietäre clients wie Bearshare kommen sogar selbst mit Spy- und Adware daher.  Also weg mit dem Dreck!  Code:
ATTFilter O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O20 - Winlogon Notify: urqNEWNF - urqNEWNF.dll (file missing)
- alle Programme und offenen Explorerfenster schließen - hijackthis starten, klicken auf do a system scan only - die genannten Einträge markieren, ein Häkchen also davor setzen - unten auf den Button fix checked klicken - neues Logfile erstellen und hier posten Mach danach mal bitte einen Check mit Malwarebytes nach dieser Anleitung - poste das Logfile. Erstell auch bitte eine Übersicht der wichtigsten (System-)Ordner: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. Dann sehen wir weiter. 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Großes Trojanerproblem |
| .dll, bonjour, computer, ctfmon.exe, defender, desktop, externe festplatte, festplatte, firefox, fps einbrüche, frage, helper, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaputt, langsam, mozilla, mozilla firefox, nicht möglich, pc läuft, plug-in, prozesse, rundll, seiten, software, studio, virus, windows, windows xp, öffnet |
Hybrid-Darstellung
