Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Großes Trojanerproblem

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.05.2008, 14:48   #1
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Hallihallo,

ich habe seit einiger Zeit ein relativ großes PC-Problem. Mein PC läuft in letzter Zeit extremst langsam, und die enstehenden Probleme häufen sich.
So ist es mir z.B. in den letzten paar Tagen nicht mehr möglich, die Seiten google.de und gesichterparty.de aufzurufen, denn sie hören nicht auf zu laden. Erst wenn ich explorer.exe beende werden sie geladen.
Desweiteren ist mein PC atm sehr leistungsswach, so habe ich z.B. bei Counterstrike regelmäßige FPS Einbrüche, was normalerweise nicht normal ist, und explorer.exe hat öfters eine relativ hohe CPU-Auslastung.
Außerdem befinden sich seit neuem 2 unbekannte Einträge in msconfig/Systemstart, jeweils der befehl rundll32.exe "C:\Windows\system32\nxrlwnln.dll",b bzw Rundll32.exe "C:\Windows\system32\hgrodvm.dll",b. Googlen nach den Namen der dll's findet kein Ergebnis, da die Buchstaben wohl zufällig sind und wenn ich sie aus dem Autostart entferne enstehen 2 neue anders heißende dll's.
Beende ich beide Prozesse rundll32.exe erscheinen sie nach einer kurzen Zeit wieder im Task-Manager. Ich habe mittlerweile schon 6 Einträge im Autostart solcher dll's.
Ich gehe davon aus dass mein PC komplett virenverseucht ist, allerdings ist es mir atm nicht möglich den PC neu aufzusetzen, da mein DVD-Brenner kaputt ist und ich keine externe Festplatte besitze. Deshalb meine Frage, kann man noch etwas retten oder ist es nicht so schlimm wie ich erwarte?

Da ich nicht weiß was für Angabe benötigt werden, gebe ich einfach mal das an was ich denke :>.
Betriebssystem: Windows XP SP2
Browser: Mozilla,neuste Version


Anbei noch der Hijacklog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:28, on 06.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\Programme\foobar2000\foobar2000.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [BM1fb7f55c] Rundll32.exe "C:\WINDOWS\system32\jacsjody.dll",s
O4 - HKLM\..\Run: [1c84c6c0] rundll32.exe "C:\WINDOWS\system32\nxrlwnln.dll",b
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugCurrent.html
O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugNext.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL
O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 8342 bytes


Vielen Dank im Voruas für eure Hilfe .

MFG

fa1th

EDIT: Was ich vergessen hatte zu erwähnen, mein Mozilla öffnet regelmäßig tabs einer Seite namens adnetserver.net/...

Geändert von fa1th1337 (06.05.2008 um 15:01 Uhr)

Alt 06.05.2008, 14:59   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großes Trojanerproblem - Ausrufezeichen

Großes Trojanerproblem



C:\Windows\system32\nxrlwnln.dll
C:\Windows\system32\hgrodvm.dll
C:\WINDOWS\system32\jacsjody.dll


Werte diese fraglichen Dateien sowie die folgenden bitte bei Virustotal aus und poste sämtliche Ergebnisse! Schalte vorher den Virenscanner-Wächter temporär ab, damit der diesen Auswertevorgang nicht negativ beeinflußt!!

Folge danach dem Link zu combofix in meiner Signatur und befolge die Anleitung, poste das Logfile.

Zitat:
allerdings ist es mir atm nicht möglich den PC neu aufzusetzen, da mein DVD-Brenner kaputt ist und ich keine externe Festplatte besitze.
Und was machst Du wenn jetzt Deine interne Platte stirbt?
Ich mein es ist zwar rel. unwahrscheinlich aber dennoch möglich und das passiert häufiger als man glauben will.
=> Daher gehören wichtige Daten immer extern noch irgendwie gesichert.
__________________

__________________

Alt 06.05.2008, 15:15   #3
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Bevor ich das mit combofix mache, warte ich erst einmal auf deine Antwort :>.

Habe nach Änderungsdatum geordnet und habe in den letzten paar tagen 11 solcher komischer dll's.

Habe alle ausgewertet und die Ergebnisse waren fast alle gleich, bei allen Beispielen wurde eine Art von vundo.gen gefunden, z.B. TR/Vundo.Gen, Win32/Vundo!generic,Vundo.N,...Gleichzeitig zeigten andere Virenprogramme Win32:TratBHO oder Win32.Rigel.6468 an, aber bei allen war vundo mind. einmal enthalten. Allerdings ist keine der dll's gleich alle hatten leicht andere Ergebnisse. Wenn es nötig ist das ich alle Ergebnisse komplett posten soll werde ich das machen.

Was sagt mir das nun? :>
__________________

Alt 06.05.2008, 23:42   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großes Trojanerproblem - Böse

Großes Trojanerproblem



Zitat:
Zitat von fa1th1337 Beitrag anzeigen
Bevor ich das mit combofix mache, warte ich erst einmal auf deine Antwort :>.

Was sagt mir das nun? :>
Warum? Meinst Du ich verlink den Kram nur aus Spaß?
Ich hab überwiegend mit Vundo und Co gerechnet - wollte aber sichergehen, daß nicht was Schlimmeres dabei ist - aber wenn Du meinst Du mußt erst alles hinterfragen, dann haben wir ein ganz schweres Spiel hier.

Genauso wie Deine Daten, die wahrscheinlich niemals gesichert wurden - iss ja klar, man sichert ja nur dann wenn man neu aufsetzen muß nach Deiner Logik.

Bring die Logfiles oder laß es sein oder setz Dein System gleich neu auf.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.05.2008, 14:21   #5
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Zitat:
Zitat von root24 Beitrag anzeigen
Warum? Meinst Du ich verlink den Kram nur aus Spaß?
Nein,natürlich nicht,da ist meine Aussage etwas falsch rübergekommen. Ich bin überglücklich, dass es solche Boards gibt und solch hilfreiche User wie dich.
Nur hab ich halt gesehn, dass bei Combofix die Warnung "1 von 100 PC's werden bei der Desinfizierung beschädigt" gelesen und ich so einem Risiko aus dem Weg gehen wollte, wenn es zu verhindern ist. Im Nachhinein ist mir bewusst geworden, dass du ja nur den Log verlangt hast, den ich gleich posten werde.

EDIT:

Hier der Log vom Test:

Die infizierten dll's wurden ja gelöscht, bin ich den Trojaner jetzt los?

ComboFix 08-05-01.3 - Seb 2008-05-07 15:23:17.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.660 [GMT 2:00]
ausgeführt von:: D:\hp\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bchrhseb.dll
C:\WINDOWS\system32\bjgstvmv.dll
C:\WINDOWS\system32\dmtdauno.dll
C:\WINDOWS\system32\edrfkamk.ini
C:\WINDOWS\system32\fqnivrso.dll
C:\WINDOWS\system32\hgrodhvm.dll
C:\WINDOWS\system32\jacsjody.dll
C:\WINDOWS\system32\mvhdorgh.ini
C:\WINDOWS\system32\nlnwlrxn.ini
C:\WINDOWS\system32\nwuowkmj.dll
C:\WINDOWS\system32\nxrlwnln.dll
C:\WINDOWS\system32\pmnkKawv.dll
C:\WINDOWS\system32\ppefopqr.dll
C:\WINDOWS\system32\teejteuk.dll
C:\WINDOWS\system32\urqNEWNF.dll
C:\WINDOWS\system32\vipkekeh.ini
C:\WINDOWS\system32\vwaKknmp.ini
C:\WINDOWS\system32\vwaKknmp.ini2
.
---- Previous Run -------
.
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-07 bis 2008-05-07 ))))))))))))))))))))))))))))))
.

2008-05-06 20:38 . 2008-05-06 20:38 <DIR> d-------- C:\Programme\ASIO4ALL v2
2008-05-06 20:37 . 2008-05-06 20:37 <DIR> d-------- C:\Programme\Vstplugins
2008-05-06 20:37 . 2002-07-08 00:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm
2008-05-06 20:37 . 2006-06-20 10:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2008-05-06 20:35 . 2008-05-06 20:35 <DIR> d-------- C:\Programme\Outsim
2008-05-06 20:32 . 2008-05-06 20:38 <DIR> d-------- C:\Programme\Image-Line
2008-05-06 18:01 . 2008-05-06 18:01 <DIR> d-------- C:\Nokia
2008-05-06 18:01 . 2008-05-06 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Seb\.Nokia
2008-05-06 17:54 . 2008-05-06 17:54 <DIR> d-------- C:\S60
2008-05-06 15:36 . 2008-05-06 15:36 <DIR> d-------- C:\Programme\Trend Micro
2008-05-05 15:35 . 2008-05-05 15:35 24,576 --a------ C:\WINDOWS\system32\OV2INSTX.DLL
2008-05-05 15:35 . 2005-10-19 12:33 3,375 --a------ C:\WINDOWS\ONBRV2CL.INI
2008-05-05 15:35 . 2002-02-12 04:57 765 --a------ C:\WINDOWS\ONFORMAT.INI
2008-05-05 15:35 . 2008-05-05 15:35 364 --a------ C:\WINDOWS\ONBLV2CL.INI
2008-05-05 15:35 . 2008-05-05 15:35 45 --a------ C:\WINDOWS\system32\ONBV2VER.INI
2008-05-05 15:28 . 2008-05-06 00:16 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-05-05 14:34 . 2008-05-05 14:34 <DIR> d-------- C:\Programme\Panasonic
2008-05-05 14:34 . 2006-02-27 11:45 36,864 --a------ C:\WINDOWS\system32\SDDEVMGR.dll
2008-05-05 14:25 . 2008-05-05 14:27 <DIR> d-------- C:\Programme\Microsoft ActiveSync
2008-05-05 14:25 . 2005-10-21 03:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2008-05-05 14:25 . 2005-10-21 03:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2008-05-04 19:49 . 2008-05-06 19:11 121 --a------ C:\WINDOWS\bdagent.INI
2008-05-04 18:32 . 2008-05-06 19:10 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-05-04 18:30 . 2008-05-04 18:30 <DIR> d-------- C:\Programme\BitDefender
2008-05-04 18:28 . 2008-05-04 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-05-03 12:57 . 2008-05-06 15:29 109,738 --a------ C:\WINDOWS\BM1fb7f55c.xml
2008-05-02 19:39 . 2008-05-02 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-05-02 19:23 . 2008-05-02 19:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Totem Shared
2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\num41.jbd
2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\info147.sys
2008-05-02 19:23 . 2008-05-03 01:33 4 --a------ C:\WINDOWS\data4711.bak
2008-04-20 19:18 . 2008-04-28 21:29 <DIR> d-------- C:\My Downloads
2008-04-20 19:17 . 2008-05-04 19:04 <DIR> d-------- C:\Programme\BearShare
2008-04-19 20:10 . 1998-11-12 13:06 48,128 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-04-19 19:26 . 2008-05-03 14:37 <DIR> d-------- C:\Programme\Bubble Bobble Quest
2008-04-19 19:26 . 2000-07-08 15:06 87,040 --a------ C:\WINDOWS\UnGins.exe
2008-04-16 21:57 . 2008-04-16 21:57 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-04-16 21:57 . 2008-04-16 21:57 <DIR> d-------- C:\Programme\MSXML 6.0
2008-04-16 21:57 . 2008-02-01 15:17 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-04-16 21:56 . 2008-04-16 21:57 <DIR> d-------- C:\Programme\Nokia
2008-04-16 21:56 . 2008-04-16 21:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2008-04-16 21:56 . 2008-04-16 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-04-12 15:00 . 2008-04-12 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\My Games
2008-04-12 14:39 . 2008-04-12 14:39 <DIR> d-------- C:\Programme\Firaxis Games
2 Datei(en) . 2,590 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 20:49 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Vso
2008-05-06 20:09 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\foobar2000
2008-05-06 18:09 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\OpenOffice.org2
2008-05-06 16:01 --------- d--h--w C:\Programme\Zero G Registry
2008-05-05 12:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-04 21:23 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\ICQ
2008-05-04 17:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-04 16:28 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-03 13:00 --------- d-----w C:\Programme\Opera
2008-05-02 23:17 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Tobit
2008-05-02 18:35 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Azureus
2008-05-02 17:39 --------- d-----w C:\Programme\Azureus
2008-04-29 15:30 --------- d-----w C:\Programme\Gamers.IRC
2008-04-29 15:20 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Skype
2008-04-29 14:35 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\skypePM
2008-04-27 13:58 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\teamspeak2
2008-04-21 19:10 --------- d-----w C:\Programme\PokerStars
2008-04-20 17:17 --------- d-----w C:\Programme\Incomplete
2008-04-20 17:15 --------- d-----w C:\Programme\LimeWire
2008-04-20 17:15 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\LimeWire
2008-04-17 17:00 --------- d-----w C:\Programme\ICQ6
2008-04-05 12:16 461 ----a-w C:\Programme\Verknüpfung mit LimeWire.lnk
2008-03-31 06:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-03-31 06:08 26,112 ----a-w C:\WINDOWS\system32\drivers\nchssvad.sys
2008-03-31 06:08 --------- d-----w C:\Programme\NCH Swift Sound
2008-03-31 06:08 --------- d-----w C:\Programme\NCH Software
2008-03-31 06:08 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\NCH Swift Sound
2008-03-31 06:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software
2008-03-27 12:57 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-03-27 12:57 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-03-21 20:29 --------- d-----w C:\Programme\foobar2000
2008-03-20 21:36 --------- d-----w C:\Programme\Veoh Networks
2008-03-20 01:28 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-03-17 02:15 --------- d-----w C:\Programme\AlienGUIse
2008-03-17 02:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2008-03-17 02:12 --------- d-----w C:\Programme\Google
2008-03-17 00:48 --------- d-----w C:\Programme\RocketDock
2008-03-15 16:21 --------- d-----w C:\Dokumente und Einstellungen\Seb\Anwendungsdaten\Styler
2008-03-14 16:46 --------- d-----w C:\Programme\PokerStars.NET
2008-03-08 17:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-03-08 17:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-03-08 17:29 --------- d-----w C:\Programme\7-Zip
2008-02-29 16:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-12-13 20:10 103720]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 13:50 1289000]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2006-08-17 19:13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-07-12 10:33 1581056 C:\WINDOWS\mixer.exe]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 15:21 2213160]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqNEWNF]
urqNEWNF.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\Programme\AlienGUIse\fastload.dll 2001-12-21 00:34 24576 C:\Programme\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"vidc.ffds"= C:\PROGRA~1\ffdshow\ffdshow.ax
"vidc.yv12"= yv12vfw.dll
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^hamachi.lnk]
path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^WinFlip.lnk]
path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\WinFlip.lnk
backup=C:\WINDOWS\pss\WinFlip.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Seb^Startmenü^Programme^Autostart^Yahoo! Widgets.lnk]
path=C:\Dokumente und Einstellungen\Seb\Startmenü\Programme\Autostart\Yahoo! Widgets.lnk
backup=C:\WINDOWS\pss\Yahoo! Widgets.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1c84c6c0]
C:\WINDOWS\system32\hgrodhvm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 20:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
--a------ 2007-02-28 23:06 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2007-09-29 04:58 26112 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-12-13 20:10 103720 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1fb7f55c]
C:\WINDOWS\system32\bjgstvmv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CatalystRegistration]
--a------ 2007-07-27 12:04 274432 C:\Programme\ATI\CatalystRegistration\dolce.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray]
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 16:16 171464 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
C:\Programme\DAEMON Tools Pro\DTProAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 13:50 1289000 C:\Programme\Microsoft ActiveSync\Wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-12-13 20:10 1688872 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2006-08-25 12:11 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2006-08-25 12:11 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
--a------ 2002-03-08 05:02 900096 C:\WINDOWS\system32\LXSUPMON.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2006-08-17 19:13 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-12-03 15:21 2213160 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
--a------ 2006-02-13 18:33 214648 C:\Programme\Octoshape Streaming Services\Seb\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-06 19:21 21898024 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 12:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-25 18:25 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trickler]
c:\programme\divx\divx pro codec\gain_trickler_3202.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC9Player]
C:\Programme\Virtual CD v9\System\VC9Play.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-04-01 18:35 3587120 C:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 c2scsi;c2scsi;C:\WINDOWS\system32\drivers\c2scsi.sys [2006-03-04 14:00]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 zlportio;zlportio;D:\Programme\Microsoft Office\UltraStar\zlportio.sys [2001-09-22 10:16]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-25 16:10:17 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-04-10 21:27:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-07 15:31:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\AlienGUIse\AlienwareDock\DockShellHookOEM.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-07 15:36:40 - machine was rebooted [Seb]
ComboFix-quarantined-files.txt 2008-05-07 13:36:22

18 Verzeichnis(se), 6,586,408,960 Bytes frei
22 Verzeichnis(se), 6,799,810,560 Bytes frei

300


Geändert von fa1th1337 (07.05.2008 um 14:45 Uhr)

Alt 07.05.2008, 14:46   #6
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Sorry für Doppelpost, aber Post war zu lang.

HiJacklog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:33, on 07.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugCurrent.html
O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\Programme\Zend\ZendStudio-5.5.1\bin\ZendIEToolbar.dll/DebugNext.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL
O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.1\bin\ZENDIE~1.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{05EEC9C8-2EDA-4C52-BF50-D8B79632FB5E}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: urqNEWNF - urqNEWNF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

--
End of file - 7886 bytes

Alt 07.05.2008, 18:26   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großes Trojanerproblem - Icon32

Großes Trojanerproblem



Da sind noch einige (!) Dateien:

C:\WINDOWS\system32\OV2INSTX.DLL
C:\WINDOWS\ONBRV2CL.INI
C:\WINDOWS\ONFORMAT.INI
C:\WINDOWS\ONBLV2CL.INI
C:\WINDOWS\system32\ONBV2VER.INI


Werte diese bitte bei Viristotal aus und poste alle Ergebnisse inkl. Prüfsummen.

C:\Programme\BearShare
C:\Programme\Azureus
C:\Programme\LimeWire


Du hast Dir da riesige Einfallstore installiert! Software aus dubiosen Quellen ist meist nicht nur illegal, sondern auch in den allermeisten Fällen verseucht. Verzichte am besten ganz auf Filesharing. Manche proprietäre clients wie Bearshare kommen sogar selbst mit Spy- und Adware daher. Also weg mit dem Dreck!

Code:
ATTFilter
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O20 - Winlogon Notify: urqNEWNF - urqNEWNF.dll (file missing)
         
Diese Einträge würde ich mit HijackThis fixen:
- alle Programme und offenen Explorerfenster schließen
- hijackthis starten, klicken auf do a system scan only
- die genannten Einträge markieren, ein Häkchen also davor setzen
- unten auf den Button fix checked klicken
- neues Logfile erstellen und hier posten

Mach danach mal bitte einen Check mit Malwarebytes nach dieser Anleitung - poste das Logfile.

Erstell auch bitte eine Übersicht der wichtigsten (System-)Ordner:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Dann sehen wir weiter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.05.2008, 22:34   #8
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Zitat:
C:\WINDOWS\system32\OV2INSTX.DLL
C:\WINDOWS\ONBRV2CL.INI
C:\WINDOWS\ONFORMAT.INI
C:\WINDOWS\ONBLV2CL.INI
C:\WINDOWS\system32\ONBV2VER.INI
keine funde,rest kommt gleich

Alt 07.05.2008, 22:37   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großes Trojanerproblem - Ausrufezeichen

Großes Trojanerproblem



Zitat:
Zitat von fa1th1337 Beitrag anzeigen
keine funde,rest kommt gleich

Ergebnisse vollständig posten, auch wenn NIX gefunden wurde! Interessant sind nämlich dann die Prüfsummen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.05.2008, 13:44   #10
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Zitat:
Zitat von root24 Beitrag anzeigen

Ergebnisse vollständig posten, auch wenn NIX gefunden wurde! Interessant sind nämlich dann die Prüfsummen!
Sry,habe ich nicht gewusst,werde die Dateien gleich wieder überprüfen lassen.

Erst einmal Danke für die Mühe die du dir bis jetzt schon gemacht hast.

Hier ist der listing log:

RapidShare: 1-Click Webhosting

und hier der mbam log:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 729

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 244079
Scan Dauer: 58 minute(s), 15 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\effunfvl.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUnkjHA.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\urqNEWNF.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6640c70c-31ee-4755-a839-7f0531d4f2bb} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6640c70c-31ee-4755-a839-7f0531d4f2bb} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqnewnf (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\1c84c6c0 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM1fb7f55c (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtunkjha -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\effunfvl.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\lvfnuffe.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUnkjHA.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\AHjknUtv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AHjknUtv.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pnpefqpb.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\urqNEWNF.dll (Trojan.Vundo) -> Delete on reboot.


EDIT:Hier die Virustotal Ergebnisse:

ONFORMAT.INI

File size: 765 bytes
MD5...: 73dbb188735bb169ab6761ee04503c22
SHA1..: 6b300d27ee5cf3d31c0c1035040dfea2209ca986
SHA256: 46e02fea4dd805cd6048fb4c49e9786294bff11e5c49ef8305621608230c8420
SHA512: dad6fa9a0982707f3df90228c1d2d7aecf600b13326c914221cefba83291d526
a474ced67bc5b6b4838c8322bda0565a35188645a22a92c49da60f0489a4b204
PEiD..: -
PEInfo: -

ONBRV2CL.INI

File size: 3375 bytes
MD5...: 7f8994a45addbb7c20410967bf75f1f7
SHA1..: 5a24b437501e77f4a927cebd3bc577fce36b4b55
SHA256: 78a574f978ee05e09d44c4f095875e9fe81e5676e1103e381c391617777d19d7
SHA512: be0d91a07907623888e43f09f69d2dbd7543f2698b99ea8e8017943126eab61f
fff1ba3330d5cc5857c2b47f34ccea9efdc2f169cf12ac6e6a58ff5aa1f04b5c
PEiD..: -
PEInfo: -

ONBLV2CL.INI

File size: 364 bytes
MD5...: 357a65ef2b2aa6cb36b08d7c2802a046
SHA1..: afe72b5a6583f45d2a288f2799d052ae3f467849
SHA256: 563870d1bfee8cc4425faf16613edaeb05a818cecc8d09fc24597494b17d82b6
SHA512: de5521379fee86721ea6ba5a8044f3d691cca9ca940b46d1948b74726a20571c
3507f4b9652e7928ead6bbff47f8a4fed927e4554921c707cbefa9a76aecc66d
PEiD..: -
PEInfo: -

ONBV2VER.INI

File size: 45 bytes
MD5...: fab4c45c47e4b870ffd841f0acf88535
SHA1..: 57d18a3f0880f5d36c710eb4902475cac22cdf65
SHA256: 79cd93c7dd882bc92106b9e709941249b674ce518b3c8387282b44b3a46f0b1f
SHA512: 3b82a26cc31a10acd9405a5086a7cbff06a63017b4bc79f378cdb5a73b6a4328
d599d54b85e01af2725a6c4e7904216b30628f5b56217f47715ee57269cbde70
PEiD..: -
PEInfo: -

OV2INSTX.DLL

File size: 24576 bytes
MD5...: a2121933c225b982d99a1c59d771f4e2
SHA1..: ad0100f89442e49773553b934141c96d8bc1061c
SHA256: 8bb4ad48c8c2de06bf38d6f82c3563cc1f4bf60644a9aec2ecf7aa1987a41001
SHA512: 3bc8bcfb25216224d02c1e1e64ce6b630204cc9a0df87484ea739b24899f7a4d
1733a3b9d1badbcdfb508ceab54e1962f68428e7e04eea92087f01b4418acb84
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information


Die Dateien sollten zu OnBelay v2 gehören, denke ich mal, also sollte nichts böses sein.

Geändert von fa1th1337 (08.05.2008 um 13:50 Uhr)

Alt 08.05.2008, 13:52   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großes Trojanerproblem - Frage

Großes Trojanerproblem



Zitat:
Die Dateien sollten zu OnBelay v2 gehören, denke ich mal, also sollte nichts böses sein.
Ok!

Hast Du das listing vor oder nach Malwarebytes ausgeführt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.05.2008, 15:32   #12
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Bin mir grad unsicher, deswegen hab ich es grad nochmal gemacht:

http://rapidshare.com/files/113447267/listing.txt.html

Alt 08.05.2008, 15:43   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großes Trojanerproblem - Icon32

Großes Trojanerproblem



Code:
ATTFilter
C:\WINDOWS\system32\tkgydqoa.exe
C:\WINDOWS\system32\wnpsiabt.dll
C:\WINDOWS\system32\drivers\mbamcatchme.sys
C:\WINDOWS\system32\drivers\mbam.sys
         
Werte diese Dateien bei Virsutotal aus. kennst ja das Spiel.

Code:
ATTFilter
Verzeichnis von C:\
07.05.2008  22:16    <DIR>          NV38603864.TMP
07.05.2008  22:02    <DIR>          NV38523856.TMP
24.01.2008  19:26    <DIR>          LXKZ33
12.12.2007  22:54    <DIR>          lazarus
         
Sagen Dir diese Ordner was?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.05.2008, 16:14   #14
fa1th1337
 
Großes Trojanerproblem - Standard

Großes Trojanerproblem



Erste 3 sind Treiber, 4. Entwicklungsumgebung, also auch nichts böses.

Ergebnisse:

tkgydqoa.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.08 -
AntiVir 7.8.0.14 2008.05.08 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.07 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.07 -
ClamAV 0.92.1 2008.05.08 -
DrWeb 4.44.0.09170 2008.05.08 -
eSafe 7.0.15.0 2008.05.07 -
eTrust-Vet 31.4.5768 2008.05.07 -
Ewido 4.0 2008.05.08 -
F-Prot 4.4.2.54 2008.05.07 -
F-Secure 6.70.13260.0 2008.05.08 -
Fortinet 3.14.0.0 2008.05.08 -
Ikarus T3.1.1.26.0 2008.05.08 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.05.08 -
McAfee 5290 2008.05.07 -
Microsoft 1.3408 2008.05.08 -
NOD32v2 3085 2008.05.08 -
Norman 5.80.02 2008.05.07 W32/Smalltroj.EGXV
Panda 9.0.0.4 2008.05.07 -
Prevx1 V2 2008.05.08 Malicious Software
Rising 20.43.32.00 2008.05.08 -
Sophos 4.29.0 2008.05.08 -
Sunbelt 3.0.1097.0 2008.05.07 -
TheHacker 6.2.92.302 2008.05.07 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.07 -
Webwasher-Gateway 6.6.2 2008.05.08 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 2048 bytes
MD5...: 5a3b18025b98839909f0b549778d3cbf
SHA1..: 2aa51c6d57b2bb0d4b8b7f509a7e54961fc961e4
SHA256: a554b5b6fbf42e9a6614269c821aa33dbad9a956bdcf0246d6c433915e05df86
SHA512: d14abf3cb4d51216b31ae149badced932bcd4e516aff891783ccb6e564dee0d3
f782d11fd7cda6894b0eec0b23969421727698d02d712f42135abde4d0edac19
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4003bc
timedatestamp.....: 0x481efb0f (Mon May 05 12:18:23 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x100 0x100 5.61 a41be52b475dfb013265b8b57025f995
.rdata 0x400 0x56 0x100 1.94 68d8c02b103700290ea8f3edd062f675
INIT 0x500 0x8e 0x100 2.56 0ea0b8b784d0ab9865f99165ef5808a7
.rsrc 0x600 0xb0 0x100 4.51 f69dace89ec47d43460b9c59b53ac76f
.reloc 0x700 0x20 0x100 0.47 919c4ebdb9f32d2f76bfdc55608301be

( 1 imports )
> KERNEL32.dll: LoadLibraryA, GetProcAddress, ExitProcess, GetModuleHandleA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=55E8360A0031C9FB08AB0039378BBA00B79BCD14


wnpsiabt.dll:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.08 -
AntiVir 7.8.0.14 2008.05.08 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.07 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.07 -
ClamAV 0.92.1 2008.05.08 -
DrWeb 4.44.0.09170 2008.05.08 -
eSafe 7.0.15.0 2008.05.07 -
eTrust-Vet 31.4.5768 2008.05.07 -
Ewido 4.0 2008.05.08 -
F-Prot 4.4.2.54 2008.05.07 -
F-Secure 6.70.13260.0 2008.05.08 -
Fortinet 3.14.0.0 2008.05.08 -
Ikarus T3.1.1.26.0 2008.05.08 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.05.08 -
McAfee 5290 2008.05.07 -
Microsoft 1.3408 2008.05.08 -
NOD32v2 3085 2008.05.08 -
Norman 5.80.02 2008.05.07 W32/Smalltroj.EGXV
Panda 9.0.0.4 2008.05.07 -
Prevx1 V2 2008.05.08 Malicious Software
Rising 20.43.32.00 2008.05.08 -
Sophos 4.29.0 2008.05.08 -
Sunbelt 3.0.1097.0 2008.05.07 -
TheHacker 6.2.92.302 2008.05.07 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.07 -
Webwasher-Gateway 6.6.2 2008.05.08 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 2048 bytes
MD5...: 5a3b18025b98839909f0b549778d3cbf
SHA1..: 2aa51c6d57b2bb0d4b8b7f509a7e54961fc961e4
SHA256: a554b5b6fbf42e9a6614269c821aa33dbad9a956bdcf0246d6c433915e05df86
SHA512: d14abf3cb4d51216b31ae149badced932bcd4e516aff891783ccb6e564dee0d3
f782d11fd7cda6894b0eec0b23969421727698d02d712f42135abde4d0edac19
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4003bc
timedatestamp.....: 0x481efb0f (Mon May 05 12:18:23 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x100 0x100 5.61 a41be52b475dfb013265b8b57025f995
.rdata 0x400 0x56 0x100 1.94 68d8c02b103700290ea8f3edd062f675
INIT 0x500 0x8e 0x100 2.56 0ea0b8b784d0ab9865f99165ef5808a7
.rsrc 0x600 0xb0 0x100 4.51 f69dace89ec47d43460b9c59b53ac76f
.reloc 0x700 0x20 0x100 0.47 919c4ebdb9f32d2f76bfdc55608301be

( 1 imports )
> KERNEL32.dll: LoadLibraryA, GetProcAddress, ExitProcess, GetModuleHandleA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=55E8360A0031C9FB08AB0039378BBA00B79BCD14



mbam.sys

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.08 -
AntiVir 7.8.0.14 2008.05.08 -
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.07 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.07 -
ClamAV 0.92.1 2008.05.08 -
DrWeb 4.44.0.09170 2008.05.08 -
eSafe 7.0.15.0 2008.05.07 -
eTrust-Vet 31.4.5768 2008.05.07 -
Ewido 4.0 2008.05.08 -
F-Prot 4.4.2.54 2008.05.07 -
F-Secure 6.70.13260.0 2008.05.08 -
Fortinet 3.14.0.0 2008.05.08 -
Ikarus T3.1.1.26 2008.05.08 -
Kaspersky 7.0.0.125 2008.05.08 -
McAfee 5290 2008.05.07 -
Microsoft 1.3408 2008.05.08 -
NOD32v2 3085 2008.05.08 -
Norman 5.80.02 2008.05.07 -
Panda 9.0.0.4 2008.05.07 -
Prevx1 V2 2008.05.08 -
Rising 20.43.32.00 2008.05.08 -
Sophos 4.29.0 2008.05.08 -
Sunbelt 3.0.1097.0 2008.05.07 -
Symantec 10 2008.05.08 -
TheHacker 6.2.92.302 2008.05.07 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.07 -
Webwasher-Gateway 6.6.2 2008.05.08 -
weitere Informationen
File size: 15864 bytes
MD5...: adf52c56c7e2f4e6881bc84171769651
SHA1..: f2cbfe1682208c7283ed475fe549609c90bc39b0
SHA256: 75b5098e7a50d1bf7d335dfd5647063b8b1bb836abfe5ab4bf4a0bbbd3f03513
SHA512: 606253a846e6aad5d1e808df59047bc6eaa3aec703c7d52ed311f385c897972a
9173654bdcd70ad772fff2aa6d8f1d617945a7fb55e398aa29eaa4173caf3d55
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12705
timedatestamp.....: 0x480fafa0 (Wed Apr 23 21:52:32 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x1d88 0x1e00 6.28 fc705d5f7a5d70e26d2bd53bd7b7410f
.rdata 0x2280 0x3a4 0x400 4.01 3a56cb37a212f906a5c63cbb7b507ccc
.data 0x2680 0x80 0x80 0.26 8a65a8f2c1c961d9edecdac3bad497bb
INIT 0x2700 0x50c 0x580 5.12 2c47deba926b8b33447be1275b19c747
.reloc 0x2c80 0x2fa 0x300 6.11 d03445518b9851d652dc25001acba699

( 2 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, DbgPrint, KeClearEvent, KeSetEvent, ExFreePool, PsTerminateSystemThread, KeDelayExecutionThread, ZwClose, PsCreateSystemThread, PsGetCurrentThreadId, PsGetCurrentProcessId, IoFreeMdl, MmUnmapLockedPages, InterlockedExchange, ZwCreateSection, _stricmp, IoDeleteSymbolicLink, RtlInitUnicodeString, IoDeleteDevice, KeInitializeEvent, _except_handler3, RtlRandom, KeQuerySystemTime, RtlFreeUnicodeString, ZwCreateFile, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfDereferenceObject, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlVolumeDeviceToDosName, ObReferenceObjectByHandle, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, IoCreateNotificationEvent, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, MmIsAddressValid, KeWaitForSingleObject, IofCompleteRequest
> HAL.dll: ExReleaseFastMutex, ExAcquireFastMutex

( 0 exports )
packers: PE_Patch


mbamcatchme.sys

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.08 -
AntiVir 7.8.0.14 2008.05.08 -
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.07 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.07 -
ClamAV 0.92.1 2008.05.08 -
DrWeb 4.44.0.09170 2008.05.08 -
eSafe 7.0.15.0 2008.05.07 -
eTrust-Vet 31.4.5766 2008.05.07 -
Ewido 4.0 2008.05.08 -
F-Prot 4.4.2.54 2008.05.07 -
F-Secure 6.70.13260.0 2008.05.08 -
Fortinet 3.14.0.0 2008.05.08 -
Ikarus T3.1.1.26 2008.05.08 -
Kaspersky 7.0.0.125 2008.05.08 -
McAfee 5290 2008.05.07 -
Microsoft 1.3408 2008.05.08 -
NOD32v2 3085 2008.05.08 -
Norman 5.80.02 2008.05.07 -
Panda 9.0.0.4 2008.05.07 -
Prevx1 V2 2008.05.08 -
Rising 20.43.32.00 2008.05.08 -
Sophos 4.29.0 2008.05.08 -
Sunbelt 3.0.1097.0 2008.05.07 -
Symantec 10 2008.05.08 -
TheHacker 6.2.92.302 2008.05.07 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.07 -
Webwasher-Gateway 6.6.2 2008.05.08 -
weitere Informationen
File size: 27048 bytes
MD5...: b96ff630e28aead77e7b3a9745ede428
SHA1..: e7ac69a16900dd512bee5578f96674a37587db4b
SHA256: d02f292e000c6ac046c6b0ff60b2a5e8d0606898b7daba4faad4a7b4a4cf3a6b
SHA512: 12ea984fe1fc1df924189fb1033834f0d364f2d991b6a69ee39bfde6d40292fa
5007903c1ab8bf9f1f69f2d5e995db3fed8a071d54a3285bcdebb5a84dea18eb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10ede
timedatestamp.....: 0x47c9c7ad (Sat Mar 01 21:16:29 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x3cc6 0x3ce0 6.45 fcfc753b2a1ab9386947307b7e66c150
.rdata 0x3f60 0x35c 0x360 3.87 43379521ecbb12333d5a5ec40770ef13
.data 0x42c0 0x88c 0x8a0 0.00 a29bbfe6c3631f1648a2e8ce25b875c3
INIT 0x4b60 0x4aa 0x4c0 5.20 cdf60a59b86f1b7f21bfd05695c4ca02
.reloc 0x5020 0x62c 0x640 5.81 db73a3417ebdf7c3104704d557ee0b39

( 1 imports )
> ntoskrnl.exe: ExFreePool, _except_handler3, ExAllocatePoolWithTag, MmMapLockedPages, _wcsicmp, PsLookupProcessByProcessId, KeDetachProcess, KeAttachProcess, ObfDereferenceObject, ObReferenceObjectByHandle, PsGetCurrentProcessId, IofCompleteRequest, MmIsAddressValid, IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, wcscpy, IoCreateSymbolicLink, IoCreateDevice, _snwprintf, wcsrchr, PsGetVersion, _wcsnicmp, ZwClose, IoGetBaseFileSystemDeviceObject, ZwOpenFile, wcsncpy, wcslen, ZwDeleteFile, ZwCreateFile, KeTickCount, ZwReadFile, ZwQueryInformationFile, ZwWriteFile, strncpy, NtClose, ZwSetInformationFile, strncmp, IoGetCurrentProcess, KeGetCurrentThread, _stricmp, ZwQuerySystemInformation, MmGetSystemRoutineAddress, KeDelayExecutionThread, KeWaitForSingleObject, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp

( 0 exports )

Alt 08.05.2008, 18:49   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großes Trojanerproblem - Cool

Großes Trojanerproblem



C:\WINDOWS\system32\tkgydqoa.exe
C:\WINDOWS\system32\wnpsiabt.dll


Versuch diese zu löschen. Sollte das nicht klappen, müssen härtere Maßnahmen her.
Klappt das Löschen:
- System neustarten
- neues listing.txt erstellen
- hochladen und hier verlinken
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Großes Trojanerproblem
.dll, bonjour, computer, ctfmon.exe, defender, desktop, externe festplatte, festplatte, firefox, fps einbrüche, frage, helper, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaputt, langsam, mozilla, mozilla firefox, nicht möglich, pc läuft, prozesse, rundll, seiten, software, studio, virus, windows, windows xp, öffnet



Ähnliche Themen: Großes Trojanerproblem


  1. Trojanerproblem/*.vbs entdeckt
    Plagegeister aller Art und deren Bekämpfung - 28.04.2013 (21)
  2. GUV Trojanerproblem
    Log-Analyse und Auswertung - 23.02.2013 (10)
  3. Trojanerproblem
    Alles rund um Windows - 18.08.2012 (1)
  4. Trojanerproblem
    Plagegeister aller Art und deren Bekämpfung - 11.11.2010 (22)
  5. Trojanerproblem
    Plagegeister aller Art und deren Bekämpfung - 03.10.2010 (28)
  6. Trojanerproblem?! Mysteriöse Ereignisse am PC
    Mülltonne - 18.10.2008 (0)
  7. Es war einmal ein kleines Trojanerproblem...
    Plagegeister aller Art und deren Bekämpfung - 17.09.2008 (24)
  8. Trojanerproblem
    Mülltonne - 17.05.2008 (0)
  9. Trojanerproblem HJT-Log
    Log-Analyse und Auswertung - 22.02.2008 (10)
  10. Trojanerproblem: TR/PWS.Sinowal.Gen
    Plagegeister aller Art und deren Bekämpfung - 12.11.2007 (2)
  11. Trojanerproblem
    Mülltonne - 12.11.2007 (0)
  12. Viren- oder Trojanerproblem?
    Log-Analyse und Auswertung - 02.08.2007 (10)
  13. Trojanerproblem
    Log-Analyse und Auswertung - 25.10.2006 (1)
  14. Trojanerproblem
    Plagegeister aller Art und deren Bekämpfung - 03.04.2006 (2)
  15. Trojanerproblem, bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 08.01.2006 (9)
  16. Massives Trojanerproblem und mehr
    Plagegeister aller Art und deren Bekämpfung - 15.09.2005 (9)
  17. Grosses Trojanerproblem!!!!!!!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 05.07.2004 (2)

Zum Thema Großes Trojanerproblem - Hallihallo, ich habe seit einiger Zeit ein relativ großes PC-Problem. Mein PC läuft in letzter Zeit extremst langsam, und die enstehenden Probleme häufen sich. So ist es mir z.B. in - Großes Trojanerproblem...
Archiv
Du betrachtest: Großes Trojanerproblem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.