Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.06.2008, 00:32   #1
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Ausrufezeichen

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Hallo Leute,

eine Freundin von mir hat folgendes Problem:
Während der PC-Sitzung werden zufällig (aber selten) Pup-Ups geöffnet.
Außerdem wurden schon folgende schädliche Programme (Dropper/Dailer) gefunden:

-Dial/144856.a.2 (C/Dokumente und Einstellungen/***/Lokale
Einstellungen/Temp/icd3.tmp/laLdr32.exe

-TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a0028020.exe

-TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a27058.exe

-TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp68/a0025458.exe

Diese wurden von Anti-Vir unter Quarantäne gesetzt...

Hier das Hijack-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:41, on 24.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AOL 9.0 VRa\waol.exe
C:\dokumente und einstellungen\lisa ranold\lokale einstellungen\anwendungsdaten\ccgcu.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\AOL 9.0 VRa\shellmon.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Programme\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\***\anwendungsdaten\setup_de[1].exe"
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ccgcu] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe ccgcu
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [ccgcu] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe ccgcu (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208781684
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 10659 bytes
         
Ich hatte das Logfile schon mal auswerten lassen, um folgende Dateien bei VirusTotal überprüfen zu lassen:

Code:
ATTFilter
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe
C:\WINDOWS\Knight.exe
c:\dokumente und einstellungen\***\anwendungsdaten\setup_de[1].exe
C:\WINDOWS\system32\nsinet.exe
         
Das Problem war dabei, dass nur die erste Datei vorhanden war!!!

Bei der Knight.exe hab ich folgendes gefunden:
http://www.sophos.com/security/analy...2autorunh.html

------------------Fund von VirusTotal-----------------------

Datei ccgcu.exe empfangen 2008.06.24 23:47:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 2/33 (6.07%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.24.0 2008.06.24 -
AntiVir 7.8.0.59 2008.06.24 -
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.24 -
AVG 7.5.0.516 2008.06.24 -
BitDefender 7.2 2008.06.24 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.24 -
DrWeb 4.44.0.09170 2008.06.24 -
eSafe 7.0.17.0 2008.06.24 -
eTrust-Vet 31.6.5900 2008.06.24 -
Ewido 4.0 2008.06.24 -
F-Prot 4.4.4.56 2008.06.24 -
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.24 -
GData 2.0.7306.1023 2008.06.24 -
Ikarus T3.1.1.26.0 2008.06.24 Trojan.Win32.Skintrim.B
Kaspersky 7.0.0.125 2008.06.24 -
McAfee 5324 2008.06.24 -
Microsoft 1.3604 2008.06.24 Trojan:Win32/Skintrim.B
NOD32v2 3215 2008.06.24 -
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.24 -
Prevx1 V2 2008.06.24 -
Rising 20.50.10.00 2008.06.24 -
Sophos 4.30.0 2008.06.24 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.24 -
TheHacker 6.2.92.360 2008.06.24 -
TrendMicro 8.700.0.1004 2008.06.24 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.24 -
weitere Informationen
File size: 360448 bytes
MD5...: 2da5927c966a3ca76c23a3a9c0cb5df7
SHA1..: 39b92fea680718ce15935f48307d129b62e60c77
SHA256: c28eeee4a5400b9fa042f1cab2be99405df3325a4b3ed256faa62fdf4b2c0180
SHA512: 5ca415fdda6a906d174c0ebd5d189939cf6330d8c2c98c01691daec56af0a965
348152ed5f629ed25967658490dc092d18a76c8d7c39ffe2f2e129d0ffae199f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40126e
timedatestamp.....: 0x410b2ed9 (Sat Jul 31 05:32:09 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x529bb 0x53000 6.99 7f94cc8f26d96309479307a5381df947
.rdata 0x54000 0xed0 0x1000 5.16 b5a148d2667a2e97e724ea8c15e5a239
.data 0x55000 0x245c 0x3000 3.44 a649b81d7f8f43442852b51bff104168

( 11 imports )
> KERNEL32.dll: GetCommState, GetThreadContext, lstrcmpiA, IsDBCSLeadByteEx, GetDiskFreeSpaceW, EnumCalendarInfoW, VirtualQuery, FlushFileBuffers, ExpandEnvironmentStringsW, AreFileApisANSI, GlobalReAlloc, VirtualProtect, ExitProcess, GetVersionExA, GetCommandLineA, MultiByteToWideChar, ExitThread, MoveFileExA, LocalFileTimeToFileTime, GetTapeStatus, SetCommMask, GetPrivateProfileSectionW, ReadFileScatter, ReadConsoleA, CreateDirectoryExA, SetProcessShutdownParameters, FindResourceExA, GetAtomNameA, LoadLibraryExW, CreateWaitableTimerA, GlobalGetAtomNameW, _lopen, GetDateFormatA
> USER32.dll: EmptyClipboard, SendMessageW, DrawTextExW, GetWindow, CharNextExA, ShowWindowAsync, ClientToScreen, MonitorFromRect, GetWindowRect, LoadBitmapW, TileWindows, AdjustWindowRect, SetScrollRange, CharUpperBuffW, CopyAcceleratorTableA, CascadeWindows, CloseClipboard, DestroyCursor
> GDI32.dll: GetRgnBox, GetTextColor, FillRgn, CreateDIBPatternBrush, SetGraphicsMode, CreatePalette, MaskBlt, CreateEllipticRgn, SwapBuffers, StrokePath, EnumEnhMetaFile, RemoveFontResourceW, GetOutlineTextMetricsA, Ellipse, OffsetClipRgn, DescribePixelFormat, GetStretchBltMode
> comdlg32.dll: ChooseColorW, ReplaceTextA, PrintDlgW, ChooseColorA
> ADVAPI32.dll: DestroyPrivateObjectSecurity, CryptSignHashW, IsValidAcl, RegOpenKeyExA, InitializeSid, GetExplicitEntriesFromAclW, GetLengthSid, AbortSystemShutdownW, RegEnumValueA, RegisterServiceCtrlHandlerA, ChangeServiceConfigW, SetSecurityDescriptorGroup, RegQueryInfoKeyA, CryptAcquireContextA, RegSetValueExW, LookupPrivilegeValueW, NotifyBootConfigStatus, RegCreateKeyExW, LookupPrivilegeDisplayNameA, CryptReleaseContext, RegDeleteKeyA, EqualSid, LookupAccountSidA, CloseEventLog, AccessCheckAndAuditAlarmW, CryptDestroyHash, RegReplaceKeyW, RegEnumValueW, CopySid, GetAclInformation, MakeAbsoluteSD, RegQueryInfoKeyW
> SHELL32.dll: FindExecutableW, SHAddToRecentDocs
> ole32.dll: CoReleaseServerProcess, CoTaskMemRealloc, CoFreeAllLibraries, ReadFmtUserTypeStg
> OLEAUT32.dll: -, -, -, -
> COMCTL32.dll: CreateToolbarEx, ImageList_Remove, ImageList_ReplaceIcon, ImageList_GetIconSize
> SHLWAPI.dll: PathRemoveFileSpecW, StrCpyW, StrFormatByteSizeA, SHRegGetUSValueW, PathStripToRootW, PathCommonPrefixW
> SETUPAPI.dll: SetupDiClassGuidsFromNameW, SetupDiEnumDeviceInfo

( 0 exports )

-----------------------------------------------------------------------

Ich hoffe, dass ihr mir weiterhelfen könnt...


Gruß
Handball10

Alt 25.06.2008, 08:53   #2
nochdigger
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Hallo

mach zuerst bitte alle versteckten Dateien und Ordner sichtbar.

Lade diese Datei
Zitat:
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exe
bitte hier hoch Submit your sample

Deaktiviere bitte vorübergehend den Hintergrundwächter (Guard) deines Antivirenprogramms.

Dann lade dir bitte Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Das ist ein Fehlalarm und kann ignoriert werden.

Lade dir auch Malwarebytes und lass alles löschen was gefunden wird, poste anschließend die Logs.

MFG
__________________

__________________

Alt 25.06.2008, 09:25   #3
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Hallo Nochdigger,
das mit dem Versteckte Dateien und Ordner sichbar machen hatten wir auch schon gemacht. Jedoch waren die besagten Dateien immer noch nicht zu sehen,
und wenn man den Pfad der Datei bei VirusTotal eingab kam immer
"0 bytes size received / Se ha recibido un archivo vacio"

Navi-Log und MalwareBytes-Log häng ich noch an den Post dran.

Gruß Handball10
__________________

Alt 26.06.2008, 11:37   #4
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



So, da bin ich wieder (hat ein Bisschen gedauert...)

Hier ist schonmal das Navi-Log:

Code:
ATTFilter
Search Navipromo version 3.5.9 began on 26.06.2008 at 11:03:18,17

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "***" 

Updated on 24.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Instant Access
Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***

C:\Programme\Instant Access found !

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 

Files found :

ccgcu.exe found ! 
ccgcu.dat found ! 
ccgcu_nav.dat found ! 
ccgcu_navps.dat found ! 

Suspicious Files :

khsgupj.exe found ! 

* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" * 



*** Search files *** 


C:\WINDOWS\Downloaded Program Files\IaLdr32.inf found !
C:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found ! 

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : 

ccgcu.dat found !
ccgcu_nav.dat found !
ccgcu_navps.dat found !

* In "C:\DOKUME~1\***\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\***\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\***\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 26.06.2008 at 11:31:40,90 ***
         
Logfile von Malwarebytes folgt...

Gruß
Handball10

Geändert von handball10 (26.06.2008 um 12:29 Uhr)

Alt 26.06.2008, 13:50   #5
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



So, und hier ist das MalwareBytes-Log:

Malware-Log

Scheint ziemlich viel zu sein...

Gruß
Handball10


Alt 26.06.2008, 16:31   #6
nochdigger
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Hallo

deaktiviere bitte die Systemwiederherstellung

navilog bitte erneut laufen lassen diesesmal aber bitte die Option 2 wählen (bereinigen).
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
    Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Starte bitte auch Malwarebytes erneut und lass alles gefundene löschen

Anschließend führe ein Update deines Antivir aus und starte in den abgesicherten Modus (beim start F8 drücken) dort bitte einen Fullscan durchführen und im normalen Modus dann hinterher das Logfile posten.

Schauen wir mal was übrigbleibt...

MFG
__________________
--> Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs

Alt 26.06.2008, 22:49   #7
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



So, hier ist das Navifix-Log:

Code:
ATTFilter
Navipromo Removal version 3.5.9 started on 26.06.2008 at 22:32:30,32

Fix running from C:\Programme\navilog1
Actual User Account : "***" 

Updated on 24.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Automatic removal 
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 

ccgcu.exe found !
Copy ccgcu.exe done !
ccgcu.exe deleted !

ccgcu.dat found !
Copy ccgcu.dat done !
ccgcu.dat deleted !

ccgcu_nav.dat found !
Copy ccgcu_nav.dat done !
ccgcu_nav.dat deleted !

ccgcu_navps.dat found !
Copy ccgcu_navps.dat done !
ccgcu_navps.dat deleted !


* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" * 


* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" * 


* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" * 



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***

C:\Programme\Instant Access ...deleting... 
C:\Programme\Instant Access deleted ! 


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 


*** Deleting folders in "C:\DOKUME~1\***\startm~1\progra~1" *** 



*** Deleting files ***

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf deleted !
C:\WINDOWS\system32\nvs2.inf deleted !

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\***\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 


* In "C:\DOKUME~1\***\lokale~1\anwend~1" * 


* In "C:\DOKUME~1\***\lokale~1\anwend~1" * 


* In "C:\DOKUME~1\***\lokale~1\anwend~1" * 


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Suspicious Files not deleted by Navilog1 ***
!! Possible legitimate files, must be checked before deleting !!

Suspicious Files in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : 

khsgupj.exe found !

*** Cleaning stage complete on 26.06.2008 at 22:38:05,30 ***
         
MalwareBytes-Log folgt...

Gruß
Handball10

Alt 27.06.2008, 00:38   #8
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



So, Leute, ist zwar ein Bissi spät, aber egal...

bei dem 2. Durchgang wurde komischerweise NICHTS mehr gefunden (obwohl beim 1. Durchgang nichts gelöscht wurde...)

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.18
Datenbank Version: 894

00:31:19 27.06.2008
mbam-log-6-27-2008 (00-31-19).txt

Scan Art: Schnell Scan
Objekte gescannt: 68172
Scan Dauer: 29 minute(s), 50 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
         
Gruß
Flo

Alt 27.06.2008, 08:28   #9
nochdigger
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Moin

Zitat:
bei dem 2. Durchgang wurde komischerweise NICHTS mehr gefunden (obwohl beim 1. Durchgang nichts gelöscht wurde...)
Hmm ja nee.... kann ich nix zu sagen, leider

Navilog hat seinen Job gemacht wie es aussieht fehlt noch die Antivirprozedur, dann sehen wir weiter.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 27.06.2008, 09:02   #10
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Hallo Nochdigger,

Ich weis jetzt, warum Malwarebytes nichts mehr gefunden hat:

Der Ordner, indem sich die schädlichen Objekte befanden hieß "Instant Access".
Wenn wir jetzt einen Blick in das 2. Navilog werfen steht dort irgendwann:
Code:
ATTFilter
C:\Programme\Instant Access  ...deleting...
C:\Programme\Instant Access  deleted !
         
Kann ich die Systemwiederherstellung eigetlich wieder anschalten?

Was mich außerdem noch wundert ist, dass Avira Labs bis jetzt schon knappe 24h gebraucht hat um die gesendete Datei zu analysieren...

Das Log von AntiVir folgt noch.

Gruß
Handball10

Geändert von handball10 (27.06.2008 um 09:16 Uhr)

Alt 27.06.2008, 09:21   #11
nochdigger
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Hallo

Zitat:
Ich weis jetzt, warum Malwarebytes nichts mehr gefunden hat:
Jupp wer lesen kann ist klar im Vorteil....

Zitat:
Kann ich die Systemwiederherstellung eigetlich wieder anschalten?
Nee noch nicht, wir haben noch den Kandidaten Autorunblablabla, ich hoffe aber Antivir erkennt und beseitigt ihn im abgesicherten Modus.

Zitat:
Das Log von AntiVir folgt noch.
Gut

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 27.06.2008, 12:11   #12
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



SO, hier ist das AntiVir-Log:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 27. Juni 2008  10:44

Es wird nach 1363126 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Abgesicherter Modus
Benutzername:     Administrator
Computername:     LILLY-PO6QEZMQP

Versionsinformationen:
BUILD.DAT     : 8.1.0.308       16478 Bytes   28.5.2008 17:02:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes   20.4.2008 08:20:31
AVSCAN.DLL    : 8.1.1.0         57601 Bytes   20.4.2008 08:20:31
LUKE.DLL      : 8.1.2.9        151809 Bytes   20.4.2008 08:20:31
LUKERES.DLL   : 8.1.2.0         12545 Bytes   20.4.2008 08:20:31
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes   18.7.2007 14:44:57
ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes   24.6.2008 20:15:45
ANTIVIR2.VDF  : 7.0.5.2          2048 Bytes   24.6.2008 20:15:46
ANTIVIR3.VDF  : 7.0.5.13        73216 Bytes   26.6.2008 21:57:17
Engineversion : 8.1.0.59  
AEVDF.DLL     : 8.1.0.5        102772 Bytes   20.4.2008 08:20:32
AESCRIPT.DLL  : 8.1.0.44       278907 Bytes   21.6.2008 17:12:05
AESCN.DLL     : 8.1.0.22       119157 Bytes   21.6.2008 17:12:03
AERDL.DLL     : 8.1.0.20       418165 Bytes   25.4.2008 15:04:12
AEPACK.DLL    : 8.1.1.6        364918 Bytes   21.6.2008 17:12:02
AEOFFICE.DLL  : 8.1.0.20       192891 Bytes   21.6.2008 17:12:00
AEHEUR.DLL    : 8.1.0.32      1274231 Bytes   21.6.2008 17:11:59
AEHELP.DLL    : 8.1.0.15       115063 Bytes   29.5.2008 19:39:19
AEGEN.DLL     : 8.1.0.29       307573 Bytes   21.6.2008 17:11:54
AEEMU.DLL     : 8.1.0.6        430451 Bytes    7.5.2008 19:28:00
AECORE.DLL    : 8.1.0.31       168310 Bytes    6.6.2008 20:05:57
AVWINLL.DLL   : 1.0.0.7         14593 Bytes   20.4.2008 08:20:31
AVPREF.DLL    : 8.0.0.1         25857 Bytes   20.4.2008 08:20:31
AVREP.DLL     : 7.0.0.1        155688 Bytes   16.4.2007 12:16:24
AVREG.DLL     : 8.0.0.0         30977 Bytes   20.4.2008 08:20:31
AVARKT.DLL    : 1.0.0.23       307457 Bytes   20.4.2008 08:20:31
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes   20.4.2008 08:20:31
SQLITE3.DLL   : 3.3.17.1       339968 Bytes   20.4.2008 08:20:31
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes   20.4.2008 08:20:31
NETNT.DLL     : 8.0.0.1          7937 Bytes   20.4.2008 08:20:31
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes   20.4.2008 08:20:29
RCTEXT.DLL    : 8.0.32.0        86273 Bytes   20.4.2008 08:20:29

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 27. Juni 2008  10:44

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
      [INFO]      Es wurde kein Virus gefunden!
      [WARNUNG]   Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 27. Juni 2008  11:53
Benötigte Zeit:  1:08:03 min

Der Suchlauf wurde vollständig durchgeführt.

   6658 Verzeichnisse wurden überprüft
 414657 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 414657 Dateien ohne Befall
   1510 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise
         
Sieht schon ganz gut aus...

Und hier nochmal ein Hijack-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:33, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AOL 9.0 VRa\waol.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\AOL 9.0 VRa\shellmon.exe
C:\WINDOWS\system32\sol.exe
C:\Programme\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1193338959\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\lisa ranold\anwendungsdaten\setup_de[1].exe"
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b (User '?')
O4 - HKUS\S-1-5-21-1708537768-1682526488-1343024091-1005\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208781684
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 9936 bytes
         
Gruß
Handball10

Alt 27.06.2008, 18:11   #13
nochdigger
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



Hallo

lass bitte diese Datei
C:\WINDOWS\Knight.exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Erstelle eine Übersicht mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Außerdem bitte hier einen Onlinescan durchführen und das Ergebnis posten
Free Virus Scan - Kaspersky Lab

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 13.07.2008, 23:37   #14
handball10
/// Helfer-Team
 
Trojaner/Viren etc  --  W32/Autorun-H + anderes Zeugs - Standard

Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs



So, da bin ich wieder...
hat ne Zeit lang gedauert, war kruz für 2 Wochen im Urlaub

Hier ist die Filelist:

Filelist

und zu der Knight.exe, im Windows-Verzeichnis:

Diese Datei scheint entweder nicht da zu sein oder sie wird gut versteckt, denn bei Virustotal kommt immer, dass eine 0 Bytes-Batei geschickt wurde...


Gruß
Handball10

Antwort

Themen zu Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs
2.0.7, add-on, adobe, antivir, auswerten, avira, bho, controlcenter, defender, email, excel, explorer, fast start, frage, gen 2, google, helper, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, logfile, microsoft, nicht gefunden, object, pdf, problem, programme, quara, shell32.dll, toolbars, urlsearchhook, virus, windows, windows xp



Ähnliche Themen: Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs


  1. Viren- Firewall und Malwarelösung für Windows 10 - Emsisoft, Norton - was ist besser? Oder ganz was anderes?
    Antiviren-, Firewall- und andere Schutzprogramme - 24.08.2015 (92)
  2. Windows 7: Avira blockiert '\Device\HarddiskVolume1\Autorun.inf'. Wiederholt Viren auf dem Rechner (Sony Vaio).
    Log-Analyse und Auswertung - 30.07.2015 (22)
  3. Windows Vista: Adware und anderes Zeugs
    Plagegeister aller Art und deren Bekämpfung - 12.12.2014 (37)
  4. Exploit.Drop.UR.2 - Hartnäckig das Zeugs, muss bis Morgen Abend meine Hausarbeit schreiben...
    Log-Analyse und Auswertung - 03.10.2012 (1)
  5. Trojan.BHO und anderes lustiges Zeugs
    Log-Analyse und Auswertung - 15.12.2011 (13)
  6. Windows XP Recovery -Zeugs
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (33)
  7. autorun- funktion/ selbstgebastelte viren
    Log-Analyse und Auswertung - 20.05.2011 (18)
  8. Autorun blockiert C:\autorun.inf frisches System
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (6)
  9. "autorun.inf ist der Trojaner: TR/Autorun.TE" Meldung beim Anschluss eines USB Sticks
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (19)
  10. autorun.inf - TR/Autorun.SJ.1 Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (1)
  11. TROJANER Flut! W32/Delf.EKEH, INI/AutoRun.CYI, WSCommCntr1.exe, BAT/Autorun.IZJ
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  12. Dropper und Zeugs
    Plagegeister aller Art und deren Bekämpfung - 12.04.2009 (10)
  13. TR/Crypt.XPACK.Gen und anderes Zeugs - hab HJT-Log und brauche Hilfe
    Log-Analyse und Auswertung - 29.03.2009 (1)
  14. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)
  15. Trojaner oder anderes Problem?
    Log-Analyse und Auswertung - 17.08.2007 (2)
  16. ich binz ma wieder hier =( mit so nem Trojaner zeugs aufn pc =(
    Plagegeister aller Art und deren Bekämpfung - 02.06.2005 (6)
  17. Trojaner ? oder was anderes ?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2005 (2)

Zum Thema Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs - Hallo Leute, eine Freundin von mir hat folgendes Problem: Während der PC-Sitzung werden zufällig (aber selten) Pup-Ups geöffnet. Außerdem wurden schon folgende schädliche Programme (Dropper/Dailer) gefunden: -Dial/144856.a.2 (C/Dokumente und Einstellungen/***/Lokale - Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs...
Archiv
Du betrachtest: Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.