Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Google leitet mich ständig um

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.08.2008, 13:53   #1
Xkwadrat
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hallo allerseits,

ich habe hier schon einige Beiträge zu dem Thema gelesen, jedoch habe ich das Gefühl, dass es keine allgemeingültige Anleitung hierzu gibt.

Also folgendes: Ich habe WinXP und nutze überwiegend Firefox. Wenn ich jetzt Google nutze und dann aus den Ergebnissen den Link anwähle, dann werde ich ständig auf unnütze Seite geleitet.

Leider komme ich nicht viel weiter mit meiner Suche. Ich hatte Spybot drauf, dieses hat mir auch was angezeigt. Nachdem ich hier aber kein Update mehr machen konnte, wollte ich es neu installieren, was komischerweise nicht mehr geht.

Als Virenscanner nutze ich Antivir. Der findet nichts.

Ergebniss Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:00, on 25.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\wudfhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wwk.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8468 bytes



Wäre super, wenn mir hier jemand helfen kann....

Gruß

Xkwadrat

Alt 25.08.2008, 14:30   #2
Chris4You
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

viel gibt das Log nicht her...


Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\system32\oembios.exe
C:\WINDOWS\System32\wudfhost.exe
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste die Ergebnisse mit Filename...

MAM und ComboFix:
Malwarebytes Antimalware (MAM).
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Beide laufen lassen und bitte das Log posten...

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip
Poste auch dieses Log

chris
__________________

__________________

Alt 25.08.2008, 18:56   #3
Xkwadrat
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



@Chris4you,

besten Dank für Deine Info. Habe mir schon selber geholfen.

Habe mir das Prog. Malwarebytes Anti-Malware runtergeladen. Das Prog. hat einiges gefunden. Danach konnte ich auch wieder Spybot installieren.

Jetzt funktioniert auch wieder Google richtig. Das System läuft wieder spitze.

Anbei mal ein Log von dem Prog.:

"Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1087
Windows 5.1.2600 Service Pack 2

16:13:44 25.08.2008
mbam-log-08-25-2008 (16-13-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 119806
Laufzeit: 39 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\oembios.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\oembios.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
D:\Programme\Adobe\Acrobat 8.0\Setup Files\{AC76BA86-1033-F400-7760-000000000003}\keygen.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
G:\Sicherung\ACDSee Photo Manager 10.0.219 German\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
G:\Sicherung\Adobe Acrobat 8 Pro\keygen.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysproc64\002F3236.uf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\oembios.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot."


Besten Dank für die Hilfe. Ich denke bei mir ist alles geklärt.



Xkwadrat
__________________

Alt 25.08.2008, 19:20   #4
Chris4You
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

bitte noch combofix ausführen...
Der Agent kann noch einiges nachgezogen haben, combofix macht auch einen Rootkitscann...

Und, wer setzt auch KeyGens ?


chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.08.2008, 00:03   #5
Xkwadrat
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



@Chris4You,

danke für Deine Hilfe,

hier ist der Log von Combofix:

"ComboFix 08-08-24.03 - admin 2008-08-25 21:39:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1469 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_tdssserv


((((((((((((((((((((((( Dateien erstellt von 2008-07-25 bis 2008-08-25 ))))))))))))))))))))))))))))))
.

2008-08-25 15:32 . 2008-08-25 15:32 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-25 15:32 . 2008-08-25 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-25 15:32 . 2008-08-25 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Malwarebytes
2008-08-25 15:32 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 15:32 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 15:06 . 2008-08-25 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-25 15:06 . 2008-08-25 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-25 14:32 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-25 14:32 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-25 14:32 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-25 14:32 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-25 14:32 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-25 14:32 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-25 14:32 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-08-25 14:32 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-25 14:32 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-25 14:10 . 2008-08-25 14:10 <DIR> d-------- C:\Programme\Trend Micro
2008-08-25 13:16 . 2008-08-25 13:17 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-08-25 10:30 . 2008-08-25 10:30 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64
2008-08-25 10:04 . 2008-08-25 10:04 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64
2008-08-24 17:16 . 2008-08-24 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\FileZilla
2008-08-24 16:49 . 2007-06-11 11:20 231,936 --a------ C:\WINDOWS\system32\FusionReg.dll
2008-08-17 19:53 . 2008-07-23 18:50 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-08-17 19:53 . 2008-07-23 18:50 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-08-17 19:52 . 2008-08-17 19:53 <DIR> d-------- C:\Programme\DivX
2008-08-15 14:17 . 2008-08-15 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\DonationCoder
2008-08-15 14:17 . 2008-08-15 14:17 58 --a------ C:\WINDOWS\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2008-08-12 10:58 . 2008-08-12 11:01 <DIR> d-------- C:\Programme\ICQ6
2008-08-12 10:58 . 2008-08-12 11:00 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\ICQ
2008-08-10 18:21 . 2008-08-10 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Morpheus Software
2008-07-25 10:36 . 2008-07-25 10:36 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-07-25 10:36 . 2008-07-25 10:36 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 17:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-25 14:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-24 14:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-19 18:21 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Canon
2008-08-12 18:33 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\PC Suite
2008-07-22 07:16 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\klickTel
2008-07-21 09:28 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\InstallShield
2008-07-10 20:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WWK
2008-07-10 20:03 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Tobit
2008-07-08 19:48 65,536 ----a-w C:\WINDOWS\IFinst27.exe
2008-06-29 13:06 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Vso
2008-06-29 11:30 81,920 ----a-w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\ezpinst.exe
2008-06-29 11:30 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-06-29 11:30 47,360 ----a-w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\pcouffin.sys
2008-06-29 11:30 --------- d-----w C:\Programme\vso
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Google Desktop"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-01-22 11:33 190464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALi5289"="C:\Programme\ULI5289\ALi5289.exe" [2005-03-10 15:56 405504]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 16:26 266497]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 18:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 m5289;m5289;C:\WINDOWS\system32\DRIVERS\m5289.sys [2004-12-01 11:49]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-21 20:49]
R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 18:31]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 20:49]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 3xHybrid;Cinergy 400 TV service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-12-04 17:13]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 21:36]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys []
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-08-17 15:01]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-22 11:56]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 14:17]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\502dsnfk.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://news.google.de/news?ned=de
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - D:\Programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdivx32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 21:44:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\WudfHost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Cyberlink\Shared files\CLML_NTService\CLMLServer.exe
C:\Programme\Cyberlink\Shared files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Cyberlink\Shared files\RichVideo.exe
D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-25 21:47:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-25 19:47:24

Pre-Run: 8,720,334,848 Bytes frei
Post-Run: 8,654,581,760 Bytes frei

173 --- E O F --- 2008-08-13 20:16:38"



Wenn Du da noch was zu sagen kannst, wäre ich Dir sehr dankbar.

In dem vorherigen Beitrag hast Du geschrieben: "Und, wer setzt auch KeyGens ?" Was bitte meinst Du damit?

Wer sie nutzt, oder wie? Was heist "setzt"?

Ja, ich habe schon mal ein Prog. genutzt für welches ich dieses benötigt habe. Sind die etwas so gefährlich? Und wenn, warum?

Wie sieht ansonsten der Log aus?

Danke im Voraus.

Xkwadrat


Alt 26.08.2008, 06:41   #6
Chris4You
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

deswegen:
D:\Programme\Adobe\Acrobat 8.0\Setup Files\{AC76BA86-1033-F400-7760-000000000003}\keygen.exe
Das ist ein Backdoor, so mancher Virus/Trojaner wird vom User selber auf den Rechner geholt...
Keygens, Spielecracks etc. werden normalerweise von Hackern verseucht, da dann auch erwartet wird, das der User nichts (rechtlich) unternimmt, da er ja selber was unerlaubtes getan hat...
Also Finger weg und lieber kaufen... ;o)

Prüfe diese Verzeichnisse, sie sollten versteckt sein, aber leer!
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64
(und sind wahrscheinlich die "Backupdaten" des Trojaners:
C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent))
Wenn leer, löschen lassen, wenn nicht Inhalte online prüfen lassen...

Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\IFinst27.exe
C:\WINDOWS\system32\Smab0.dll
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste bitte das Ergebniss mit Filename, falls ein File nicht erkannt wurde, aus dem Script (s. unten) rausnehmen!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\WINDOWS\IFinst27.exe
C:\WINDOWS\system32\Smab0.dll

Folders to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris
__________________
--> Google leitet mich ständig um

Alt 26.08.2008, 09:57   #7
Xkwadrat
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

o.k. habe ich soweit verstanden mit den keygen. Werde wohl demnächst etwas mehr Geld für sinnvolle Dinge ausgeben ;-)

Leider kann ich Deinen weiteren Anweisungen nicht so ganz folgen bzw. verstehe sie nicht. Ich habe auf der Seite
http://www.virustotal.com/flash/index_en.html
alle vier Dateien geprüft.
1. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc 64
2. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\syspr oc64
3. C:\WINDOWS\IFinst27.exe
4. C:\WINDOWS\system32\Smab0.dll

Bei den ersten beiden Dateien wurde auf der Seite online nichts gefunden. Bei den beiden letzten Dateien, wurden jeweils ein bzw. zwei Hinweise angezeigt.

Dann verstehe ich aber nicht, was ich mit dem Ergebniss machen soll:

Zitat: dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste bitte das Ergebniss mit Filename, falls ein File nicht erkannt wurde, aus dem Script (s. unten) rausnehmen!

Hier mal ein Beispiel was am Ende unten auf der Seite angezeigt wird:

"MD5: 2cdfdd3019e885d32c0d7c47ec33f8b3
SHA1: fa2c7ec1478056ba921c10b433359ef302b3eddd
SHA256: d4ceed9eeecab9ec14b0bbe3bff53285719295d2c6ba235496c7526890b0a6d2
SHA512: 5f4c9b451d8f2329465e61bbdb9b51fa7ac7207174595cbd16af6709cd36ea9265270b58249b1cf1060c70c04ac8fb534580fbb28e5a38a61d0e3402e73dce5a"

Wie meinst Du das mit "nicht erkannt" wird. Bei zwei Dateien wird nichts gefunden, aber erkannt hat er es wohl. Das Prog. Avenger habe ich runtergeladen. Soll ich das jetzt noch nutzen? Und wenn ja wie?

Wäre super, wenn Du es mir nochmal etwas anders erklären könntest.

Besten Dank für die Hilfe

Xkwadrat

Alt 26.08.2008, 10:22   #8
Chris4You
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

nur das gesamte Ergebnis für die Files abkopieren:

C:\WINDOWS\IFinst27.exe
C:\WINDOWS\system32\Smab0.dll

Wenn scih allerdings nur 1 bis zwei Scanner melden,
dann kann das auch ein Fehlalarm sein...

Ich habe nicht finden können ob beide Dateien
irgendwo gestartet werden, Du kannst das
Script mal ausführen, falls dann etwas nichtmehr
gehen sollte, fahren wir die Änderungen zurück
(Avenger legt Backups an)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.08.2008, 10:40   #9
Xkwadrat
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

hier jetzt mal die Angaben die mir die Seite ausspuckt zu der Datei:

C:\WINDOWS\system32\Smab0.dll

"eSafe - - Suspicious File"
"Webwasher-Gateway - - Win32.Malware.gen!88 (suspicious)"

und weiter unten steht:

"weitere Informationen
File size: 27648 bytes
MD5...: 2cdfdd3019e885d32c0d7c47ec33f8b3
SHA1..: fa2c7ec1478056ba921c10b433359ef302b3eddd
SHA256: d4ceed9eeecab9ec14b0bbe3bff53285719295d2c6ba235496c7526890b0a6d2
SHA512: 5f4c9b451d8f2329465e61bbdb9b51fa7ac7207174595cbd16af6709cd36ea92
65270b58249b1cf1060c70c04ac8fb534580fbb28e5a38a61d0e3402e73dce5a
PEiD..: PECompact 2.xx --> BitSum Technologies
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x46495058 (Tue May 15 06:16:56 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x4800 7.98 1ff33590ef20d67a1b10a5ce2fc53d96
.rsrc 0x15000 0x2000 0x2000 6.70 341f7944f03a8a170e0549e0cf9e9f9e
.reloc 0x17000 0x200 0x200 0.21 8f5b39eaff78f4364554d021fa93976c

( 3 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> msvcrt.dll: __dllonexit
> WSOCK32.DLL: WSAGetLastError

( 115 exports )
pthreadCancelableTimedWait, pthreadCancelableWait, pthread_attr_destroy, pthread_attr_getdetachstate, pthread_attr_getinheritsched, pthread_attr_getschedparam, pthread_attr_getschedpolicy, pthread_attr_getscope, pthread_attr_getstackaddr, pthread_attr_getstacksize, pthread_attr_init, pthread_attr_setdetachstate, pthread_attr_setinheritsched, pthread_attr_setschedparam, pthread_attr_setschedpolicy, pthread_attr_setscope, pthread_attr_setstackaddr, pthread_attr_setstacksize, pthread_barrier_destroy, pthread_barrier_init, pthread_barrier_wait, pthread_barrierattr_destroy, pthread_barrierattr_getpshared, pthread_barrierattr_init, pthread_barrierattr_setpshared, pthread_cancel, pthread_cond_broadcast, pthread_cond_destroy, pthread_cond_init, pthread_cond_signal, pthread_cond_timedwait, pthread_cond_wait, pthread_condattr_destroy, pthread_condattr_getpshared, pthread_condattr_init, pthread_condattr_setpshared, pthread_create, pthread_delay_np, pthread_detach, pthread_equal, pthread_exit, pthread_getconcurrency, pthread_getschedparam, pthread_getspecific, pthread_getw32threadhandle_np, pthread_join, pthread_key_create, pthread_key_delete, pthread_kill, pthread_mutex_destroy, pthread_mutex_init, pthread_mutex_lock, pthread_mutex_timedlock, pthread_mutex_trylock, pthread_mutex_unlock, pthread_mutexattr_destroy, pthread_mutexattr_getkind_np, pthread_mutexattr_getpshared, pthread_mutexattr_gettype, pthread_mutexattr_init, pthread_mutexattr_setkind_np, pthread_mutexattr_setpshared, pthread_mutexattr_settype, pthread_num_processors_np, pthread_once, pthread_rwlock_destroy, pthread_rwlock_init, pthread_rwlock_rdlock, pthread_rwlock_timedrdlock, pthread_rwlock_timedwrlock, pthread_rwlock_tryrdlock, pthread_rwlock_trywrlock, pthread_rwlock_unlock, pthread_rwlock_wrlock, pthread_rwlockattr_destroy, pthread_rwlockattr_getpshared, pthread_rwlockattr_init, pthread_rwlockattr_setpshared, pthread_self, pthread_setcancelstate, pthread_setcanceltype, pthread_setconcurrency, pthread_setschedparam, pthread_setspecific, pthread_spin_destroy, pthread_spin_init, pthread_spin_lock, pthread_spin_trylock, pthread_spin_unlock, pthread_testcancel, pthread_timechange_handler_np, pthread_win32_process_attach_np, pthread_win32_process_detach_np, pthread_win32_test_features_np, pthread_win32_thread_attach_np, pthread_win32_thread_detach_np, ptw32_get_exception_services_code, ptw32_pop_cleanup, ptw32_push_cleanup, sched_get_priority_max, sched_get_priority_min, sched_getscheduler, sched_setscheduler, sched_yield, sem_close, sem_destroy, sem_getvalue, sem_init, sem_open, sem_post, sem_post_multiple, sem_timedwait, sem_trywait, sem_unlink, sem_wait
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle, PECompact"


Bei der Datei:
"C:\WINDOWS\IFinst27.exe"

erschteint folgendes:

"eSafe 7.0.17.0 2008.08.24 Suspicious File"

und etwas weiter unten:

"weitere Informationen
File size: 65536 bytes
MD5...: 9c17bca3ef837bacded7e4299508e71d
SHA1..: 253c7e956ad6cb66e0e47e5d9a6a19d78e9c96e0
SHA256: 2405e5479aeb7d43d1362969b9c439e5931b8f900f9adfe0faaa986365415193
SHA512: 12c1c5dbdf763d6d361b9d412794b0d85b6134843114120b843f30db198a3a21
1e2c06eadd3ed25271b4cd06a7367df7dafc6b9b33b1bce479f3ad050caeb625
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x429940
timedatestamp.....: 0x3a2e957d (Wed Dec 06 19:37:33 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1b000 0xf000 0xec00 7.91 6651d2390d2f4d60a07cea9b1bf3450e
.rsrc 0x2a000 0x1000 0x1000 3.39 79f1a804b29384e18fb2b8c70a0e867d

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: BitBlt
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: ShellExecuteA
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueA

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=9c17bca3ef837bacded7e4299508e71d
packers (Kaspersky): UPX
packers (F-Prot): UPX"



Soweit:

Leider weiss ich jetzt beim besten Willen nicht, was ich mit der Info machen soll. Ich verstehe nicht welche Info ich in das Prog. Avenger eintragen soll oder wie ich das Script ausführen soll.

Oder brauche ich jetzt nichts mehr zu machen, wenn nur so wenig gefunden wird, da es sich wohl um einen Fehlalarm handelt.

Ansonsten schreibe mir bitte etwas genauer was ich wie machen soll.

Danke

Xkwadrat

Alt 26.08.2008, 15:41   #10
Chris4You
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

bename die beiden Files wie folgt um:
C:\WINDOWS\IFinst27.exe -> C:\WINDOWS\IFinst27.exe.vir
C:\WINDOWS\system32\Smab0.dll ->C:\WINDOWS\system32\Smab0.dll.vir

Keinesfalls Doppelklicken, da sie sonst ausgeführt werden.
Nur die Umbenennung können sie nicht mehr ausgeführt werden...

Falls die Verzeichnisse
1. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64
2. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64
leer sind, kannst Du beide löschen, ansonsten teile mit den Inhalt (Filenamen) mit...

Da alle vier unsichtbar sind, musst die Dateianzeige im Explorer richtig einstellen:
Explorer->Extras->Ansicht, dort dann
kein Haken bei:
- Geschützte Systemdateien ausblenden
- Erweiterung bei bekannten Dateitypen ausblenden

Auswahl:
Versteckte Dateien und Ordner anzeigen

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.08.2008, 20:44   #11
Xkwadrat
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

in dem einem Ordner befindet sich eine Datei.

1. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc 64

Die Datei, die hin drin ist, nennt sich "sysproc32.sys"

2. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64

Hier befindet sich die Datei : "sysproc32.sys" ebenfalls drin.

Die anderen beiden Ordner habe ich einfach umbenannt.

Besten Dank

Xkwadrat

Alt 27.08.2008, 06:33   #12
Chris4You
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



Hi,

das sind tatsächlich Backup's des Trojaner, daher ebenfalls löschen, am besten beide Verzeichnisse...
->http://www.sophos.com/security/analyses/viruses-and-spyware/trojagenthmp.html

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 27.08.2008, 12:26   #13
Xkwadrat
 
Google leitet mich ständig um - Standard

Google leitet mich ständig um



@Chris4You,

alles klar. Habe ich getan.

Besten Dank für Deine Hilfe. Ich muss schon sagen, dass die Hilfe hier im Board super geil ist. Kann ich nur empfehlen.

Also, weiter so....

Antwort

Themen zu Google leitet mich ständig um
adobe, avira, bho, desktop, dll, excel, explorer, google, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, konvertieren, leitet, microsoft, mozilla, mozilla firefox, neu, pdf, pdf-datei, programme, rundll, scan, software, solution, super, system, tuneup.defrag, userinit.exe, windows, windows xp



Ähnliche Themen: Google leitet mich ständig um


  1. Google Chrome leitet mich ständig auf Werbeseiten bzw "Windows-Repair-Seiten" weiter, Musik ploppt auf
    Log-Analyse und Auswertung - 15.10.2015 (11)
  2. Browser leitet mich ständig um - wie kann ich das ändern
    Plagegeister aller Art und deren Bekämpfung - 04.04.2014 (27)
  3. Google leitet mich ungewollt auf Google
    Plagegeister aller Art und deren Bekämpfung - 05.02.2014 (17)
  4. Google leitet mich auf Werbeseiten um
    Log-Analyse und Auswertung - 19.10.2012 (20)
  5. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  6. Google leitet mich auf werbeseiten um
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (13)
  7. Google leitet mich immer auf andere Websites( manchmal sogar auf google selbst)
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (21)
  8. Google leitet mich auf falsche Seiten um
    Log-Analyse und Auswertung - 18.10.2011 (11)
  9. Google leitet mich auf falsche Webseiten um
    Plagegeister aller Art und deren Bekämpfung - 23.07.2011 (16)
  10. google leitet mich auf 100ksearches Seite
    Plagegeister aller Art und deren Bekämpfung - 21.07.2011 (30)
  11. Google leitet mich auf andere Webseiten um.
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (2)
  12. Google leitet mich immer wieder um
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (8)
  13. Virus--> Firefox leitet mich ständig auf dubiose Seiten weiter
    Log-Analyse und Auswertung - 20.05.2009 (24)
  14. Google leitet mich auf falsche webseiten
    Plagegeister aller Art und deren Bekämpfung - 01.04.2009 (7)
  15. Google leitet mich auf andere Seiten
    Log-Analyse und Auswertung - 11.02.2009 (1)
  16. Google leitet mich ungewollt auf Ebay um
    Log-Analyse und Auswertung - 26.01.2009 (1)
  17. Google leitet mich auf Werbeseiten um.
    Plagegeister aller Art und deren Bekämpfung - 27.11.2008 (4)

Zum Thema Google leitet mich ständig um - Hallo allerseits, ich habe hier schon einige Beiträge zu dem Thema gelesen, jedoch habe ich das Gefühl, dass es keine allgemeingültige Anleitung hierzu gibt. Also folgendes: Ich habe WinXP und - Google leitet mich ständig um...
Archiv
Du betrachtest: Google leitet mich ständig um auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.