Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malware?Spyware?Virus? HiJackThis Log-File

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.09.2008, 14:24   #1
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Hallo Zusammen!

Ich habe seit gestern ein Problem, was auch in diesem Forum schon angesprochen wurde. Auf meinem Desktop erscheint bei jedem start oder neustart ein blauunterlegtes anzeigebild mit dem Text "Warning! Spyware detected on your computer!"

Ich würde gerne um eine vollständige Formatierung herumkommen, da ich aber gar keine Ahnung von der Materie habe frage ich nach eurer Meinung / eurer Hilfe.

Was ich selber "geschaft" habe, ist highjackthis zu instalieren und einen scan durchzuführen.
Hier das log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:07, on 16.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Electronic Arts\EA Downloader\Core.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [inrhcp8sj0ej7c] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.ttE.tmp.exe /CR=D41D8CD98F00B204E9800998ECF8427E
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://87.106.18.150/database/mgaxctrl.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 8170 bytes


ich würde mich sehr freuen wenn sich jemand bereit erklären würde mir zu helfen, da ich auf hilfe absolut angewiesen bin.
Danke schon mal im Voraus

Gruß, Frank

Alt 16.09.2008, 17:04   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



hi sombrero und



lasse Malwarebytes scannen, log posten.

====

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise
  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
    die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
  • Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
  • Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
    .

    .
  • Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.
Anwendung
  • Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
  • Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
  • Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
  • Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
  • Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
  • Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
  • Poste den Inhalt des Combofix-Logfiles hier in den Thread.
Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!
__________________

__________________

Alt 16.09.2008, 23:10   #3
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Hi schrauber26!

Zunächst mal Vielen Dank für deine schnelle Antwort und die klaren und verständlichen anweisungen

Habe Malwarebytes scannen lassen, Combofix folgt dann morgen.

Muss dazu aber noch sagen, dass ich die von dir angegebenen Links auf dem "befallenen" Computer gar nich öffnen konnte. Habe sie dann an einem sicheren PC downgeloaded und die Setup Dateien per CD auf den betroffenen Computer überspielt. Außerdem kam zwischendurch mal ein blue screen, der einen Neustart angekündigt hat, aber trotzdem lief der scan zu ende und hat alles scheinbar geklappt.

Hier der Log von MalwareBytes (der von Combofix folgt wie gesagt morgen):
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1163
Windows 5.1.2600 Service Pack 2

17.09.2008 00:01:57
mbam-log-2008-09-17 (00-01-57).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|J:\|)
Durchsuchte Objekte: 139446
Laufzeit: 29 minute(s), 10 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sw24 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcp8sj0ej7c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\sw24.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphct8sj0ej7c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphct8sj0ej7c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phct8sj0ej7c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
__________________

Alt 16.09.2008, 23:16   #4
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Übrigens ist nach dem empfohlenen Neustart das warnende Desktopbild verschwunden (jetzt standard einfarbig blauer hintergrund) und ich könnte wieder einstellungen für hintergrundbild und bildschirmschoner machen.

Alt 17.09.2008, 03:19   #5
schrauber
/// the machine
/// TB-Ausbilder
 

Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



wir sind noch nicht durch, mach mit combofix weiter und dann das:

  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus .
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 17.09.2008, 17:36   #6
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Hier der ComboFix Log:

ComboFix 08-09-16.05 - Fabi&Lulu 2008-09-17 18:14:46.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1140 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@asn.advolution[2].txt
C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@clicktorrent[1].txt
C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@komtrack[1].txt
C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@serving-sys[2].txt
C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@www.clicktorrent[2].txt
C:\WINDOWS\system32\FTPx.dll
C:\WINDOWS\system32\MabryObj.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 ))))))))))))))))))))))))))))))
.

2008-09-16 23:28 . 2008-09-16 23:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Malwarebytes
2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-16 23:28 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-16 23:28 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-16 14:59 . 2008-09-16 14:59 <DIR> d-------- C:\Programme\Trend Micro
2008-09-15 00:04 . 2008-09-15 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2008-08-29 18:02 . 2008-09-16 14:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-25 14:26 . 2008-08-25 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ArcSoft
2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\ArcSoft
2008-08-25 14:06 . 2004-05-04 11:53 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-08-25 14:06 . 2005-06-21 10:29 245,408 --a------ C:\WINDOWS\system32\unicows.dll
2008-08-25 14:06 . 2007-07-07 10:58 18,560 --a------ C:\WINDOWS\system32\drivers\vtcdrv.sys
2008-08-25 14:05 . 2008-08-25 14:05 <DIR> d-------- C:\Programme\Philips
2008-08-18 18:56 . 2008-09-17 18:00 <DIR> d-------- C:\Programme\Norton Security Scan

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 15:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-09-17 15:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-09 15:55 27,522 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\wklnhst.dat
2008-08-29 14:33 --------- d-----w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\temp
2008-08-27 16:40 --------- d-----w C:\Programme\ICQ6
2008-08-25 12:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 14:23 542 ----a-w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\wklnhst.dat
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2007-10-11 18:09 47,032 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-02-07 17:46 87,608 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ezpinst.exe
2007-02-07 17:46 47,360 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]
"EA Core"="C:\Programme\Electronic Arts\EA Downloader\Core.exe" [2006-08-16 1826816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2004-11-03 81920]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 7618560]
"SW20"="C:\WINDOWS\System32\sw20.exe" [2006-05-18 208896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-12 282624]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-09-26 35328]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2006-06-01 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AUtHorizedapplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

S2 ousbehci;OrangeWare USB Enhanced Host Controller Service;C:\WINDOWS\system32\Drivers\ousbehci.sys [2004-06-15 44928]
S3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\system32\DRIVERS\ousb2hub.sys [2004-06-15 55808]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca6f90f8-3e89-11db-98ce-00146c74b3c7}]
\Shell\AutoRun\command - G:\LaunchU3.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Power2GoExpress - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Mozilla\Firefox\Profiles\pg4k0vlg.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 18:19:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-17 18:26:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-17 16:26:23

Vor Suchlauf: 3,214,475,264 Bytes frei
Nach Suchlauf: 3,951,947,776 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

156 --- E O F --- 2008-09-10 18:04:01


gruß,

sombrero

Alt 17.09.2008, 18:50   #7
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Hi!

Bin nicht ganz sicher ob SDFix optimal geklappt hat. Da stand mehrfach "System konnte den angegebenen Pfad nicht finden" oder so ähnlich, dann lief es aber weiter. Nach einer Weile hat es sich geschlossen und ich habe über den Taskmanager neugestartet. Danach hat es sich aber wieder geöffnet und den scan beendet. Ach ja konnte auch nicht auf den Desktop entpacken, sondern es hat sich automatisch in C: entpackt aber dachte das wär kein problem.
Naja mal sehen was du sagst.

Hier die logs:

SDFix:
SDFix: Version 1.226
Run by Fabi

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 19:34:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:51,d7,1d,23,2d,12,61,df,c6,e5,13,d9,1b,d6,72,8c,03,6e,19,e3,25,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,4d,42,02,66,0a,66,a6,b1,95,9c,8f,bd,1b,58,d4,39,b3,..
"khjeh"=hex:72,16,72,44,1d,19,b6,3c,2d,6c,d1,47,ff,87,b2,44,d3,7c,da,54,a9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:71,c7,e8,45,3e,ab,ca,31,78,8b,b6,17,e9,92,39,4d,60,18,4e,bb,4c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:51,d7,1d,23,2d,12,61,df,c6,e5,13,d9,1b,d6,72,8c,03,6e,19,e3,25,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,4d,42,02,66,0a,66,a6,b1,95,9c,8f,bd,1b,58,d4,39,b3,..
"khjeh"=hex:72,16,72,44,1d,19,b6,3c,2d,6c,d1,47,ff,87,b2,44,d3,7c,da,54,a9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:71,c7,e8,45,3e,ab,ca,31,78,8b,b6,17,e9,92,39,4d,60,18,4e,bb,4c,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :



Files with Hidden Attributes :

Wed 6 Sep 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 6 Aug 2004 1,953,792 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\launcher.exe"
Fri 6 Aug 2004 53,760 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\mnyinsta.dll"
Fri 6 Aug 2004 94,208 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\RmvSuite.exe"
Fri 6 Aug 2004 35,328 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\setuplng.dll"
Fri 6 Aug 2004 20,480 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\unregwtr.exe"
Sun 10 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Sun 2 Mar 2008 88,064 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Microsoft\Word\~WRL1521.tmp"
Wed 9 Apr 2008 857 ...HR --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Wed 6 Sep 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Wed 6 Sep 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Mon 14 Aug 2006 312 A.SH. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Mon 3 Mar 2008 34,304 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL0077.tmp"
Sun 2 Mar 2008 30,208 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL0763.tmp"
Mon 3 Mar 2008 32,768 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL1042.tmp"
Sun 2 Mar 2008 31,744 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL1629.tmp"
Mon 3 Mar 2008 33,280 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL3780.tmp"
Mon 3 Mar 2008 34,304 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL3969.tmp"

Finished!




Und der danach durchgeführte Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:11, on 17.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Electronic Arts\EA Downloader\Core.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://87.106.18.150/database/mgaxctrl.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 7690 bytes

Alt 17.09.2008, 18:53   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Browser öffnen und
  • Kaspersky Online Scanner ansurfen.
  • Die Datenschutzerklärung akzeptieren.
  • Die nötigen ActiveX-Steuerelemente installieren lassen.
  • Update der Signaturen installieren lassen => Weiter
  • Scan-Einstellungen => Standard wählen => OK
  • Link "Arbeitsplatz" anklicken
  • Scan beginnt automatisch
  • Untersuchung wurde abgeschlossen => Protokoll speichern als...
  • Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
  • Logdatei hier posten.
  • Deinstallation
  • nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
    => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>
Zitat:
Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 18.09.2008, 12:05   #9
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Kaspersky Protokoll:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Thursday, September 18, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Thursday, September 18, 2008 06:22:22
Records in database: 1247115
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\
J:\

Scan statistics:
Files scanned: 80554
Threat name: 11
Infected objects: 32
Suspicious objects: 0
Duration of the scan: 01:21:19


File name / Threat name / Threats count
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\2365d359-768a5293 Infected: Trojan.Java.ClassLoader.as 3
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\362cfe3-71861e40 Infected: Trojan-Downloader.Java.OpenStream.ac 1
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\295aa0e6-45bd3bd5 Infected: Trojan.Java.ClassLoader.as 3
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-1c783fca-72f913ec.zip Infected: Trojan.Java.ClassLoader.as 3
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-21768b3c-2a900360.zip Infected: Trojan.Java.ClassLoader.as 3
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-3fb89606-4b95a8d9.zip Infected: Trojan.Java.ClassLoader.as 3
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-48a1f951-6d62f389.zip Infected: Trojan.Java.ClassLoader.as 3
C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-65cf7b83-5488dab1.zip Infected: Trojan.Java.ClassLoader.as 3
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000001.sys Infected: Hoax.Win32.Agent.fu 1
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000006.exe Infected: Trojan-Downloader.Win32.Small.adfx 1
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000007.dll Infected: Rootkit.Win32.Clbd.jy 1
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000009.dll Infected: Backdoor.Win32.UltimateDefender.gen 1
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000010.dll Infected: Backdoor.Win32.Agent.rfv 1
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000011.dll Infected: Backdoor.Win32.Agent.rfw 1
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000012.dll Infected: Trojan-Downloader.Win32.FraudLoad.vbxt 1
C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000013.sys Infected: Backdoor.Win32.Agent.roc 1
F:\Programme\brennprogs\Nero-7.7.5.1_deu.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bm 1
F:\Programme\brennprogs\Nero-7.7.5.1_deu_trial.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bm 1

The selected area was scanned.

Alt 18.09.2008, 15:04   #10
schrauber
/// the machine
/// TB-Ausbilder
 

Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com - GeeksTogo.com
und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.
  • Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
    Danach wieder anstellen nicht vergessen!
  • Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
Anwendung
  1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
    Code:
    ATTFilter
    File::
    F:\Programme\brennprogs\Nero-7.7.5.1_deu.exe 
    F:\Programme\brennprogs\Nero-7.7.5.1_deu_trial.exe 
    Folder::
    C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\D eployment\cache
             
  2. Speichere dies als CFScript.txt auf Deinem Desktop
    .

    .
  3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

====

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

====

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

===

diesen onlinescan mit internet explorer machen, log posten.

F-Secure Support-Seiten: F-Secure Online-Virenscanner
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 18.09.2008, 16:41   #11
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Hier schon mal der ComboFIx log:

ComboFix 08-09-16.05 - Fabi&Lulu 2008-09-18 16:38:02.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1124 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Programme\brennprogs\Nero-7.7.5.1_deu.exe
F:\Programme\brennprogs\Nero-7.7.5.1_deu_trial.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-18 bis 2008-09-18 ))))))))))))))))))))))))))))))
.

2008-09-17 19:24 . 2008-09-17 19:37 <DIR> d-------- C:\SDFix
2008-09-17 18:46 . 2008-09-17 18:46 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-16 23:28 . 2008-09-16 23:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Malwarebytes
2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-16 23:28 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-16 23:28 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-16 14:59 . 2008-09-16 14:59 <DIR> d-------- C:\Programme\Trend Micro
2008-09-15 00:04 . 2008-09-15 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2008-08-29 18:02 . 2008-09-16 14:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-25 14:26 . 2008-08-25 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ArcSoft
2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\ArcSoft
2008-08-25 14:06 . 2004-05-04 11:53 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-08-25 14:06 . 2005-06-21 10:29 245,408 --a------ C:\WINDOWS\system32\unicows.dll
2008-08-25 14:06 . 2007-07-07 10:58 18,560 --a------ C:\WINDOWS\system32\drivers\vtcdrv.sys
2008-08-25 14:05 . 2008-08-25 14:05 <DIR> d-------- C:\Programme\Philips
2008-08-18 18:56 . 2008-09-17 18:00 <DIR> d-------- C:\Programme\Norton Security Scan

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 15:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-09-17 15:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-09 15:55 27,522 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\wklnhst.dat
2008-08-29 14:33 --------- d-----w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\temp
2008-08-27 16:40 --------- d-----w C:\Programme\ICQ6
2008-08-25 12:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 14:23 542 ----a-w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\wklnhst.dat
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2007-10-11 18:09 47,032 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-02-07 17:46 87,608 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ezpinst.exe
2007-02-07 17:46 47,360 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\pcouffin.sys
.

((((((((((((((((((((((((((((( snapshot@2008-09-17_18.26.08.76 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-09-17 17:26:18 8,396,800 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-09-17 17:26:18 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-09-17 16:46:29 8,396,800 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-09-17 16:46:29 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]
"EA Core"="C:\Programme\Electronic Arts\EA Downloader\Core.exe" [2006-08-16 1826816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2004-11-03 81920]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 7618560]
"SW20"="C:\WINDOWS\System32\sw20.exe" [2006-05-18 208896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-12 282624]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-09-26 35328]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2006-06-01 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AUtHorizedapplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

S2 ousbehci;OrangeWare USB Enhanced Host Controller Service;C:\WINDOWS\system32\Drivers\ousbehci.sys [2004-06-15 44928]
S3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\system32\DRIVERS\ousb2hub.sys [2004-06-15 55808]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca6f90f8-3e89-11db-98ce-00146c74b3c7}]
\Shell\AutoRun\command - G:\LaunchU3.exe
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-18 16:40:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-18 16:42:19
ComboFix-quarantined-files.txt 2008-09-18 14:42:08
ComboFix2.txt 2008-09-17 16:26:27

Vor Suchlauf: 3,743,858,688 Bytes frei
Nach Suchlauf: 3,412,348,928 Bytes frei

126 --- E O F --- 2008-09-10 18:04:01

Alt 18.09.2008, 21:43   #12
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Hallo!

Folgende Info noch zum F-Secure scan. hatte antivir vorher wieder eingeschaltet, das hat dann während dem f secure check angezeigt ein trojanisches pferd gefunden zu haben genau an der stelle wo der scan grad lief. dieser hat dann gestoppt. habe bei antivir dann auf zugriff verweigern gedrück und es für den rest des scans deaktiviert.

hier der bericht:

Scanning Report
Thursday, September 18, 2008 17:54:35 - 22:37:12
Computer name: LUFA
Scanning type: Scan system for malware, rootkits
Target: C:\ F:\


--------------------------------------------------------------------------------

Result: 22 malware found
TrackingCookie.2o7 (spyware)
System
TrackingCookie.Adbrite (spyware)
System
TrackingCookie.Adrevolver (spyware)
System
TrackingCookie.Adtech (spyware)
System
TrackingCookie.Advertising (spyware)
System
TrackingCookie.Atdmt (spyware)
System
TrackingCookie.Atwola (spyware)
System
TrackingCookie.Clickbank (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Mediaplex (spyware)
System
TrackingCookie.Questionmarket (spyware)
System
TrackingCookie.Revsci (spyware)
System
TrackingCookie.Specificclick (spyware)
System
TrackingCookie.Statcounter (spyware)
System
TrackingCookie.Tradedoubler (spyware)
System
TrackingCookie.Webtrends (spyware)
System
TrackingCookie.Xiti (spyware)
System
TrackingCookie.Yieldmanager (spyware)
System
TrackingCookie.Zanox (spyware)
System
W32/Packed/FSG_2.A (virus)
C:\PROGRAMME\VSO\PATCH.EXE
C:\PROGRAMME\VSO\CONVERTXTODVD\PATCH.EXE
F:\PROGRAMME\BRENNPROGS\VSOCONVERTXTODVD2.1.9BUILD200\PATCH\PATCH.EXE

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 47909
System: 4667
Not scanned: 8
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 22
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{C39E5200-7146-4EC6-AF4B-6B90D5C1DF6B}.BIN

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-09-18
F-Secure AVP: 7.0.171, 2008-09-18
F-Secure Pegasus: 1.20.0, 2008-08-09
F-Secure Blacklight: 2.2.1092
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

Alt 19.09.2008, 08:31   #13
schrauber
/// the machine
/// TB-Ausbilder
 

Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Zitat:
C:\PROGRAMME\VSO\PATCH.EXE
C:\PROGRAMME\VSO\CONVERTXTODVD\PATCH.EXE
F:\PROGRAMME\BRENNPROGS\VSOCONVERTXTODVD2.1.9BUILD 200\PATCH\PATCH.EXE


ich liebe es meine zeit zu verschwenden
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 19.09.2008, 11:42   #14
sombrero
 
Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



Wieso? Was heißt das denn?

Und was bedeutet das für mich? Alles Formatieren?

Alt 19.09.2008, 11:44   #15
schrauber
/// the machine
/// TB-Ausbilder
 

Malware?Spyware?Virus? HiJackThis Log-File - Standard

Malware?Spyware?Virus? HiJackThis Log-File



das da oben sind ja wohl keygens....
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Malware?Spyware?Virus? HiJackThis Log-File
antivir, avira, bereit, bho, computer, desktop, downloader, drivers, frage, google, highjackthis, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine ahnung, malware, netgear, netgear wg311v3, object, problem, rundll, scan, software, spyware, system, virus, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Malware?Spyware?Virus? HiJackThis Log-File


  1. Facebook virus , Hijackthis Log-File Auswertung
    Log-Analyse und Auswertung - 24.10.2011 (1)
  2. Win 7: Internet Katastrophal HijackThis Logfile keylogger ?, Malware ? Virus ?
    Log-Analyse und Auswertung - 24.12.2010 (1)
  3. Bitte um Überprüfung vom HiJackThis Log-File (Verdacht auf Virus)
    Log-Analyse und Auswertung - 30.07.2009 (6)
  4. Win32 renos/ malware report und hijackthis log file
    Log-Analyse und Auswertung - 28.06.2009 (0)
  5. TR/Dropper.Gen (HiJackThis Log-File & Malwarebytes Anti-Malware)
    Log-Analyse und Auswertung - 27.06.2009 (1)
  6. HiJackThis File auswerten (virus!?)
    Log-Analyse und Auswertung - 17.05.2009 (3)
  7. HijackThis File nach Virus Fund (TR/Spy.Gen TR/Crypt.UPKM.GEN und TR/HiJacker.GEN)
    Log-Analyse und Auswertung - 29.04.2009 (1)
  8. HijackThis Log-File bitte prüfen ; Verdacht auf Virus
    Mülltonne - 07.12.2008 (0)
  9. HiJackThis File und AVG Virus fault. Probleme mit Trojanern vorhanden.
    Log-Analyse und Auswertung - 25.10.2008 (3)
  10. Spyware Verdacht - HijackThis-Log File Auswertung
    Log-Analyse und Auswertung - 13.10.2008 (8)
  11. bitte um Auswertung von HiJackThis Log-File (virus-Verdacht)
    Log-Analyse und Auswertung - 23.07.2008 (1)
  12. PC HAT VIRUS TORJAN VIELLEICHT STÜZT AB USW..... HiJACKTHIS Log-File IST DA
    Log-Analyse und Auswertung - 18.12.2007 (3)
  13. Virus Protect Por / HiJackThis Log-File
    Mülltonne - 21.11.2007 (0)
  14. HiJackThis Log-File und eScan - Virus Log Information. Bitte um Auswertung..
    Mülltonne - 07.11.2007 (0)
  15. Virus Veracht; HiJackThis Log-File dabei
    Log-Analyse und Auswertung - 15.06.2007 (3)
  16. HiJackThis Log-File AUSWERTEN! Virus/Trojaner server.exe
    Log-Analyse und Auswertung - 18.03.2007 (1)
  17. ICQ-VIRUS bekommen!Hab hijackthis Log-File gemacht... brauch echt dringend hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 04.01.2007 (2)

Zum Thema Malware?Spyware?Virus? HiJackThis Log-File - Hallo Zusammen! Ich habe seit gestern ein Problem, was auch in diesem Forum schon angesprochen wurde. Auf meinem Desktop erscheint bei jedem start oder neustart ein blauunterlegtes anzeigebild mit dem - Malware?Spyware?Virus? HiJackThis Log-File...
Archiv
Du betrachtest: Malware?Spyware?Virus? HiJackThis Log-File auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.