Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem!

eelaa · 05.10.2008, 21:05

Hallo meine POTENZIELLEN Helfer!Ich habe ein unbekanntes Benutzerkonto S-1-5-21,das ich nur im abgesicherten Modus als Administrator sehe.Es hat alle Berechtigungen und AUCH spezielle Berechtigungen!Wenn ich es löschen will heißt es,vererbte Berechtigungen müssen deaktiviert werden,mach ich das verschwinden alle und ich geh wieder auf ABBRECHEN.Ich benutze Kaspersky 2009,Spybot,AdAdware,alle möglichen Onlinescanner!SIE AHNEN NICHT MAL ETWAS!Bis auf immer mal wieder hier und da was.(ICH WERDE DIESEN RECHNER CLEAN KRIEGEN,ICH FÜHL MICH UNWOHL MIT DEN GANZEN SCHEISS VIREN!)Ich kämpfe mit TrojanWin32.SKintrim.gen!D SEIT WOOOOCHEN! UND scheinbar versteckt sich da noch mehr bei mir!Nur windows-life-one-care-safety-Scanner findet den Übeltäter!!!!!kann ihn übrigens nicht entfernen.
LETZTER STAND:
Heute Malewarebyte erfolgreich 11 Infizierungen gelöscht
Danach verdächtige Datei gmsoi.exe und mgqaq.exe in Virustotal hochgeladen
-> Diese mit 2. Logfile anbei
-> Zuvor mein Highjackthis Logfile mit der BITTE UM HILFE und der FRAGE, ob ich dieses COMBOFIX benutzen muss.Klingt im übrigen wie ein richtig gutes starkes Putzmittel!

Dieses hier habe ich mehrmals mit Highjack this gefixt, kommt immer wieder.
(Soll ich ICQ deinstallieren?)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = icqlite.exe:5190

jetzt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:09, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
C:\Sandbox\***\DefaultBox\drive\C\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = icqlite.exe:5190
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKCU\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O4 - HKCU\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5390ED-C600-4D4D-9105-8BB94C45E0D0}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8719 bytes

und

von Virustotal:

AhnLab-V3 2008.10.3.2 2008.10.03 -
AntiVir 7.8.1.34 2008.10.04 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.04 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.05 Adware.NaviPromo.Gen.2
CAT-QuickHeal 9.50 2008.10.04 -
ClamAV 0.93.1 2008.10.05 -
DrWeb 4.44.0.09170 2008.10.05 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6129 2008.10.04 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.05 -
Fortinet 3.113.0.0 2008.10.04 -
GData 19 2008.10.05 Adware.NaviPromo.Gen.2
Ikarus T3.1.1.34.0 2008.10.05 Trojan.Win32.Skintrim.D
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.05 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.05 Trojan:Win32/Skintrim.gen!D
NOD32 3495 2008.10.04 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.05 Suspicious
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.05 Ad-Spyware.LooksLike.NaviPromo
Sophos 4.34.0 2008.10.05 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.05 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.4.1406 2008.10.04 -
VirusBuster 4.5.11.0 2008.10.05 -
weitere Informationen
File size: 294912 bytes
MD5...: 553e627929f9cce03a74358d9ea59084
SHA1..: 4a14b30e59133551a27cb720f1ab9bb4ebd45663
SHA256: 1ec5c5066259617f9c3ed04f54e2913c42bc024575398e5f29ad21e4280713b6
SHA512: 4812ffa3a49d3cb13b63069c9bfc2559db3d7e523da6ef053d800d4176b339ee
4d281254ad01543d60b5898f2521a668d404c104b026ee5310c942fab6b762f2
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43b2c3
timedatestamp.....: 0x46fffa0e (Sun Sep 30 19:33:34 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3a45c 0x3b000 7.35 0cf344dc726044cbee01de984b5929ab
.rdata 0x3c000 0x13a4 0x2000 3.98 9a5c318d86cba8d8bbe75527e06a9276
.data 0x3e000 0x951c 0xa000 4.10 84e0ed25ce5107f6ee9b864c19d0d6ae

( 10 imports )
> KERNEL32.dll: FreeLibraryAndExitThread, GetSystemInfo, SetFileAttributesA, lstrcpynA, LocalSize, ReleaseSemaphore, MoveFileW, GetBinaryTypeA, DeleteCriticalSection, GetSystemDirectoryW, OpenFile, GetCommandLineW, RaiseException, GetProcessTimes, GetPrivateProfileStringW, GetDriveTypeW, ReadConsoleOutputA, GlobalAddAtomA, SetupComm, SetThreadAffinityMask, CreateMutexA, CopyFileExW, GetEnvironmentStringsW, SetConsoleWindowInfo, FindFirstFileExW, GetSystemTimeAsFileTime, DebugBreak, FormatMessageA, ConnectNamedPipe, GetSystemTime, ReleaseMutex, GetTickCount, GetStringTypeExW, GetAtomNameA, lstrcmpA, CompareStringA, SetFileTime, PurgeComm, EndUpdateResourceA, GetSystemDefaultLangID, LocalAlloc, CreateIoCompletionPort, FindResourceExW, GetConsoleCursorInfo, FormatMessageW, SetSystemTime, GetTempPathW, WriteConsoleOutputW, GetOverlappedResult, RemoveDirectoryW, CreateEventA, GetACP, WritePrivateProfileStringA, CreateDirectoryW, GetHandleInformation, LeaveCriticalSection, GetVersionExA, VirtualProtect, GetModuleHandleA, FreeResource, SetTimeZoneInformation, GetProcessHeap, GetOEMCP, CreateMutexW, GetCurrentProcess, WritePrivateProfileStringW, EnumResourceLanguagesW, PulseEvent, GlobalUnlock, GetProfileStringA, GetStartupInfoA, WriteFile, SetConsoleOutputCP, LocalFileTimeToFileTime, GetTapeStatus, GlobalReAlloc, FillConsoleOutputCharacterA, SetProcessShutdownParameters, SetConsoleMode, lstrcmpiA, IsBadStringPtrA, GetUserDefaultLCID, VirtualAlloc
> USER32.dll: MapVirtualKeyA, OemToCharA, OpenInputDesktop, InvalidateRect, UnhookWindowsHook, DialogBoxIndirectParamA, GetDlgItemTextA, LoadImageW, WaitMessage, InvertRect, GetScrollBarInfo, SendNotifyMessageA, CreatePopupMenu, GetWindowLongW, keybd_event, GetDoubleClickTime, GetWindowThreadProcessId, TabbedTextOutW, wsprintfA, SendMessageA, EnumDisplaySettingsW, GetMenuState, ChangeClipboardChain, SetWindowWord, MapWindowPoints, GetKeyboardType, GetClassNameW, CloseWindowStation, GetSystemMetrics
> GDI32.dll: GetCharWidthA, GetDCOrgEx, GetTextExtentExPointW, DeleteDC, EnumMetaFile, GetLayout, SetTextCharacterExtra, GetFontLanguageInfo, ExcludeClipRect, UpdateColors, CreateICA, StartPage, SetWindowExtEx, PolylineTo, TextOutA, EndPage, CreateDiscardableBitmap, ExtTextOutA, CreateDIBitmap
> comdlg32.dll: GetOpenFileNameW, ReplaceTextW, CommDlgExtendedError
> SHELL32.dll: SHGetSpecialFolderPathW, Shell_NotifyIconA, SHFileOperationA, DragAcceptFiles
> ole32.dll: CoReleaseMarshalData, MkParseDisplayName, OleFlushClipboard, StgSetTimes, CoInitializeEx, OleGetIconOfClass, CoUninitialize
> OLEAUT32.dll: -, -, -, -
> COMCTL32.dll: ImageList_Create, ImageList_GetBkColor
> SHLWAPI.dll: PathStripPathW, StrCatBuffW, PathUndecorateW, SHOpenRegStream2W, AssocCreate, PathGetArgsW, SHRegQueryUSValueW, PathIsRootA, SHCopyKeyW, SHCreateStreamOnFileW, SHRegWriteUSValueW, PathRemoveBlanksA, SHSetValueA
> MSVCRT.dll: _except_handler3, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _initterm, _controlfp

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0EB1C09200A8384C803404E8425F4D0007F1C524

Ich hoffe, dass ich diesmal Hilfe kriege,nachdem meine erste und einzige Antwort, die ich hier gekriegt habe, eine Warnung vom Moderator war. ha ha

Danke im VORAUS. eelaa

Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem!

Log-Analyse und Auswertung: Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem!

Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem!

Ähnliche Themen: Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem!