Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.10.2008, 16:18   #1
UTM
 
Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Standard

Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder



Hallo,

ich bräuchte mal ein wenig Hilfe bei der Säuberung meines Systems. Auf meinem System

Notebook
Windows XP Home SP3
Avira Antivir Personal

hatte ich den Schädling TR/Obfuscated.GX.2346 schon entfernt (siehe auch hier: http://www.trojaner-board.de/61509-windows-security-alert-obfuscated-gx-bankfraud-dq-keyloger-aa.html), allerdings meldete mir Antivir wieder zwei Funde dieses Trojaners, und zwar sei er in den Dateien 'C:\Programme\ghrwdk\smartwin.dll' und 'C:\WINDOWS\system32\nsnafgho.exe' aufgetreten.

Ich habe daraufhin diese beiden Dateien von Avira Antivir löschen lassen und

1. Die Windows-Systemwiederherstellung ausgeschaltet
2. Den Rechner im abgesicherten Modus neu gestartet
3. HiJackThis ausgeführt mit folgendem Ergebnis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:34, on 09.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DMS-Kalenderchen] D:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [b1S5ihXD6U] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zmjyfohi\tifgtcto.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188241667203
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188241650687
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FC46D9B-FD71-43C3-9543-3666A759C2CD}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9A02C7-5A28-40E2-A4D6-68874AF79B28}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: smartwin - {70AECCFE-9DEC-FA07-0DF8-070D5E0248C7} - C:\Programme\ghrwdk\smartwin.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - d:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 8943 bytes
         
4. Malwarebytes' Anti-Malware ausgeführt und dies hier erhalten:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240
Windows 5.1.2600 Service Pack 3

09.10.2008 16:04:03
mbam-log-2008-10-09 (16-04-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 203382
Laufzeit: 27 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Nun wüsste ich gerne, was noch zu tun ist, um mein System wieder ganz sauber zu bekommen.

Vielen Dank schonmal für Eure Hilfe!

Alt 10.10.2008, 17:55   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Cool

Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder



Hallo

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 13.10.2008, 19:14   #3
UTM
 
Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Standard

Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder



Hallo root und vielen Dank schonmal für Deine Hilfe!
Also dann an's Werk:

1.) Habe ich gemacht.

2.) Log-Datei MBR:
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
3.) Log-Datei Blacklight:
Code:
ATTFilter
10/13/08 17:19:57 [Info]: BlackLight Engine 2.2.1092 initialized
10/13/08 17:19:57 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/13/08 17:19:58 [Note]: 7019 4
10/13/08 17:19:58 [Note]: 7005 0
10/13/08 17:20:03 [Note]: 7006 0
10/13/08 17:20:03 [Note]: 7011 2684
10/13/08 17:20:03 [Note]: 7035 0
10/13/08 17:20:04 [Note]: 7026 0
10/13/08 17:20:04 [Note]: 7026 0
10/13/08 17:20:09 [Note]: FSRAW library version 1.7.1024
10/13/08 17:20:59 [Note]: 7007 0
         
4.) Log-Datei Silentrunners:
File-Upload.net - Startup-Programs----2008-10-13-17.23.33.zip

5.) Combo-Fix.txt:
File-Upload.net - ComboFix.zip

6.) File-Listing-Link:
File-Upload.net - listing.zip

7.) Neues HiJackThis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:11, on 13.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DMS-Kalenderchen] D:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188241667203
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188241650687
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FC46D9B-FD71-43C3-9543-3666A759C2CD}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9A02C7-5A28-40E2-A4D6-68874AF79B28}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - d:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 8307 bytes
         
Ich hoffe, jetzt sieht es gut aus?
__________________

Alt 13.10.2008, 22:24   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Cool

Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder



Das HijackThis Logfile bitte nochmal im normalen Modus durchführen.

Code:
ATTFilter
2008-10-09 11:44 . 2008-10-09 11:44	<DIR>	d--------	C:\Programme\Sygate
         
Von Sygate kann ich nur dringend abraten - das Programm wird schon seit längerer Zeit nicht mehr gepflegt. Du kannst Dir sowieso ne PFW getrost schenken, die von Windows XP (Windows-Firewall) reicht dicke aus...

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\nsnafgho.exe
C:\WINDOWS\system32\NTIMPEG2.dll
C:\WINDOWS\CDMKR32.INI
         
Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Collect::
C:\WINDOWS\system32\nsnafgho.exe
C:\WINDOWS\CDMKR32.INI
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.10.2008, 01:32   #5
UTM
 
Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Standard

Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder



Ah, die nsnafgho.exe hatte ich wie beschrieben im anderen Thread (leider) schonmal, die ist in der Tat wohl versucht, das meldet mir auch Avira Antivir beim Öffnen des Ordners C:\windows\system32\
"NTI CD&DVD Maker" ist das von Acer vorinstallierte Brennprogramm der Firma NTI, die Scans dazu sind auch sauber (siehe unten). Wegen Sygate: werde ich umstellen, danke für den Hinweis.

Hier das Ergebnis des Scans der Datei C:\Windows\System32\NTIMPEG2.dll:
Code:
ATTFilter
Result: 0/36 (0%)

Antivirus		Version		Last Update	Result
AhnLab-V3	2008.10.14.0	2008.10.13	-
AntiVir		7.8.1.34		2008.10.13	-
Authentium	5.1.0.4		2008.10.13	-
Avast		4.8.1248.0	2008.10.14	-
AVG		8.0.0.161		2008.10.13	-
BitDefender	7.2		2008.10.14	-
CAT-QuickHeal	9.50		2008.10.13	-
ClamAV		0.93.1		2008.10.13	-
DrWeb		4.44.0.09170	2008.10.13	-
eSafe		7.0.17.0		2008.10.12	-
eTrust-Vet	31.6.6146	2008.10.13	-
Ewido		4.0		2008.10.13	-
F-Prot		4.4.4.56		2008.10.12	-
F-Secure		8.0.14332.0	2008.10.13	-
Fortinet		3.113.0.0		2008.10.14	-
GData		19		2008.10.14	-
Ikarus		T3.1.1.34.0	2008.10.13	-
K7AntiVirus	7.10.492		2008.10.13	-
Kaspersky	7.0.0.125		2008.10.14	-
McAfee		5403		2008.10.11	-
Microsoft		1.4005		2008.10.14	-
NOD32		3519		2008.10.14	-
Norman		5.80.02		2008.10.13	-
Panda		9.0.0.4		2008.10.13	-
PCTools		4.4.2.0		2008.10.13	-
Prevx1		V2		2008.10.14	-
Rising		20.66.02.00	2008.10.13	-
SecureWeb-Gateway	6.7.6	2008.10.13	-
Sophos		4.34.0		2008.10.13	-
Sunbelt		3.1.1719.1	2008.10.13	-
Symantec	10		2008.10.14	-
TheHacker	6.3.1.0.109	2008.10.13	-
TrendMicro	8.700.0.1004	2008.10.13	-
VBA32		3.12.8.6		2008.10.13	-
ViRobot		2008.10.13.1417	2008.10.13	-
VirusBuster	4.5.11.0		2008.10.13	-

Additional information
File size:	1024 bytes
MD5...: 	586e295edc9a4731ecca8a02607f493e
SHA1..: 	4924ce1c0afb22cafa28b4732ae2f9587aab6107
SHA256:	4d0493187872b0896f79dc586e72c0f1002dcb021e4367b27c0ea1b9bfd5518e
SHA512:	bec0196ee9cc4003d1e4af20c376fb818e5f6600281f53d41a74c6e9c92fdfaa
3f5ea1a7bdbd4da01c5fb20ab80218a1569d33b0e77bf30ae94997d4091c1380
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
         
Und hier das Ergebnis des Scans der Datei C:\Windows\CDMKR32.INI:
Code:
ATTFilter
Result: 0/36 (0%)

Antivirus		Version		Last Update	Result
AhnLab-V3	2008.10.14.0	2008.10.13	-
AntiVir		7.8.1.34		2008.10.13	-
Authentium	5.1.0.4		2008.10.13	-
Avast		4.8.1248.0	2008.10.14	-
AVG		8.0.0.161		2008.10.13	-
BitDefender	7.2		2008.10.14	-
CAT-QuickHeal	9.50		2008.10.13	-
ClamAV		0.93.1		2008.10.13	-
DrWeb		4.44.0.09170	2008.10.13	-
eSafe		7.0.17.0		2008.10.12	-
eTrust-Vet	31.6.6146	2008.10.13	-
Ewido		4.0		2008.10.13	-
F-Prot		4.4.4.56		2008.10.12	-
F-Secure		8.0.14332.0	2008.10.13	-
Fortinet		3.113.0.0		2008.10.14	-
GData		19		2008.10.14	-
Ikarus		T3.1.1.34.0	2008.10.13	-
K7AntiVirus	7.10.492		2008.10.13	-
Kaspersky	7.0.0.125		2008.10.14	-
McAfee		5403		2008.10.11	-
Microsoft		1.4005		2008.10.14	-
NOD32		3519		2008.10.14	-
Norman		5.80.02		2008.10.13	-
Panda		9.0.0.4		2008.10.13	-
PCTools		4.4.2.0		2008.10.13	-
Prevx1		V2		2008.10.14	-
Rising		20.66.02.00	2008.10.13	-
SecureWeb-Gateway	6.7.6	2008.10.13	-
Sophos		4.34.0		2008.10.13	-
Sunbelt		3.1.1719.1	2008.10.13	-
Symantec	10		2008.10.14	-
TheHacker	6.3.1.0.109	2008.10.13	-
TrendMicro	8.700.0.1004	2008.10.13	-
VBA32		3.12.8.6		2008.10.13	-
ViRobot		2008.10.13.1417	2008.10.13	-
VirusBuster	4.5.11.0		2008.10.13	-

weitere Informationen
File size: 30 bytes
MD5...:	23dc49fbd89e7c680cddb7db546fa334
SHA1..:	997a889e412c437398194ba99f7369b26e61f63b
SHA256:	af3f6b0c8bc16e09879e08d7503db4e73251d01ddeb22076f6db8c577d7a8ef9
SHA512:	19f1af2f7463083c2232f6d32473bf77c6617295f68b1f2be423da892fcb82f3
f3be29611ae399af9973d91a7c6f80e8aeaa64682b11c9941c700b093822e881
PEiD..: -
TrID..: File type identification
file seems to be plain text/ASCII (0.0%)
PEInfo: -
         
Und hier nun das Ergebnis des Scans von C:\Windows\System32\nsnafgho.exe:
Code:
ATTFilter
Result: 22/36 (61,12%)

Antivirus		Version		Last Update	Result
AhnLab-V3	2008.10.14.0	2008.10.13	-
AntiVir		7.8.1.34		2008.10.13	TR/Obfuscated.GX.2344
Authentium	5.1.0.4		2008.10.13	-
Avast		4.8.1248.0	2008.10.14	Win32:PureMorph
AVG		8.0.0.161		2008.10.13	Generic11.ASWX
BitDefender	7.2		2008.10.14	Trojan.Agent.AKLT
CAT-QuickHeal	9.50		2008.10.13	Win32.Trojan.Obfuscated.gx.3
ClamAV		0.93.1		2008.10.13	-
DrWeb		4.44.0.09170	2008.10.13	-
eSafe		7.0.17.0		2008.10.12	-
eTrust-Vet	31.6.6146	2008.10.13	-
Ewido		4.0		2008.10.13	-
F-Prot		4.4.4.56		2008.10.12	-
F-Secure		8.0.14332.0	2008.10.13	Trojan.Win32.Obfuscated.gx
Fortinet		3.113.0.0		2008.10.14	W32/PolySmall.BP!tr
GData		19		2008.10.14	Trojan.Agent.AKLT
Ikarus		T3.1.1.34.0	2008.10.13	Trojan.Win32.Obfuscated.gx
K7AntiVirus	7.10.492		2008.10.13	-
Kaspersky	7.0.0.125		2008.10.14	Trojan.Win32.Obfuscated.gx
McAfee		5403		2008.10.11	FakeAlert-BD
Microsoft		1.4005		2008.10.14	Trojan:Win32/Busky.EI
NOD32		3519		2008.10.14	a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman		5.80.02		2008.10.13	W32/Busky.DMTN
Panda		9.0.0.4		2008.10.13	Trj/Disablekey.EF
PCTools		4.4.2.0		2008.10.13	-
Prevx1		V2		2008.10.14	Cloaked Malware
Rising		20.66.02.00	2008.10.13	-
SecureWeb-Gateway	6.7.6	2008.10.13	Trojan.Obfuscated.GX.2344
Sophos		4.34.0		2008.10.13	Mal/EncPk-DG
Sunbelt		3.1.1719.1	2008.10.13	Trojan.Win32.Obfuscated.gx
Symantec	10		2008.10.14	-
TheHacker	6.3.1.0.109	2008.10.13	-
TrendMicro	8.700.0.1004	2008.10.13	TROJ_OBFUSCA.BWA
VBA32		3.12.8.6		2008.10.13	Trojan.Win32.Obfuscated.gx
ViRobot		2008.10.13.1417	2008.10.13	Spyware.Obfuscated.98304.F
VirusBuster	4.5.11.0		2008.10.13	-

weitere Informationen
File size: 98304 bytes
MD5...:	4b005013e28cbbdb45764c79abddbc65
SHA1..:	114231b503121a8c9e4cff30b2b58502c97992a1
SHA256:	62c161e25e47c1724527b2fd39c283bb13043eaa289187349550226621bbab1f
SHA512:	78e3d393a458f781238dbd6e88facd68b26e1408b6cafc68876dcdc003adc9d7
e489f7a966b23eb8a6e906e2ed715381e9ffc0a626bfb7598931db2b1177cf9a
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40c762
timedatestamp.....: 0x48eadf3e (Tue Oct 07 04:02:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.bxzv 0x1000 0x14056 0x15000 6.72 5bec36eff58137db9d406f332a92829d
.xpzhy 0x16000 0x33a 0x1000 1.51 1135a05c76d720760b39ce6bc667f5c5
.vqbvi 0x17000 0x5a58 0x1000 0.64 f90ff9c97acd35a8b7667d0b76ef0e88

( 1 imports ) 
> KERNEL32.dll: InterlockedIncrement, LoadLibraryA, TerminateThread, ResumeThread, GlobalLock, SetWaitableTimer, GetCurrentThread, SuspendThread, SetFilePointer, FindResourceExW, GlobalAddAtomW, MulDiv, FindNextChangeNotification, GlobalDeleteAtom, CancelWaitableTimer, MoveFileW, DeleteFileW, SetEndOfFile, SetEvent, Sleep, DuplicateHandle, GetPrivateProfileStringW, GetProcAddress, SetLastError, LockResource, GetFileAttributesExW, FileTimeToSystemTime, WaitForSingleObject, CreateWaitableTimerW

( 0 exports ) 
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=D76C35D800F4B9A080B301AE1FD07F0056EBC4E2
         
Hier der Link zum Combofix-Log:
File-Upload.net - ComboFix.zip

Und der neuerliche Scan mit HiJackThias bringt dies zutage:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:24:13, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
D:\Programme\Kalenderchen\Kalenderchen.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
d:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
D:\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DMS-Kalenderchen] D:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188241667203
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188241650687
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FC46D9B-FD71-43C3-9543-3666A759C2CD}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9A02C7-5A28-40E2-A4D6-68874AF79B28}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - d:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 10241 bytes
         
Danke schonmal!


Alt 14.10.2008, 18:50   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Cool

Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder



Das sieht soweit okay aus - noch Meldungen oder was anderes Auffälliges vorhanden?
__________________
--> Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder

Alt 14.10.2008, 19:32   #7
UTM
 
Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Standard

Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder



Das klingt gut . Es ist auch ansonsten nichts Auffälliges mehr vorhanden und Meldungen gibt es auch keine mehr :aplaus:.

Vielen Dank für die klasse Hilfe!

Antwort

Themen zu Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder
.dll, abgesicherten modus, adobe, antivir, avg, avgnt, avgnt.exe, bho, brauche hilfe, cdburnerxp, ctfmon.exe, einstellungen, ellung, excel, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, home, immer wieder, internet, internet explorer, kommt immer wieder, launch, malwarebytes' anti-malware, monitor, nvidia, object, pdf, realtek, registrierungsschlüssel, registry, rundll, schädling, senden, software, windows xp sp3, xp sp3



Ähnliche Themen: Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder


  1. pum.bad.proxy kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 19.07.2015 (11)
  2. Virus kommt immer wieder, auch mit neuem MBR. Brauche Experten
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (13)
  3. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (3)
  4. TR/ATRAPS.Gen kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  5. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  6. [Hilfe]Tronajer kommt nach neustart immer wieder!
    Log-Analyse und Auswertung - 15.04.2009 (0)
  7. Trojaner TR/Obfuscated.vji.1 kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (8)
  8. Virus kommt immer wieder!! Hilfe!
    Mülltonne - 14.11.2008 (0)
  9. Trojaner? Immer wieder neustart? Bluescreen? brauche hilfe ...
    Log-Analyse und Auswertung - 20.06.2007 (3)
  10. Hilfe mein Virus kommt immer wieder
    Mülltonne - 24.02.2007 (0)
  11. Hilfe mein Virus kommt immer wieder!!!!
    Mülltonne - 24.02.2007 (0)
  12. Brauche Hilfe bei TR/Obfuscated.BL!
    Log-Analyse und Auswertung - 21.01.2007 (5)
  13. WinAntiVirus Pro 2006 kommt immer wieder! Hilfe!
    Log-Analyse und Auswertung - 11.11.2006 (15)
  14. coolwwwsearch kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (4)
  15. HILFE! Mcafee.exe kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 02.04.2005 (2)
  16. Startseite iexp kommt immer wieder ... Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 14.01.2005 (10)
  17. TR.ZAPCHAST kommt immer wieder !?!?!
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (22)

Zum Thema Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder - Hallo, ich bräuchte mal ein wenig Hilfe bei der Säuberung meines Systems. Auf meinem System Notebook Windows XP Home SP3 Avira Antivir Personal hatte ich den Schädling TR/Obfuscated.GX.2346 schon entfernt - Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder...
Archiv
Du betrachtest: Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.