Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen"....

Fako · 10.10.2008, 10:57

Hallo,

hab seit gestern ein Problem mit:
1.trojan-spy.win32.greenscreen
2.Trojan-Clicker.Win32Tiny.h
3.Trojan-Downloader.Win32.Agent.bq
4.Trojan-Spy.Win32.Keylogger.aa
5.Trojan-Spy.HTML.Bankfraud.dq

Ich hab jetzt auch schon HiJack this angewendet. Ich hoffe es ist alles richtig gemacht!

Code:

ATTFilter

Logfile of Trend Micro Hija**This v2.0.2
Scan saved at 11:32:16, on 10.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\brastk.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\spgbijgb.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [winutildb] C:\WINDOWS\system32\spgbijgb.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: comdbadm - {73D0635E-0B2F-7247-33FF-02C10A20279A} - C:\Programme\chcedyf\comdbadm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7992 bytes

Ich bitte um schnelle Hilfe.

Liebe Grüße Fako

nochdigger · 10.10.2008, 18:29

Hallo und

lass bitte diese Dateien

Zitat:

C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\spgbijgb.exe
C:\Programme\chcedyf\comdbadm.dll

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Überprüfe dein System ebenfalls mit Smitfraudfix (Option 1)
SmitFraudFix
deaktiviere dazu bitte den Hintergrundwächter deines Antivirenprogramms da es sonst zu einem Fehlalarm kommt, poste nach dem scan bitte den rapport.txt hierher.

MFG

Fako · 11.10.2008, 11:54

Hey,

ich hab ejtzt einfach mal alles kopiert, hofef es ist nicht schlimm

Code:

ATTFilter

AhnLab-V3	2008.10.10.1	2008.10.10	-
AntiVir	7.8.1.34	2008.10.10	-
Authentium	5.1.0.4	2008.10.11	-
Avast	4.8.1248.0	2008.10.10	Win32:PureMorph
AVG	8.0.0.161	2008.10.10	-
BitDefender	7.2	2008.10.11	-
CAT-QuickHeal	9.50	2008.10.11	Win32.Trojan.Obfuscated.gx.3
ClamAV	0.93.1	2008.10.11	-
DrWeb	4.44.0.09170	2008.10.11	-
eSafe	7.0.17.0	2008.10.08	-
eTrust-Vet	31.6.6141	2008.10.10	-
Ewido	4.0	2008.10.11	-
F-Prot	4.4.4.56	2008.10.10	-
F-Secure	8.0.14332.0	2008.10.11	-
Fortinet	3.113.0.0	2008.10.11	W32/PolySmall.BP!tr
GData	19	2008.10.11	Win32:PureMorph
Ikarus	T3.1.1.34.0	2008.10.11	-
K7AntiVirus	7.10.490	2008.10.10	-
Kaspersky	7.0.0.125	2008.10.11	-
McAfee	5403	2008.10.11	FakeAlert-BD
Microsoft	1.4005	2008.10.11	Trojan:Win32/Busky.EI
NOD32	3514	2008.10.11	a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman	5.80.02	2008.10.10	-
Panda	9.0.0.4	2008.10.11	-
PCTools	4.4.2.0	2008.10.10	-
Prevx1	V2	2008.10.11	-
Rising	20.65.42.00	2008.10.10	-
SecureWeb-Gateway	6.7.6	2008.10.10	-
Sophos	4.34.0	2008.10.11	Mal/EncPk-DG
Sunbelt	3.1.1715.1	2008.10.11	-
Symantec	10	2008.10.11	Packed.Generic.182
TheHacker	6.3.1.0.106	2008.10.10	-
TrendMicro	8.700.0.1004	2008.10.10	-
VBA32	3.12.8.6	2008.10.10	-
ViRobot	2008.10.10.1416	2008.10.10	-
VirusBuster	4.5.11.0	2008.10.10	-
weitere Informationen
File size: 73728 bytes
MD5...: 4d6b2e60344780e9a2176ad0f0834456
SHA1..: 0cb989ba7e0be5d9634c6b7c604ebad7d50faca7
SHA256: 5f095fc87f6804338d50b87de0490d64d48f6b45be6d091e8224ad049f008f2c
SHA512: 2d240c8c668accc3efcd9ce2640f30fa3285f1aeb4d9b35df37351f9d79de827
f8b137ee20cb73796acfe2dea3187f69c9fb79558212b702a8621d4f6375f8ae
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40994a
timedatestamp.....: 0x48ee2b4c (Thu Oct 09 16:03:24 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.wmdvvsl 0x1000 0xeb54 0xf000 6.50 ee6207b99f462dda5e4b9a577cf39105
.lrdlioo 0x10000 0x5b4 0x1000 2.49 a0a91178e993f7054826471b805dd4d3
.ociqj 0x11000 0x5a24 0x1000 0.70 8e4a3667f506789863b1c9b7631a4006

( 2 imports )
> KERNEL32.dll: GetVersion, VirtualFree, WaitForSingleObject, FreeLibrary, WriteFile, LoadLibraryA, WideCharToMultiByte, GetSystemTime, TerminateThread, QueryDosDeviceW, SetThreadPriority, CloseHandle, FindResourceW, LoadResource, FindFirstFileW, GetCurrentProcessId, GetUserDefaultLangID, GetCurrentThread, GetFileAttributesExW, lstrcpyW, WaitForMultipleObjects, GetProcAddress, GetCurrentThreadId, GetPrivateProfileStringW, FindNextChangeNotification, FindFirstChangeNotificationW, MultiByteToWideChar, GlobalUnlock, CreateProcessW, lstrlenW
> USER32.dll: GetClassNameW, RegisterClassExW, DispatchMessageW, CreateWindowExW, GetKeyState, WindowFromPoint, LoadCursorW, SetWindowPos, GetCursorPos, ReleaseDC, DefWindowProcW, GetMessageW, AppendMenuW, PostQuitMessage, MessageBoxW, SendMessageW, CreatePopupMenu, SetWindowTextW, IsWindow, TranslateMessage, RegisterWindowMessageW, LoadImageW

( 0 exports )

Rapport :

Code:

ATTFilter

SmitFraudFix v2.358

Scan done at 12:53:32,26, 11.10.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\spgbijgb.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Peter\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: D-Link AirPlus G+ DWL-G520+ Wireless PCI Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

LG Fako

nochdigger · 11.10.2008, 14:17

Hallo

du hast wohl nur eine Datei der drei auswerten lassen oder kam bei allen das selbe Ergebnis

?

Lass bitte zuerst Malwarebytes dein System bereinigen und anschließend lass Combofix dein System untersuchen

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste bitte die entstandenen Logs hierher und berichte.

MFG

Fako · 11.10.2008, 15:51

Sorry :P das ist jettz von dem ersten. Das andere war von dem zweiten
die 3. datei findet der nicht

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.10.10.1	2008.10.10	-
AntiVir	7.8.1.34	2008.10.11	-
Authentium	5.1.0.4	2008.10.11	-
Avast	4.8.1248.0	2008.10.10	Win32:Lighty
AVG	8.0.0.161	2008.10.10	Downloader.Generic7.AXLP
BitDefender	7.2	2008.10.11	-
CAT-QuickHeal	9.50	2008.10.11	-
ClamAV	0.93.1	2008.10.11	-
DrWeb	4.44.0.09170	2008.10.11	-
eSafe	7.0.17.0	2008.10.08	-
eTrust-Vet	31.6.6141	2008.10.10	-
Ewido	4.0	2008.10.11	-
F-Prot	4.4.4.56	2008.10.10	-
F-Secure	8.0.14332.0	2008.10.11	Suspicious:W32/Malware!Gemini
Fortinet	3.113.0.0	2008.10.11	-
GData	19	2008.10.11	Win32:Lighty
Ikarus	T3.1.1.34.0	2008.10.11	Virus.Win32.Lighty
K7AntiVirus	7.10.491	2008.10.11	-
Kaspersky	7.0.0.125	2008.10.11	-
McAfee	5403	2008.10.11	-
Microsoft	1.4005	2008.10.11	TrojanDownloader:Win32/Renos
NOD32	3515	2008.10.11	a variant of Win32/TrojanDownloader.FakeAlert.LG
Norman	5.80.02	2008.10.10	W32/Lighty.D
Panda	9.0.0.4	2008.10.11	-
PCTools	4.4.2.0	2008.10.11	-
Prevx1	V2	2008.10.11	Cloaked Malware
Rising	20.65.42.00	2008.10.10	-
SecureWeb-Gateway	6.7.6	2008.10.11	-
Sophos	4.34.0	2008.10.11	-
Sunbelt	3.1.1715.1	2008.10.11	-
Symantec	10	2008.10.11	-
TheHacker	6.3.1.0.106	2008.10.10	-
TrendMicro	8.700.0.1004	2008.10.10	-
VBA32	3.12.8.6	2008.10.10	OScope.Downloader.Braviax.3
ViRobot	2008.10.10.1416	2008.10.10	-
VirusBuster	4.5.11.0	2008.10.11	Trojan.DR.Renos.ATB
weitere Informationen
File size: 9728 bytes
MD5...: 2669a713f96a2533c91cd59c4fc79fc4
SHA1..: b0080bc76a15c6a1b41535be9529a4ae324765d1
SHA256: 34b3efbc2658152fed6564682806674a987c28574d17bf741181b86b97e1998e
SHA512: 31879af1c40807a12434ebedf9448532fa2c61bdb05b522c6dbee426f63521b2
c0302a2f1ff008ba4562ab85ba15aeb569a37ffd7ad96bc1a89799ea9bd43306
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4000 0x200 4.89 34bd25994ec81ad385c92bb46805cd7e
.data 0x5000 0x3000 0x2000 7.50 6c43ac81f586120d4d00a1ad3594a5cc
.rdata 0x8000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 3 imports )
> KERNEL32.DLL: CancelDeviceWakeupRequest, CreateTapePartition, DeleteFileA, ExitProcess, GetCurrentDirectoryW, GetProcessHeap, GetTapeParameters, GetThreadContext, GetVolumeInformationW, GlobalCompact, HeapCreate, HeapFree, HeapValidate, HeapWalk, LoadResource, ReadFileEx, ResetWriteWatch, SleepEx, TerminateThread, WaitCommEvent, lstrcat, lstrcatA
> USER32.DLL: AdjustWindowRectEx, BroadcastSystemMessageA, CharToOemBuffA, DdeGetLastError, DefMDIChildProcW, DeleteMenu, DrawAnimatedRects, DrawCaptionTempA, DrawCaptionTempW, DrawIconEx, GetKBCodePage, GetShellWindow, GetThreadDesktop, IMPGetIMEW, IntersectRect, LockWindowUpdate, MapVirtualKeyExA, RegisterSystemThread, RegisterWindowMessageW, RemovePropW, SendIMEMessageExW, SetDebugErrorLevel, SetMenu, SetWindowRgn, ShowScrollBar, UnhookWinEvent, ValidateRgn
> GDI32.DLL: AnimatePalette, ColorMatchToTarget, CopyMetaFileW, CreateMetaFileW, CreateScalableFontResourceA, CreateScalableFontResourceW, GetAspectRatioFilterEx, GetColorAdjustment, GetEnhMetaFileHeader, GetEnhMetaFileW, GetKerningPairsW, GetMetaRgn, GetPixelFormat, GetTextFaceW, RealizePalette, ResetDCW, SetICMMode, SetPixel, SetViewportOrgEx, SwapBuffers

( 0 exports )

Hier ist das Ergebnis von Malwarebytes.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1255
Windows 5.1.2600 Service Pack 2

11.10.2008 16:53:28
mbam-log-2008-10-11 (16-53-28).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 90539
Laufzeit: 49 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{73D0635E-0B2F-7247-33FF-02C10A20279A} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\comdbadm (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winutildb (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\chcedyf\comdbadm.dll (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spgbijgb.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Combofix folgt noch, aber vllt kannst du damit schon was anfangen

LG Fako

nochdigger · 11.10.2008, 17:22

Hallo

Zitat:

Combofix folgt noch, aber vllt kannst du damit schon was anfangen

der Anfang sieht ganz gut aus, erstelle nach dem Durchlauf von Combofix bitte auch ein frisches HijackThis Log.

MFG

Fako · 12.10.2008, 00:14

Hey,
Sorry ich bin anscheinend einfach zu dumm, auf der Mircosoft-Seite diese doofe Konsole downzuloaden -.- und ne CD hab ich nicht mehr.... und ohne gehts ja nicht. Auf dem Link find ich die Konsole nicht....

LG Fako

nochdigger · 12.10.2008, 06:53

Hallo

Zitat:

und ne CD hab ich nicht mehr....

Hauptsache du hast den Aktivierungscode die CD kann man sich im Notfall auch von nem Kumpel leihen.

Zitat:

Sorry ich bin anscheinend einfach zu dumm, auf der Mircosoft-Seite diese doofe Konsole downzuloaden -.-

Lass Combofix ohne diesen Teil der Anleitung laufen.

Poste die Logs hierher und berichte bitte.

MFG

Fako · 12.10.2008, 10:58

Guten Morgen

Woher soll ich den COde haben?

LG Fako

nochdigger · 12.10.2008, 11:18

Moin

Zitat:

Woher soll ich den COde haben?

der klebt für gewöhnlich auf dem Gehäuse des Computers oder auf dem kleinen grünen (je nach Version blauen) Heftchen

.
Solltest du auch den Aktivierungscode nicht haben, so handelt es sich wohl um eine illegale Version von WinXP (spekulier

) und man kann dir nur raten besorge dir eine legale Version (kaufen) oder steige auf ein freies Betriebssystem um z.B. Linux...
Downloads ? Wiki ? ubuntuusers.de

Prost

Fako · 12.10.2008, 11:44

Moin,
natürlcih hab ich eine legale Version, hab mal ein bissl gesucht und son aufkleber mit nem Produktkey gefunden und einer anderen Nummer, auf dem Kleber steht "Proof of License Certificate of Authenticity drauf. meinst du den?

LG fako

nochdigger · 12.10.2008, 12:52

Hallo

Zitat:

hab mal ein bissl gesucht und son aufkleber mit nem Produktkey gefunden und einer anderen Nummer, auf dem Kleber steht "Proof of License Certificate of Authenticity drauf. meinst du den?

Jupp, den habe ich gemeint.
Ich kam nur auf illegale Version, weil diese Art Patienten oftmals behaupten die CD verlegt zu haben

, also Sorry an dieser Stelle

.

Fahre mit Combofix und anschließend mit HijackThis Ford

, dann sehen wir weiter.

MFG

Fako · 12.10.2008, 18:30

So hier ist der
Combo Log:

Code:

ATTFilter

ComboFix 08-10-11.04 - Peter 2008-10-12 19:23:06.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1598 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Peter\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-12 bis 2008-10-12  ))))))))))))))))))))))))))))))
.

2008-10-12 00:52 . 2008-10-12 00:52	<DIR>	d--------	C:\Programme\CCleaner
2008-10-11 15:54 . 2008-10-11 15:54	<DIR>	d--------	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Malwarebytes
2008-10-11 15:53 . 2008-10-11 15:54	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-11 15:53 . 2008-10-11 15:53	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-11 15:53 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-11 15:53 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-11 12:53 . 2008-10-11 12:53	3,140	--a------	C:\WINDOWS\system32\tmp.reg
2008-10-10 16:16 . 2008-10-12 12:05	959	--a------	C:\rollback.ini
2008-10-10 14:49 . 2008-10-10 14:49	<DIR>	d--------	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\MailFrontier
2008-10-10 14:44 . 2008-10-12 19:25	2,127,136	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-10 14:44 . 2008-10-12 14:03	30,428	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-10 14:15 . 2008-10-10 17:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-10-10 14:15 . 2008-07-09 09:05	75,248	--a------	C:\WINDOWS\zllsputility.exe
2008-10-10 14:15 . 2008-07-09 09:05	54,672	--a------	C:\WINDOWS\system32\vsutil_loc0407.dll
2008-10-10 14:15 . 2008-07-09 09:05	42,384	--a------	C:\WINDOWS\zllsputility_loc0407.dll
2008-10-10 14:15 . 2008-07-09 09:05	21,904	--a------	C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-10-10 14:15 . 2008-07-09 09:05	17,808	--a------	C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-10-10 14:15 . 2004-04-27 04:40	11,264	--a------	C:\WINDOWS\system32\SpOrder.dll
2008-10-10 14:15 . 2008-10-10 17:02	4,212	---h-----	C:\WINDOWS\system32\zllictbl.dat
2008-10-10 14:14 . 2008-10-10 14:14	<DIR>	d--------	C:\Programme\Zone Labs
2008-10-10 14:13 . 2008-10-12 19:11	<DIR>	d--------	C:\WINDOWS\Internet Logs
2008-10-10 11:31 . 2008-10-10 11:31	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-10 11:19 . 2008-10-10 11:19	<DIR>	d--------	C:\Programme\Lavasoft
2008-10-10 11:19 . 2008-10-10 11:19	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 11:19 . 2008-10-10 11:20	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 02:29 . 2008-10-10 02:29	91	--a------	C:\WINDOWS\wininit.ini
2008-10-10 02:09 . 2008-10-10 02:11	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-10-10 02:09 . 2008-10-12 12:16	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 02:03 . 2008-10-10 13:55	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-10 01:25 . 2008-10-11 10:44	<DIR>	d--------	C:\Programme\chcedyf
2008-10-10 01:25 . 2008-10-11 01:00	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\glwfghgr
2008-10-09 17:22 . 2008-10-11 11:48	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak
2008-09-30 14:37 . 2008-09-30 14:37	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-09-30 14:37 . 2008-09-30 14:37	1,409	--a------	C:\WINDOWS\QTFont.for
2008-09-20 15:48 . 2008-09-20 15:48	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\xing shared
2008-09-20 15:48 . 2008-09-20 15:48	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Real
2008-09-20 15:48 . 2008-09-20 15:48	<DIR>	d--------	C:\Program Files
2008-09-18 02:41 . 2008-09-18 02:41	42,320	--a------	C:\WINDOWS\system32\xfcodec.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 17:14	---------	d-----w	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Xfire
2008-10-11 23:26	---------	d-----w	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\teamspeak2
2008-10-11 14:53	---------	d-----w	C:\Programme\ICQToolbar
2008-10-10 06:58	82,944	----a-w	C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58	82,944	----a-w	C:\WINDOWS\system32\IEDFix.C.exe
2008-10-09 23:25	---------	d-----w	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ICQ Toolbar
2008-10-09 15:21	---------	d-----w	C:\Programme\Xfire
2008-10-03 13:51	---------	d-----w	C:\Programme\KONAMI
2008-10-03 13:28	---------	d-----w	C:\Programme\EuroPoker
2008-10-01 13:51	87,552	----a-w	C:\WINDOWS\system32\VACFix.exe
2008-09-29 10:17	---------	d-----w	C:\Programme\ICQ6
2008-09-12 12:27	---------	d-----w	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\gtk-2.0
2008-09-11 21:22	---------	d-----w	C:\Programme\GIMP-2.0
2008-09-08 21:38	88,576	----a-w	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-03 16:30	---------	d-----w	C:\Programme\CamStudio
2008-08-19 21:05	---------	d-----w	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\McLoad
2008-08-18 10:19	82,432	----a-w	C:\WINDOWS\system32\404Fix.exe
2008-08-16 19:23	---------	d-----w	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Nokia
2008-08-16 18:25	---------	d-----w	C:\Programme\PC Connectivity Solution
2008-08-16 18:25	---------	d-----w	C:\Programme\Nokia
2008-08-16 18:25	---------	d-----w	C:\Programme\Gemeinsame Dateien\PCSuite
2008-08-16 18:25	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-08-16 18:25	---------	d-----w	C:\Programme\DIFX
2008-08-16 18:25	---------	d-----w	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\PC Suite
2008-08-16 18:25	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-08-16 18:24	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2004-08-20 17:09	62,865	----a-w	C:\WINDOWS\inf\IM\odysseyIM3.sys
2004-08-20 17:09	45,056	----a-w	C:\WINDOWS\inf\IM\imdinst.exe
2004-08-20 17:09	12,739	----a-w	C:\WINDOWS\inf\IM\odNetInstall.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-25 94208]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
"Google Update"="C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-02 133104]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 7561216]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-28 266497]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-06-14 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-06-05 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 155648]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-20 185896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"nwiz"="nwiz.exe" [2006-03-09 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

C:\Dokumente und Einstellungen\Peter\Startmen\Programme\Autostart\
Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-09-18 3089232]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
D-Link AirPlus G+ Wireless Adapter Utility.lnk - C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE [2008-05-29 671744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 cm102u32;C-Media CM6501 Like Sound Interface;C:\WINDOWS\system32\drivers\c6501.sys [2006-09-05 1419968]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2004-05-21 283392]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-12 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-02 22:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-C6501Sound - c6501.cpl


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Mozilla\Firefox\Profiles\th9zc4x5.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 19:24:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 19:27:30
ComboFix-quarantined-files.txt  2008-10-12 17:27:16

Vor Suchlauf: 9 Verzeichnis(se), 126.456.184.832 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 126,456,442,880 Bytes frei

178	--- E O F ---	2008-10-11 09:39:58

Aber wozu brauche ich nun den Code?

Hijackthis findet nur eventuelle gefährdungen: 1. C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
2. C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Da sagt er das sie laut der datenbank an eine anderen stelllt zu findne sind

LG Fako

nochdigger · 12.10.2008, 22:38

Hallo

Zitat:

Aber wozu brauche ich nun den Code?

wenn du WinXP mal neu installieren solltest, wird dieser zur Aktivierung deines Betriebssystems benötigt.

Zitat:

Hijackthis findet nur eventuelle gefährdungen: 1. C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
2. C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Da sagt er das sie laut der datenbank an eine anderen stelllt zu findne sind

Schön, aber der automatischen Auswertung traue ich nicht so weit wie ich Spucken kann

...
Poste bitte das Log hierher.

MFG

Fako · 12.10.2008, 22:58

Bitteschön

Code:

ATTFilter

Logfile of Trend Micro Hi jackThis v2.0.2
Scan saved at 23:57:23, on 12.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7314 bytes

LG Fako

Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen"....

Plagegeister aller Art und deren Bekämpfung: Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen"....