| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Malware nicht löschbar!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
22.10.2008, 14:35
| #1 |
 |  Malware nicht löschbar! ich bekomm demnächst noch einen anfall mit meinem rechner wegen den meldungen die ich dauernd bekomm  FreeAntiVir - Meldefenster sagt: Trojanisches Pferd TR/Agent.6938.A gefunden Trojanisches Pferd TR/Patched.CK.56 gefunden (hab keine Externe Quellen da Antivir nur die Fehlermeldungen in dem kleinen fenster bringt und mir die Option: In Quarantäne verschieben / Löschen / Ignorieren lässt -> habe keine Infos was es genau mit den meldungen auf sich hat und ehrlichgesagt auch nicht viel ahnung davon  bin zwar n kleiner pc-crack aber in sachen viren, malware, usw. noch der totale anfänger! *edit* habe direkt mal danach gegooglet und ich hab jetzt schonmal rausgefunden das es um eine malware geht und dass das ganze mit einem wurm zu tun haben soll, der daten mit einem Serve in Ungarn abgleicht um das löschen zu verhindern  tatsache ist: es gibt schon einige mit dem selben problem! tatsache ist aber auch das ich jetzt schon kp wie viele anleitungen zum löschen durch hab und bisher nicht wirklich viel geholfen hat! über avast und avira antivir, über Malwarebytes und sonst was...ich hab alles durch und alles genau befolgt, aber ich bekomm den schrott nicht runter! formatieren geht aber auf keinen fall, da ich so viele dateien drauf hab die wichtig sind, von denen ich aber bestmmt die hälfte vergessen würde zu sichern! Angefangen bei Favoriten für Internetseiten über Zusammengeschnittene Filme (selbstgemachte wegen eines projektes) bis hin zu Bildern die sonst nirgendwo vorhanden sind und noch viel, viel mehr! Also Formatieren wäre die wirklich aller letzte möglichkeit die ich nutzen will. also falls mir jemand iwie weiterhelfen kann - ich bin für jede hilfe verdammt dankbar! falls ihr irgendwelche screenshots, infos oder logfiles braucht kann ich die gerne posten, müsste dann aber dementsprechend erst noch das programm durchlaufen lassen! |
|
22.10.2008, 14:56
| #2 |
| |  Malware nicht löschbar! Poste bitte das log Hijack und malwarebytes
__________________ |
|
22.10.2008, 15:23
| #3 |
  | Malware nicht löschbar! Hi,
__________________bitte HJ-Log gemäß der Signatur und RSIT-Log; RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ |
|
22.10.2008, 15:42
| #4 |
| | Malware nicht löschbar! hab RSIT jetzt runtergeladen und durchlaufen lassen! hier die logfile: Code:
ATTFilter Logfile of random's system information tool 1.04 (written by random/random) Run by ***** at 2008-10-22 16:26:57 Microsoft Windows XP Professional Service Pack 2 System drive C: has 8 GB (41%) free of 20 GB Total RAM: 1022 MB (64% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:27:07, on 22.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\WINDOWS\vsnp2std.exe C:\Programme\Sandboxie\SbieCtrl.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Sandboxie\SbieSvc.exe C:\Programme\Scramby\ScrambyServer.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Michi\Desktop\RSIT.exe C:\Programme\trend micro\Michi.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdiux.exe] C:\WINDOWS\system32\kdiux.exe O4 - HKLM\..\RunOnce: [B Register C:\Programme\DivX\DivX Web Player\npdivx32.dll] "C:\WINDOWS\system32\rundll32.exe" "C:\Programme\DivX\DivX Web Player\npdivx32.dll",DllRegisterServer O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe" O4 - Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Michi\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202943145062 O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://keycrypt.levelupgames.co.in/nProtect/keycrypt/npkcx.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220 O17 - HKLM\System\CCS\Services\Tcpip\..\{7691FE27-2152-4581-9B3A-9D7DA9C69CA2}: NameServer = 85.255.112.219;85.255.112.220 O17 - HKLM\System\CS1\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: License Management Service SON - e-sonopress - C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: Scramby Service (ScrambySrv) - RapidSolution - C:\Programme\Scramby\ScrambyServer.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 8282 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\10 - Keine Zeit.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] Winamp Toolbar Loader - C:\Programme\Winamp Toolbar\winamptb.dll [2008-07-16 1266992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 853672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll [2007-09-25 501136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll [2008-05-22 654320] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {D0943516-5076-4020-A3B5-AEFAF26AB263} - Veoh Browser Plug-in - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll [2008-04-01 352256] {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Winamp Toolbar - C:\Programme\Winamp Toolbar\winamptb.dll [2008-07-16 1266992] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-08-28 266497] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-12-05 8523776] "HDAudDeck"=C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe [2007-11-22 7122944] "snp2std"=C:\WINDOWS\vsnp2std.exe [2006-01-06 344064] "C:\WINDOWS\system32\kdiux.exe"=C:\WINDOWS\system32\kdiux.exe [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "B Register C:\Programme\DivX\DivX Web Player\npdivx32.dll"=C:\Programme\DivX\DivX Web Player\npdivx32.dll [2008-05-13 1335600] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "SandboxieControl"=C:\Programme\Sandboxie\SbieCtrl.exe [2008-09-02 716800] C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart T-Online DSL-Manager.lnk - C:\Programme\T-Online\DSL-Manager\TODslMgr.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] WgaLogon.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-04 240128] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "StartMenuLogOff"=1 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe"="C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:CyberLink PowerCinema" "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "E:\Spiele\Steam\SteamApps\das_schaf89\counter-strike\hl.exe"="E:\Spiele\Steam\SteamApps\das_schaf89\counter-strike\hl.exe:*:Enabled:Half-Life Launcher" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\Programme\Gamers.IRC\mirc.exe"="C:\Programme\Gamers.IRC\mirc.exe:*:Enabled:mIRC" "C:\Programme\UrbanTerror\ioUrbanTerror.exe"="C:\Programme\UrbanTerror\ioUrbanTerror.exe:*:Enabled:ioUrbanTerror" "C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "E:\Programme\America's Army\System\ArmyOps.exe"="E:\Programme\America's Army\System\ArmyOps.exe:*:Enabled:ArmyOps" "C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper" "E:\Spiele\THPS2\THawk2.exe"="E:\Spiele\THPS2\THawk2.exe:*:Enabled:THawk2" "E:\Spiele\tthawa\Game\THAW.exe"="E:\Spiele\tthawa\Game\THAW.exe:*:Enabled:Tony Hawk's American Wasteland" "E:\Spiele\Steam\SteamApps\das_schaf89\half-life 2 deathmatch\hl2.exe"="E:\Spiele\Steam\SteamApps\das_schaf89\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2" "C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer" "E:\Spiele\Steam\SteamApps\das_schaf89\dedicated server\hltv.exe"="E:\Spiele\Steam\SteamApps\das_schaf89\dedicated server\hltv.exe:*:Enabled:HLTV Launcher" "C:\Programme\TightVNC\WinVNC.exe"="C:\Programme\TightVNC\WinVNC.exe:*:Enabled:TightVNC Win32 Server" "E:\Spiele\UT2004\System\UT2004.exe"="E:\Spiele\UT2004\System\UT2004.exe:*:Enabled:UT2004" "E:\Spiele\GuitarHero3\GH3.exe"="E:\Spiele\GuitarHero3\GH3.exe:*:Enabled:Guitar Hero III" "C:\Programme\HLSW\hlsw.exe"="C:\Programme\HLSW\hlsw.exe:*:Enabled:HLSW Application" "E:\Spiele\RUNE\System\Rune.exe"="E:\Spiele\RUNE\System\Rune.exe:*:Enabled:Rune" "C:\Dokumente und Einstellungen\All Users\Dokumente\CS1.7\hlds.exe"="C:\Dokumente und Einstellungen\All Users\Dokumente\CS1.7\hlds.exe:*:Enabled:HLDS Launcher" "E:\Programme\cracked steam\steamapps\darkspaik\counter-strike source\hl2.exe"="E:\Programme\cracked steam\steamapps\darkspaik\counter-strike source\hl2.exe:*:Enabled:hl2" "E:\Spiele\Steam\SteamApps\common\trackmania nations forever\TmForever.exe"="E:\Spiele\Steam\SteamApps\common\trackmania nations forever\TmForever.exe:*:Enabled:TmForever" "E:\Spiele\Warsow\warsow_x86.exe"="E:\Spiele\Warsow\warsow_x86.exe:*:Enabled:Warsow" "E:\Spiele\Steam\Steam.exe"="E:\Spiele\Steam\Steam.exe:*:Enabled:Steam" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Disabled:Bonjour" "E:\Spiele\Carom3D\carom.exe"="E:\Spiele\Carom3D\carom.exe:*:Disabled:Carom" "C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Disabled:Eine DLL-Datei als Anwendung ausführen" "C:\Programme\Hamachi\hamachi.exe"="C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi" "C:\Programme\Winamp Remote\bin\Orb.exe"="C:\Programme\Winamp Remote\bin\Orb.exe:*:Enabled:Orb" "C:\Programme\Winamp Remote\bin\OrbTray.exe"="C:\Programme\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray" "C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" |
|
22.10.2008, 15:46
| #5 |
| | Malware nicht löschbar!Code:
ATTFilter [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03180-da67-11dc-9c5f-806d6172696f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
shell\Open\command - D:\resycled\boot.com d:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03181-da67-11dc-9c5f-806d6172696f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com e:
shell\Open\command - E:\resycled\boot.com e:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03183-da67-11dc-9c5f-806d6172696f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:
shell\Open\command - C:\resycled\boot.com c:
======List of files/folders created in the last 1 months======
2008-10-22 16:26:57 ----D---- C:\rsit
2008-10-22 16:26:57 ----D---- C:\Programme\trend micro
2008-10-21 23:20:49 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-10-21 23:20:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-21 23:20:42 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-10-21 23:02:06 ----D---- C:\Sandbox
2008-10-21 23:01:31 ----A---- C:\WINDOWS\Sandboxie.ini
2008-10-21 23:01:21 ----D---- C:\Programme\Sandboxie
2008-10-21 18:21:15 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-21 18:21:12 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2008-10-19 22:35:11 ----D---- C:\Programme\PokerStars
2008-10-19 21:39:22 ----D---- C:\Programme\Scramby
2008-10-19 19:29:51 ----D---- C:\Programme\AV VCS 3.0 Gold
2008-10-19 19:29:37 ----A---- C:\WINDOWS\backodbc.ini
2008-10-19 19:02:21 ----RSHD---- C:\resycled
2008-10-19 18:52:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-10-19 18:51:49 ----D---- C:\Programme\RapidSolution
2008-10-19 18:32:44 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Screaming Bee
2008-10-19 18:31:50 ----D---- C:\Programme\Screaming Bee
2008-10-19 18:31:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Screaming Bee
2008-10-19 18:28:40 ----RSD---- C:\WINDOWS\assembly
2008-10-19 18:27:54 ----D---- C:\WINDOWS\Microsoft.NET
2008-10-17 22:52:42 ----D---- C:\Programme\PKR
2008-10-14 16:12:56 ----D---- C:\Programme\Winamp Toolbar
2008-10-14 16:12:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-10-14 16:12:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-10-14 16:12:48 ----D---- C:\Programme\Winamp Remote
======List of files/folders modified in the last 1 months======
2008-10-22 16:26:57 ----RD---- C:\Programme
2008-10-22 16:26:49 ----D---- C:\WINDOWS\Prefetch
2008-10-22 15:56:58 ----D---- C:\WINDOWS\Temp
2008-10-22 15:42:06 ----D---- C:\Programme\DivX
2008-10-22 15:42:05 ----D---- C:\WINDOWS\system32
2008-10-22 15:10:16 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-22 15:06:40 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-22 01:03:46 ----D---- C:\WINDOWS
2008-10-22 00:46:13 ----D---- C:\WINDOWS\system32\drivers
2008-10-21 23:44:40 ----D---- C:\WINDOWS\Debug
2008-10-21 23:01:22 ----SHD---- C:\WINDOWS\Installer
2008-10-21 18:21:14 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-10-21 18:21:11 ----HD---- C:\WINDOWS\inf
2008-10-21 18:20:13 ----SHD---- C:\System Volume Information
2008-10-21 18:20:13 ----D---- C:\WINDOWS\system32\Restore
2008-10-21 14:46:31 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2
2008-10-20 23:16:50 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Skype
2008-10-20 22:45:11 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\skypePM
2008-10-20 15:18:34 ----D---- C:\WINDOWS\Help
2008-10-19 21:39:50 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-19 18:31:13 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-19 18:28:43 ----D---- C:\WINDOWS\WinSxS
2008-10-19 18:28:01 ----D---- C:\Programme\Internet Explorer
2008-10-19 18:28:00 ----D---- C:\WINDOWS\system32\mui
2008-10-15 23:33:17 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-10-15 23:33:06 ----D---- C:\Programme\DVDVideoSoft
2008-10-14 16:13:23 ----D---- C:\Programme\Winamp
2008-10-14 16:12:14 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Winamp
2008-10-07 23:52:07 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi
2008-09-29 11:58:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-09-25 14:35:18 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\HLSW
2008-09-23 00:00:20 ----D---- C:\Programme\ICQ6
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-08-28 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-15 21248]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]
R2 EAPPkt;Realtek EAPPkt Protocol; C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.6; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2003-10-20 15781]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 FETNDIS;VIA Rhine Family Fast Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\fetnd5a.sys [2002-01-14 36864]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-03-25 25280]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2004-10-27 138240]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 IntelDH;IntelDH Driver; C:\WINDOWS\System32\Drivers\IntelDH.sys [2008-02-13 5504]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-12-05 7435392]
R3 SbieDrv;SbieDrv; \??\C:\Programme\Sandboxie\SbieDrv.sys []
R3 scramby;Scramby Microphone; C:\WINDOWS\system32\drivers\scramby.sys [2007-02-13 25896]
R3 SCREAMINGBDRIVER;Screaming Bee Audio; C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2008-05-15 21920]
R3 SNP2STD;USB2.0 PC Camera (SNP2STD); C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-05-13 10305664]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-04 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2007-10-16 208384]
R3 X10Hid;X10 Hid Device; C:\WINDOWS\System32\Drivers\x10hid.sys [2005-11-28 7040]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S3 Bridge;MAC-Brücke; C:\WINDOWS\system32\DRIVERS\bridge.sys [2004-08-03 71552]
S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\system32\DRIVERS\bridge.sys [2004-08-03 71552]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 DELL_A02;Dell TrueMobile 1300 USB2.0 WLAN Card Driver; C:\WINDOWS\system32\DRIVERS\PRISMA02.sys [2003-11-11 336800]
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 HdAudAddService;VIA High Definition Audio Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2007-10-16 208384]
S3 IKFileSec;File Security Driver; C:\WINDOWS\system32\drivers\ikfilesec.sys [2008-02-01 42376]
S3 IKSysFlt;System Filter Driver; C:\WINDOWS\system32\drivers\iksysflt.sys [2007-12-10 66952]
S3 IKSysSec;System Security Driver; C:\WINDOWS\system32\drivers\iksyssec.sys [2007-12-10 81288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 Ndisprot;ArcNet NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\Ndisprot.sys []
S3 npkcrypt;npkcrypt; \??\C:\WINDOWS\system32\npkcrypt.sys []
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\wg111v2.sys []
S3 scramby_out;Scramby Output; C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 23840]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 TVICHW32;TVICHW32; \??\C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS []
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 xnacc;Microsoft Common Controller For Windows Driver Service; C:\WINDOWS\system32\DRIVERS\xnacc.sys [2006-06-01 509440]
S3 zlportio;zlportio; \??\E:\Spiele\ultrastar\zlportio.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-08-28 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-08-28 149761]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2007-03-08 278608]
R2 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-22 137200]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-12-05 155716]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-03-08 66872]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2007-03-08 262247]
R2 SbieSvc;Sandboxie Service; C:\Programme\Sandboxie\SbieSvc.exe [2008-09-02 48640]
R2 ScrambySrv;Scramby Service; C:\Programme\Scramby\ScrambyServer.exe [2007-06-03 391168]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
R3 TODslService;T-Online DSL-Manager; C:\Programme\T-Online\DSL-Manager\TODslSvc.exe [2007-01-17 212992]
S2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2007-03-08 110677]
S2 npkcsvc;npkcsvc; C:\WINDOWS\system32\npkcsvc.exe [2004-03-31 172544]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 License Management Service SON;License Management Service SON; C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe [2008-04-14 69632]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2008-02-01 747912]
S3 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2008-02-01 948616]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-05 307968]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
-----------------EOF-----------------
MUSS man es machen oder SOLL man es machen? hab als usernamen eh nicht meinen vollen Namen und als Admin einer Homepage kenn ich die lücken die einige andere auch kennen (beim Namen herausfinden). Somit wäre es ein leichtes den Benutzernamen abzuleiten  mfg schaf *PS: Danke für die schnelle Hilfe! @ Leonidas88: Durch Malwarebytes kann ich nichtmehr auf meine partitionen zugreifen - fehler in der boot.com -> autorun.ini soll damit zusammenhängen und der grund dafür sein! (laut googlesuche) weil da eine nichtidentifizierbare datei gebootet werden soll -> wird wohl daran liegen das die boot.com im ordner C:\recycled liegt und dieser blockiert werden soll damit sich die tmp1.tmp - tmp0F.tmp sich nicht vermehren können! (nehme mal an das wird das Malwarebytes veranlasst haben?! stimmt das?) Geändert von Schaf (22.10.2008 um 15:57 Uhr) |
|
22.10.2008, 15:58
| #6 |
| | Malware nicht löschbar! Hi, Achtung Die gesamte Interentverbindung wird umgeleitet (Ukraine!), keinerlei Aktivitäten mehr mit Passwort/Banking etc. von einem sauberen Rechner aus sofort alle Passwörter ändern! Melde mich nach weiter analyse wieder... chris
__________________ --> Malware nicht löschbar! |
|
22.10.2008, 16:05
| #7 |
| | Malware nicht löschbar! Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\kdiux.exe
C:\WINDOWS\system32\npkcsvc.exe
D:\resycled\boot.com
C:\resycled\boot.com
Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) Hijackthis, fixen der "kritischen" Einträge (vorher vielleicht MAM runterladen&updaten, RSIT downloaden): öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{7691FE27-2152-4581-9B3A-9D7DA9C69CA2}: NameServer = 85.255.112.219;85.255.112.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220
MAM (Fullscan und alles bereinigen lassen); Log posten! Malwarebytes Antimalware. Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Smithfraudfix: Alles unter Pkt "Reinigung" abarbeiten! http://siri.urz.free.fr/Fix/SmitfraudFix_De.php Poste das Log von MAM und Smithy... Chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) Geändert von Chris4You (22.10.2008 um 16:14 Uhr) Grund: Smithy dazugenommen... |
|
22.10.2008, 16:30
| #8 |
| | Malware nicht löschbar! kdiux.exe ist garnicht im system 32 ordner vorhanden! npkcsvc.exe: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 Suspicious File
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 172544 bytes
MD5...: 6a76395c4a725ec07e06ea42f0bf0835
SHA1..: fdf8065eaf6505a3c217765bfce97fff9b11bf1f
SHA256: 46ea2311aa86281c53cbd0aef1784f972866de5e3919504d69b4ed665031b693
SHA512: a23cae69f3150f6585b10e27db2d98c8bc1146d4dd563507bda1092c64940e80
c5db9ab808b1827a1a10a015220fa747e72107a044f9e429a5936867f32d6572
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4719f0
timedatestamp.....: 0x3fff5e1c (Sat Jan 10 02:06:20 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x49000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x4a000 0x28000 0x27e00 7.91 30f283e58499e61e387c4628d6b2d6c1
.rsrc 0x72000 0x2000 0x2000 3.70 bfb3bbc9cad6935a8daf6470331c4c9e
( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.DLL: FreeSid
> COMCTL32.DLL: ImageList_Add
> GDI32.DLL: BitBlt
> OLE32.DLL: IsEqualGUID
> OLEAUT32.DLL: SysStringLen
> USER32.DLL: GetDC
( 0 exports )
packers (Kaspersky): UPX
packers (F-Prot): UPX
boot.com von D:\ : Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 29184 bytes
MD5...: aed5f876f649af26533619e1db0cb146
SHA1..: e135caa557d67b6f8cd65fc1e7510032168731ff
SHA256: 03735fca0f93d09902c57a3f97edb142df03bf52a3d6088e3438abaea59f1d36
SHA512: 7cdd3fe113db813b765b040d493b475aea49440d4262ea6dc7e5492c75f26ef8
61fa8d957c0acb4eeab939de75b442482bce632e1ba7a7777080994f27327438
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6162 2008.10.21 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 29184 bytes
MD5...: 5601d6bbfaf0a774dc07af12baf3e3e0
SHA1..: aa9ab9996c43e7de2dbbc2f91f0ca1b317f70357
SHA256: 2c308de1eff8316ddd7f32638b69f5eab37c57052f9a1d8c1554e4be4221a2e2
SHA512: 60f3c292d7f50e5015b277a1c13aa7bcf1c8e83ebe6f197428179dc75b8e1e2b
469e89667480737facca874671037f0977c148563670f3937a6d1f65aabc53a7
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
|
|
22.10.2008, 16:47
| #9 |
| | Malware nicht löschbar! Hallo Schaf, ich hatte das selbe Problem wie du auch am Freitag Abend. Kannst hier meine vorgeschichte dazu lesen: http://www.trojaner-board.de/62554-zlob-dnschanger-problem-spybot-search-destroy-nach-windows-neuinstallation.html Ein sehr wichtiger Tipp von mir: Schließe keine Externe Festplatte oder USB Speicherstick an dein Rechner, wenn du das machst, wird innerhalb wenigene Miunten (3-5min.) das ding auch deine externe festplatte infizieren und dann kommt die selbe meldung wie bei "c:\resycled boot.com" oder wie das hieß auch bei der Externe Festplatte/Stick etc. Ich konnte es nur mit glück retten. Den Virus habe ich wie in meinem Thread beschrieben erst nach mehreren formatierungen wegbekommen, also Windows aufjedenfall neu aufspielen wie hier beschrieben: http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html hoffe du bist den auch bald los, scheint wirklich etwas neues zu sein da momentan viele andere auch den virus haben. Viel Glück  |
|
22.10.2008, 17:25
| #10 |
| | Malware nicht löschbar! ich hab so das gefühl das ich um ein formatieren wirklich nicht herumkomme weil während ich MAM durlaufen lasse kommen fehlermeldungen vom antivir (FUND)derjenige der die datei gescriptet hat ist wohl nicht sehr schlau gewesen! die dateien C:\WINDOWS\Temp\tmp1.tmp und tmp2.tmp sind die verusacher und beinhalten eine so simple und dennoch komplizierte scriptart! in tmp1.tmp befindet sich z.B. der Log mit der server ip in der Ukraine! jedoch löst die tmp sofort eine meldung aus (egal bei welchem anti-viren programm) sobald sie gefunden oder benutzt wird! -> Man fährt mit der maus über die tmp und eine warnung erscheint -> liegt daran das windows eine vorschau (dateigröße, art, usw.) in einem gelben kästchen versucht darzustellen -> tmp wird verändert/gefunden/verwendet -> virenprogramm schlägt alarm -> tmp ist für kurze zeit nicht aktiv! das wiederum veranlasst die tmp zu folgendem: generiere tmp2.tmp (fast 100% identisch mit tmp1.tmp unterschied wie folgt: create tmp2.tmp = tmp1.tmp) -> tmp1.tmp und tmp2.tmp existieren! => wird eine der 2 tmp gelöscht (z.B. durch ein Programm wie AV) erkennt die tmp datei den verlust und generiert (in dem zeitraum der Meldung des antivirenprogrammes) diese neu -> tmp1.tmp bzw. tmp2.tmp sind wieder vorhanden! ACHTUNG: Hierzu gibt es noch eine Hauptdatei! Diese datei ist der hauptgrund des schadens, weil: Trojaner als datei mit zugriff auf tmp1 bzw 2 -> tmp1 bzw 2 sorgen dafür, dass die hauptdatei geschützt ist (kann nicht gelöscht werden da von einem anderen programm verwendet -> in dem fall von tmp1 bzw 2) -> so gut wie unmöglich das problem zu beheben! ist jeder soweit mitgekommen?  kennt sich einer mit der programmiersprache ein bisschen besser aus als ich? wenn ja: ich habe das problem dass ich die datei nicht lesen kann (wurde erstellt und konvertiert mit einem programm und somit nicht im editor lesbar!) da ich das programm nicht kenne mit dem die datei erstellt wurde! Soviel zu meinem trojaner! thx @ Chris! durch die Programme die das ganze checken sollten hab ich die scriptdateien gefunden und konnte oben genanntes schlussfolgern! werde aber mal trotzdem noch den rest der anleitung durchmachen in der hoffnung das eines der programm evtl alle temp-files deaktiviert, in den RAM speichert und durch einen neustart löscht (könnte ich mir bei smithy vorstellen!) somit wäre nämlich der trojaner aufgeschmissen da er nichtmehr verwendet wird und kann einfach per shredder (sogar durch rechte maustaste - löschen (wäre schwachsinnig!) gecleaned bzw gelöscht werden!  *ANMERK* Es besteht die möglichkeit die Malware locker zu entfernen wenn jmd ein dementsprechendes Programm (wie oben beschrieben) kennt/hat! Geändert von Schaf (22.10.2008 um 17:33 Uhr) |
|
22.10.2008, 17:59
| #11 |
| | Malware nicht löschbar! also....ich hab von 2 sachen jetzt eine log-file die erste direkt nach der untersuchung -> funde: Code:
ATTFilter Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2
22.10.2008 18:51:20
mbam-log-2008-10-22 (18-51-15).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 176553
Laufzeit: 1 hour(s), 4 minute(s), 30 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.
Infizierte Dateien:
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\Temp\tempo-94F.tmp (Trojan.FakeAlert) -> No action taken.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2
22.10.2008 18:51:55
mbam-log-2008-10-22 (18-51-55).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 176553
Laufzeit: 1 hour(s), 4 minute(s), 30 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-94F.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
|
|
22.10.2008, 18:23
| #12 |
| | Malware nicht löschbar! smithy logfile: Code:
ATTFilter SmitFraudFix v2.366
Scan done at 19:12:01,53, Mi 22.10.2008
Run from C:\Dokumente und Einstellungen\Michi\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\autorun.inf Deleted
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
|
|
29.10.2008, 21:30
| #13 |
| | Malware nicht löschbar! Hallo miteinander ! Dies ist das erste mal das ich mich mit dem thema trojaner und co auseinander setzen muss Also bitte ich um nachsicht für den fall das ich den einen oder anderen fehler mache. Zur Sache, so wie das aussieht habe ich mir wohl auch dieses dnschanger Problem gefangen, zudem hatte ich auch die hier beschriebenen Probleme mit den resycled ordern und boot.com. Diese habe ich soweit ich das beurteilen kann vom Rechner bekommen , mit viel lesen und Handarbeit. Jedoch bekomme ich dieses DNS Changer Problem laut Spybot Search & destroy und auch Spyware Doctor nicht in den Griff. Da brauche ich Hilfe ! Zudem habe ich heute eine "interessante" Feststellung machen müssen. Ich wollte eine CD Brennen, eine Leere CD war ja noch im Brenner. Bei Zugriff auf die CD meldet sich gleich mein anti Viren Programm ( Trend Micro Internet Security Pro ) Meldung : Infizierte Datei --> autorun.inf Name der Bedrohung : Mal Otorun2 !! Auf der eigentlich leeren CD befinden sich merkwürdiger weise die Dateien : resycled , autorun.inf . und im Ordner noch boot.com Also eines steht fest ! Ich habe diese CD nicht gebrannt !  Wie kann das sein ??? So nun zu den logs Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:50, on 29.10.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe C:\Windows\system32\rundll32.exe C:\Program Files\Trend Micro\BM\TMBMSRV.exe C:\Windows\system32\svchost.exe J:\Nero\Nero8\InCD\InCDsrv.exe C:\Program Files\Mamutu\a2service.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe J:\Nero\Nero8\Nero BackItUp\NBService.exe C:\Windows\system32\svchost.exe C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe C:\Windows\system32\svchost.exe C:\Program Files\Trend Micro\Internet Security\TmProxy.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Program Files\Trend Micro\TrendSecure\TSCFCommander.exe J:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\PlatformDependent\ProToolbarComm.exe C:\Users\xxxxx\AppData\LocalLow\kdefense\kdfmgr.exe C:\Windows\system32\conime.exe C:\Program Files\Spyware Doctor\pctsAuxs.exe C:\Program Files\Spyware Doctor\pctsSvc.exe C:\Program Files\Spyware Doctor\pctsTray.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Trend Micro Symbolleiste - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry O4 - HKLM\..\Run: [TrojanScanner] j:\Program Files\Trojan Remover\Trjscan.exe /boot O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe" O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'Default user') O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O13 - Gopher Prefix: O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - J:\Nero\Nero8\InCD\InCDsrv.exe O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - C:\Program Files\Mamutu\a2service.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - J:\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: Security Activity Dashboard Service - Unknown owner - C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 8156 bytes Code:
ATTFilter 27.10.2008 00:37:08:541
Infektion gesperrt
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:543
Infektion gesperrt
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:557
Infektion gesperrt
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:590
Infektion gelöscht
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:591
Infektion gelöscht
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:598
Infektion gelöscht
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
Der Rechner läuft soweit normal. Internet normal, nur zu dem zeitpunkt als sich noch oben genannte Dateien auf dem Rechner befanden war das i-net deutlich lahmer. Schon mal im voraus danke für Hilfe und mühe. |
|
30.10.2008, 13:58
| #14 |
| | Malware nicht löschbar! Hi @judaskind, eigentlich musst Du einen neuen Thread eröffnen! : resycled , autorun.inf . und im Ordner noch boot.com Der pflanzt sich darüber weiter, d.h. er dürfte mittlerweile auf allen angeschlossenen Platten, USB-Sticks, USB-Festplatten, gebrannte CD etc. sein. Die müssen alle behandelt/vernichtet (CD) werden, da er automatisch von Windows über die autorun.inf ausgeführt wird... MAM&combofix, danach RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
31.10.2008, 00:09
| #15 |
| | Malware nicht löschbar! @ schaf: Tausend Dank für Deine Anleitung. Bei mir warnte mich Antivir vor folgenden Funden: TR/Patched.CK.56 sowie Dldr.Agent.ahcq.8. Auch bei mir wurden die TMP-Dateien angelegt, die sich nicht löschen ließen. Zwischendurch versuchte die spoolsv.exe Kontakt nach Riga aufzubauen. Das ließ sich nur durch Beenden dieses Prozesses unterbinden. Jedesmal, wenn ich ein Laufwerk im Explorer anklickte, startete die spoolsv.exe, begleitet von mehreren Warnungen des Antivir mit obigen Funden. Auch die alg.exe befand sich dann irgendwann in meinen aktiven Prozessen. Meine Lösung: Nach der einfachen Behandlung im abgesicherten Modus mit Smitfraudfix ("Scan" mit gleichem Ergebnis wie bei Dir, anschließend "Clean" im abgesicherten Modus), hatte sich mein Rechner zwar beim Neustart aufgehängt. Dennoch bin ich nach dem Reset noch einmal in den abgesicherten Modus und ließ dort die ComboFix laufen. Danach hängte sich mein Rechner zwar wieder auf, aber zurück im Normal-Modus sind die TMP-Dateien endlich weg und offensichtlich auch der/die unangenehme(n) Trojaner (oder was auch immer). MAM habe ich nicht erst laufen lassen, weil mir das zu lange dauerte... Allerdings werde ich morgen früh das Ganze nochmals durchchecken. THX again, Gute Nacht. |
|
| Themen zu Malware nicht löschbar! |
| anfänger, avast, avira, avira antivir, confused, dateien, formatieren, heulen, ignorieren, internetseite, logfiles, löschen, malware, malware nicht löschbar, malwarebytes, nicht löschbar, problem, programm, rechner, seite, seiten, serve, tr/agent.6938.a, tr/patched.ck.56, viren, wichtig, wurm |
Hybrid-Darstellung
