Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Monder.yis

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.11.2008, 19:52   #1
Magni
 
TR/Monder.yis - Standard

TR/Monder.yis



Hy

Vorgestern Nacht schickte mir ein Freund über MSN deine Nachricht i-wie mit Bildern. Ich klick natürlich drauf und führe es auch noch aus.(Komm mir selbst recht blöd vor dass ich bei einem "Bild" auf ausführen gedrückt habe)
Gestern starte ich dann meinen PC und er blieb höngen nach"Benutzer einstellungen werde geladen" den Taskmanager konnte ich aber aufrufen deswegen meldete ich mich ab und wieder an. MSN hab ich gehabt dass es automatisch starten soll. Gestern abend läd Antivira sein Update und ab da war es nciht mehr still es fand dauernd TR/Monder.yis . Ich machte dann MSN vom atumoatischen Starten raus und heute hatte ich noch keine Meldung. Heute abend hab ich dann Avira AntiVir laufen lassen und es hat glaub ich viel gefunden. Danch hab ich HijackThis laufen gelassen.


Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 12. November 2008  17:20

Es wird nach 1026777 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     BERROTH-01

Versionsinformationen:
BUILD.DAT     : 8.2.0.336      16933 Bytes  30.10.2008 11:40:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  17.07.2008 20:34:24
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 20:34:24
LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 20:34:24
LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 20:34:24
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 10:36:12
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 21:39:18
ANTIVIR2.VDF  : 7.1.0.57        2048 Bytes  09.11.2008 21:39:18
ANTIVIR3.VDF  : 7.1.0.70       84480 Bytes  11.11.2008 21:39:20
Engineversion : 8.2.0.31  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  15.10.2008 18:09:53
AESCRIPT.DLL  : 8.1.1.15      332156 Bytes  11.11.2008 21:39:24
AESCN.DLL     : 8.1.1.5       123251 Bytes  07.11.2008 19:15:37
AERDL.DLL     : 8.1.1.3       438645 Bytes  06.11.2008 19:16:03
AEPACK.DLL    : 8.1.3.4       393591 Bytes  11.11.2008 21:39:22
AEOFFICE.DLL  : 8.1.0.30      196986 Bytes  07.11.2008 19:15:36
AEHEUR.DLL    : 8.1.0.71     1487222 Bytes  07.11.2008 19:15:35
AEHELP.DLL    : 8.1.1.3       119157 Bytes  07.11.2008 19:15:28
AEGEN.DLL     : 8.1.1.0       319859 Bytes  07.11.2008 19:15:26
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 18:09:44
AECORE.DLL    : 8.1.4.1       172405 Bytes  07.11.2008 19:15:22
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 18:09:40
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 20:34:24
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 20:34:24
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 18:22:02
AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 20:34:24
AVARKT.DLL    : 1.0.0.23      307457 Bytes  16.04.2008 15:51:13
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 20:34:24
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  16.04.2008 15:51:14
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 20:34:24
NETNT.DLL     : 8.0.0.1         7937 Bytes  16.04.2008 15:51:14
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 20:34:23
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 20:34:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 12. November 2008  17:20

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogitechDesktopMessenger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aemmoqe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDICT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S40RP7.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0kph3xb1.default\Cache\672EC2B7d01
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494d039f.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0kph3xb1.default\Cache\B3CC5871d01
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '495e03a0.qua' verschoben!
C:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0043979.dll
    [FUND]      Ist das Trojanische Pferd TR/Monder.yir
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b100b.qua' verschoben!
C:\WINDOWS\system32\cbXRHXNH.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.M.35328
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49731a1b.qua' verschoben!
C:\WINDOWS\system32\ddcyXNDU.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.M.35328
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497e1a2a.qua' verschoben!
C:\WINDOWS\system32\fcccbxyX.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.M.35328
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497e1a30.qua' verschoben!
C:\WINDOWS\system32\iifdawtu.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.M.35328
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49811a3e.qua' verschoben!
C:\WINDOWS\system32\jytvhi.dll
    [FUND]      Ist das Trojanische Pferd TR/Monder.yis
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '498f1a56.qua' verschoben!
C:\WINDOWS\system32\otrtde.dll
    [FUND]      Ist das Trojanische Pferd TR/Monder.yis
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '498d1a65.qua' verschoben!
C:\WINDOWS\system32\qoMgdbcC.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.M.35328
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49681a65.qua' verschoben!
C:\WINDOWS\system32\rhwtpqsp.dll
    [FUND]      Ist das Trojanische Pferd TR/Monder.yis
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49921a61.qua' verschoben!
C:\WINDOWS\system32\synbofxp.dll
    [FUND]      Ist das Trojanische Pferd TR/Monder.yis
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49891a77.qua' verschoben!
C:\WINDOWS\system32\xuwtgsue.dll
    [FUND]      Ist das Trojanische Pferd TR/Monder.yir
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49921a7c.qua' verschoben!
C:\WINDOWS\system32\yayaYonK.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.M.35328
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49941a6c.qua' verschoben!
C:\WINDOWS\system32\yayyVlkj.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.M.35328
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49941a6e.qua' verschoben!
Beginne mit der Suche in 'D:\' <Eigene Daten>
D:\downloads\CIMG01821_w*w.imagesupload(2).com
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde gelöscht.
D:\downloads\CIMG01821_w*w.imagesupload.com
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde gelöscht.
D:\Eigene Musik\meins\CIMG01821_www.imagesupload.com
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde gelöscht.
D:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0044126.com
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b1f18.qua' verschoben!
D:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0044127.com
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b1f1b.qua' verschoben!
D:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0044128.com
    [0] Archivtyp: RSRC
      --> Object
        [1] Archivtyp: CAB (Microsoft)
        --> is168318.exe
          [FUND]      Ist das Trojanische Pferd TR/Drop.A.BNY.53248
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b1f1e.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 12. November 2008  19:22
Benötigte Zeit:  2:02:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  13063 Verzeichnisse wurden überprüft
 572341 Dateien wurden geprüft
     21 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      3 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     18 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 572319 Dateien ohne Befall
   7181 Archive wurden durchsucht
      1 Warnungen
     21 Hinweise
         

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:33, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Microsoft Lernen und Wissen\Microsoft Encarta 2007 – Lernen und Wissen DVD\EDICT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\aemmoqe.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hijack\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3CCDF8CE-C339-4DD6-AD4F-CA7230C7E2F2} - C:\WINDOWS\system32\ddcYsQgd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: {20bcec3c-e109-df19-4eb4-d2d6b93094cb} - {bc49039b-6d2d-4be4-91fd-901ec3cecb02} - C:\WINDOWS\system32\ajalto.dll
O2 - BHO: (no name) - {E57AA86E-3D9E-4EC0-A17D-75FEACFE639D} - C:\WINDOWS\system32\awttqrRJ.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
O4 - HKLM\..\Run: [88d11d23] rundll32.exe "C:\WINDOWS\system32\yogeskiw.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [L07DXLRD_763562] "C:\Programme\Microsoft Lernen und Wissen\Microsoft Encarta 2007 – Lernen und Wissen DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SB3.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [essei] c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\essei.exe essei
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [aemmoqe] "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\aemmoqe.exe" aemmoqe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225906037968
O18 - Protocol: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - C:\WINDOWS\system32\alading.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ajalto.dll
O20 - Winlogon Notify: ddcYsQgd - ddcYsQgd.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9733 bytes
         

Ich hatte auch schon selbst solche Virenspams einmal verschickt. MSN hab ich deinstalliert.

Die D:\downloads\CIMG01821_w*w.imagesupload(2).com datei war glaub die die ich runter geladen hab und danach kamm immer dieser TR/Monder.yis.
Ich hoffe ihr könnt mir helfen.

Vielen Dank schon im Vorraus.

Alt 12.11.2008, 20:41   #2
Silent sharK
 

TR/Monder.yis - Standard

TR/Monder.yis



Hallo,

sieht nach einem Worst Case aus.
Das heißt für dich:
http://www.trojaner-board.de/51262-a...sicherung.html

Warum?
Deswegen :
Zitat:
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
wauclt.exe => W32.Gaobot.AJD - Symantec.com
__________________

__________________

Alt 12.11.2008, 20:51   #3
Magni
 
TR/Monder.yis - Standard

TR/Monder.yis



Zitat:
Zitat von Silent sharK Beitrag anzeigen
Hallo,

sieht nach einem Worst Case aus.
Das heißt für dich:
http://www.trojaner-board.de/51262-a...sicherung.html

Warum?
Deswegen :

wauclt.exe => W32.Gaobot.AJD - Symantec.com
und Windows Update Automatic Client kann es nicht sein?
__________________

Alt 12.11.2008, 20:52   #4
Silent sharK
 

TR/Monder.yis - Standard

TR/Monder.yis



Nein, da das wuauclt.exe und nicht wauclt.exe ist. Da fehlt ein u.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 12.11.2008, 20:53   #5
Magni
 
TR/Monder.yis - Standard

TR/Monder.yis



Zitat:
Zitat von Silent sharK Beitrag anzeigen
Nein, da das wuauclt.exe und nicht wauclt.exe ist. Da fehlt ein u.
Achso , key Danke.


Alt 12.11.2008, 22:30   #6
Magni
 
TR/Monder.yis - Standard

TR/Monder.yis



Also ihc möchte mich nochmal wirklich bedanken für die schnelle Hilfe. Ich hab auh nochmal danach gegoogled und es sieht wirklich schlecht aus.
Trotzdem hab ich noch ein paar fragen.
Bis das System neu aufgesetzt wird,
1.Ist mein PC nun ein offenes Buch für jeden ?
2.Sollte ich deswegen nun nicht mehr ins internet außer wenn total unvermeidbar?
3.Muss ich nun alle PW ändern von einem anderen PC?
4.Sollte ich nun keine Sachen mehr am USB anstecken? (Handy,MP3-Player,USB-Stick usw)? damit der frischaufgesetzte nicht gleich beim einstecken infiziert wird?

Alt 12.11.2008, 22:38   #7
Silent sharK
 

TR/Monder.yis - Standard

TR/Monder.yis



Zitat:
1.Ist mein PC nun ein offenes Buch für jeden ?
Für jeden nicht, nur für den Botmaster.
Zitat:
2.Sollte ich deswegen nun nicht mehr ins internet außer wenn total unvermeidbar?
Wäre ungünstig, wenn du jetzt noch wochenlang online bleibst...
Zitat:
3.Muss ich nun alle PW ändern von einem anderen PC?
Wäre keine schlechte Idee, ja.
Zitat:
4.Sollte ich nun keine Sachen mehr am USB anstecken? (Handy,MP3-Player,USB-Stick usw)? damit der frischaufgesetzte nicht gleich beim einstecken infiziert wird?
So kannst du sie anschließen (wenn es unbedingt sein muss):
Bei gedrückter [Shift]-Taste den Wechseldatenträger anschließen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 12.11.2008, 23:28   #8
Magni
 
TR/Monder.yis - Standard

TR/Monder.yis



Gut zu wissen.
Aber kann ich wenn ich nun eine CD brenne(Lieder+Bilder) den Wurm/Trjaner auch mit brennen oder ist dass sich so dass das neu aufgesetztesystem nicht gleich wieder infiziert wird?

Alt 12.11.2008, 23:34   #9
Silent sharK
 

TR/Monder.yis - Standard

TR/Monder.yis



Brennen sollte in Ordnung sein.
Das solltest du allerdings offline machen, dass heißt, die physikalische Verbindung zum Netzwerk sollte getrennt sein.
Sichere auch keine ausführbaren Dateien, überprüfe auch die CD gründlich vor dem Verwenden der Daten auf dem frischen System.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 13.11.2008, 18:56   #10
Magni
 
TR/Monder.yis - Standard

TR/Monder.yis



Also ich hab einmal Malwarebytes' Anti-Malware laufen lassen.
Code:
ATTFilter
 Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1395
Windows 5.1.2600 Service Pack 2

13.11.2008 18:09:25
mbam-log-2008-11-13 (18-09-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 198307
Laufzeit: 48 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\awttqrRJ.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bejuyxne.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\cjxiqf.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3ccdf8ce-c339-4dd6-ad4f-ca7230c7e2f2} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcysqgd (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3ccdf8ce-c339-4dd6-ad4f-ca7230c7e2f2} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b28da4a7-ff33-4843-b240-73c762311db2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{b28da4a7-ff33-4843-b240-73c762311db2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f2ee7b42-2a77-4fa7-ad03-17a1846b924c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f2ee7b42-2a77-4fa7-ad03-17a1846b924c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f2ee7b42-2a77-4fa7-ad03-17a1846b924c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\88d11d23 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\awttqrrj -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awttqrrj  -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ddcYsQgd.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awttqrRJ.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\JRrqttwa.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\JRrqttwa.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cjxiqf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bejuyxne.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\enxyujeb.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8567CDEF\kb600179[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIFKLMN\nd82m0[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQRSTUV\CAUZQ7UT (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP64\A0012421.dll (Adware.NewWeb) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0044118.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0044119.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0044122.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP129\A0044123.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3BE03F54-1A9E-442F-BD64-065D9534E6EA}\RP136\A0049936.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dtytvili.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dyajwjxt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ainfsagh.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ajalto.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qxvtof.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
         
Es wurde dann neu gestartet.
Danach hab ich diesen Log mit HijackThis erstellt

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:53, on 13.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Microsoft Lernen und Wissen\Microsoft Encarta 2007 – Lernen und Wissen DVD\EDICT.EXE
C:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\aemmoqe.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [L07DXLRD_763562] "C:\Programme\Microsoft Lernen und Wissen\Microsoft Encarta 2007 – Lernen und Wissen DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SB3.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [essei] c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\essei.exe essei
O4 - HKCU\..\Run: [aemmoqe] "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\aemmoqe.exe" aemmoqe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225906037968
O18 - Protocol: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - C:\WINDOWS\system32\alading.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: cjxiqf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8836 bytes
         
Vor dem Neustart hab ich die Internetverbindung getrennt.
und nach dem logfile machen wauclt.exe bei den prozessen beendet.
Dann hab ich Nero die Sachen nochmal auf Viren überprüfen lassen die ich brennen wollte.Es waren nur Bilder,word dokumente und Powerpointpräsentstionen und ein paar AAC-Audiodatein sowie MP3s. (einige Lieder werd ich mir wohl neu runterladen müssen, wird sonst zu viel )

Alt 13.11.2008, 20:06   #11
Magni
 
TR/Monder.yis - Standard

TR/Monder.yis



edit geht i-wie nicht mehr, also i-wie tritt der Trojaner/Worm immer häufiger auf und hier
h**p://imagesuploads.im.funpic.de/viewimage.php?=markusber@live.de
hab ich ihn runtergeladen der Link ist aber nicht mehr gültig , glaub ich. Das komishce ist dass er auch meine MSN-ID enthält. Ist es am besten gleich nochmal ein neues MSN-Konto zu eröffnen?(bzw das alte nicht mehr zu benutzen?

Alt 13.11.2008, 20:16   #12
Silent sharK
 

TR/Monder.yis - Standard

TR/Monder.yis



Tu dem Gaobot keinen Gefallen und setz endlich dein System neu auf.
Deinen MSN Acc. kannst du behalten, du musst nur das Passwort von einem sauberen System aus ändern.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu TR/Monder.yis
0 bytes, aufrufe, avgnt.exe, avira, bho, bonjour, c:\windows\temp, einstellungen, excel, festplatte, firefox, generic host, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, logon.exe, mozilla, musik, nmindexstoresvr.exe, nt.dll, prozesse, registry, rthdcpl.exe, rundll, sched.exe, services.exe, software, starten, suchlauf, svchost.exe, taskmanager, tuneup.defrag, urlsearchhook, verweise, virus, virus gefunden, warnung, wauclt.exe, windows, windows\temp




Ähnliche Themen: TR/Monder.yis


  1. TR/Monder.atzr
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (0)
  2. Monder & Vundo
    Plagegeister aller Art und deren Bekämpfung - 26.01.2009 (0)
  3. Win32.Monder
    Log-Analyse und Auswertung - 22.01.2009 (4)
  4. TR/Monder.
    Mülltonne - 05.01.2009 (0)
  5. TR/Monder.acaq
    Mülltonne - 15.12.2008 (0)
  6. TR/Monder.yis
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (12)
  7. TR/Monder.yis
    Mülltonne - 11.11.2008 (0)
  8. TR/monder
    Mülltonne - 11.11.2008 (0)
  9. TR/Monder.tzt + TR/Vundo.Gen
    Mülltonne - 24.10.2008 (0)
  10. Virtumonde/ TR/Monder
    Plagegeister aller Art und deren Bekämpfung - 08.10.2008 (6)
  11. TR/Monder
    Mülltonne - 27.09.2008 (0)
  12. TR/Monder. bqt oder TR/Monder.142848
    Plagegeister aller Art und deren Bekämpfung - 13.08.2008 (1)
  13. Tr/Monder
    Mülltonne - 02.07.2008 (2)
  14. TR/Monder.33280.1
    Log-Analyse und Auswertung - 20.06.2008 (5)
  15. TR/Agent.ruh und TR/Monder.QX
    Log-Analyse und Auswertung - 18.06.2008 (9)
  16. TR/Vundo, TR/Monder
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (4)
  17. Monder
    Mülltonne - 13.06.2008 (0)

Zum Thema TR/Monder.yis - Hy Vorgestern Nacht schickte mir ein Freund über MSN deine Nachricht i-wie mit Bildern. Ich klick natürlich drauf und führe es auch noch aus.(Komm mir selbst recht blöd vor dass - TR/Monder.yis...
Archiv
Du betrachtest: TR/Monder.yis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.