Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Obfuscated.vji.1 kommt immer wieder!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.11.2008, 14:14   #1
Flou
 
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



Hallo Leute,

habe seit ein paar Tagen das Problem, dass Antivir in unregelmäßigen Abständen von ca 30min ständig diesen Trojaner findet. Löschen/Quarantäne oder Zugriff verweigern brachte bisher keinen Erfolg.
Da bereits ein anderer user in diesem Forum das gleiche Problem hatte, habe ich den ersten Ratschlag befolgt und die Systemwiederherstellung abgeschalten.
Bei den infizierten Datein handelt es sich um
C:\WINDOWS\system32\9846545561.CPX und
C:\WINDOWS\system32\984654~2.CPX und
C:\WINDOWS\SYSTEM32\11.CPX
Ich poste auch gleich mal die HJT-Logfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:04, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Raptor-Gaming\RGM2\Panel.exe
C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\abc\Desktop\Anderes\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe
O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/25b64428e572e36cdc05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128376338343
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218480120
O17 - HKLM\System\CCS\Services\Tcpip\..\{E54899DC-7123-4417-B36A-033079C78E45}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 8237 bytes
         
soll ich hier bereits irgendwelche dateien löschen!? oder soll ich wie in dem anderen beitrag diese 8 punkte durchackern und dann alles posten?
danke im voraus für eure hilfe
Flou

Geändert von Flou (25.11.2008 um 14:22 Uhr)

Alt 25.11.2008, 14:18   #2
Silent sharK
 

Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



Hi,

arbeite bitte folgende zwei Punkte durch:

1.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

2.)
SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.
__________________

__________________

Alt 25.11.2008, 15:46   #3
Flou
 
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



so hab jetz mal beide punkte ausgeführt
combo fix log:
Code:
ATTFilter
ComboFix 08-11-24.03 - Florian 2008-11-25 14:48:06.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.189 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Florian\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Mozilla Firefox\plugins\npclntax.dll
c:\windows\smdat32m.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\NCTAudioFile2.dll
c:\windows\system32\NCTAudioPlayer2.dll
c:\windows\system32\NCTAudioRecord2.dll
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-10-25 bis 2008-11-25  ))))))))))))))))))))))))))))))
.

2008-11-25 14:31 . 2008-11-25 14:31	<DIR>	d--------	c:\programme\CCleaner
2008-11-25 01:10 . 2008-11-25 01:10	<DIR>	d--------	c:\programme\MSXML 6.0
2008-11-25 01:05 . 2008-11-25 01:05	<DIR>	d--------	c:\programme\MSXML 4.0
2008-11-24 22:48 . 2008-11-24 22:48	<DIR>	d--------	c:\dokumente und einstellungen\Florian\Anwendungsdaten\Sony
2008-11-24 22:48 . 2008-11-24 22:48	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony
2008-11-24 19:16 . 2008-11-24 20:02	<DIR>	d--------	c:\windows\system32\CatRoot_bak
2008-11-24 19:08 . 2008-06-14 18:57	273,024	---------	c:\windows\system32\dllcache\bthport.sys
2008-11-24 19:07 . 2008-08-28 11:04	333,056	---------	c:\windows\system32\dllcache\srv.sys
2008-11-24 19:07 . 2008-08-14 10:51	138,368	---------	c:\windows\system32\dllcache\afd.sys
2008-11-24 19:05 . 2008-08-14 14:42	2,182,656	---------	c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-24 19:05 . 2008-08-14 14:42	2,138,624	---------	c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-24 19:05 . 2008-08-14 14:42	2,060,032	---------	c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-24 19:05 . 2008-08-14 14:42	2,018,304	---------	c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-24 19:05 . 2008-09-15 16:37	1,846,144	---------	c:\windows\system32\dllcache\win32k.sys
2008-11-24 19:03 . 2008-10-24 12:10	453,632	---------	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-24 19:02 . 2008-04-11 19:50	683,520	---------	c:\windows\system32\dllcache\inetcomm.dll
2008-11-24 19:02 . 2008-05-01 15:30	331,776	---------	c:\windows\system32\dllcache\msadce.dll
2008-11-24 19:01 . 2008-10-15 17:57	332,800	---------	c:\windows\system32\dllcache\netapi32.dll
2008-11-24 18:53 . 2008-10-16 14:08	31,768	--a------	c:\windows\system32\wucltui.dll.mui
2008-11-24 18:53 . 2008-10-16 14:08	27,672	--a------	c:\windows\system32\wuaucpl.cpl.mui
2008-11-24 18:53 . 2008-10-16 14:08	27,672	--a------	c:\windows\system32\wuapi.dll.mui
2008-11-24 18:53 . 2008-10-16 14:07	18,968	--a------	c:\windows\system32\wuaueng.dll.mui
2008-11-24 17:33 . 2008-11-24 17:33	<DIR>	d--------	c:\programme\Sony
2008-11-24 17:31 . 2006-10-04 15:06	1,197,294	---------	c:\windows\system32\dllcache\sysmain.sdb
2008-11-24 17:31 . 2006-10-04 15:06	764,868	---------	c:\windows\system32\dllcache\apph_sp.sdb
2008-11-24 17:31 . 2006-10-04 15:06	217,118	---------	c:\windows\system32\dllcache\apphelp.sdb
2008-11-24 17:29 . 2008-11-24 22:46	<DIR>	d--------	c:\windows\system32\drivers\UMDF
2008-11-24 17:18 . 2008-11-24 17:18	<DIR>	d--------	c:\programme\Avanquest update
2008-11-24 17:18 . 2008-11-24 17:18	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-11-24 17:16 . 2008-11-24 17:33	<DIR>	d--------	c:\programme\Sony Ericsson
2008-11-24 17:16 . 2008-11-24 17:16	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-11-18 22:25 . 2004-08-08 19:22	<DIR>	d--hs----	C:\FOUND.000
2008-11-17 19:55 . 2008-11-17 20:10	<DIR>	d--------	c:\programme\mp3DirectCut
2008-10-31 23:46 . 2008-11-25 14:52	88,566	--a------	c:\windows\system32\nvapps.xml
2008-10-31 23:45 . 2006-10-22 15:06	208,896	--a------	c:\windows\system32\NVUNINST.EXE
2008-10-31 23:45 . 2006-10-22 12:22	208,896	--a------	c:\windows\system32\nvudisp.exe
2008-10-31 23:45 . 2006-10-22 12:22	17,056	--a------	c:\windows\system32\nvdisp.nvu
2008-10-31 23:44 . 2008-10-31 23:44	<DIR>	d--------	C:\NVIDIA
2008-10-31 23:34 . 2006-10-22 12:22	4,527,488	--a------	c:\windows\system32\nv4_disp.dll
2008-10-31 23:34 . 2006-10-22 12:22	4,527,488	--a------	c:\windows\system32\dllcache\nv4_disp.dll
2008-10-31 23:34 . 2006-10-22 12:22	3,994,624	--a------	c:\windows\system32\drivers\nv4_mini.sys
2008-10-31 23:34 . 2006-10-22 12:22	3,994,624	--a------	c:\windows\system32\dllcache\nv4_mini.sys
2008-10-31 23:32 . 2008-10-31 23:33	<DIR>	d--------	c:\programme\Driver Cleaner Pro
2008-10-29 17:10 . 2008-10-29 17:23	<DIR>	d--------	c:\dokumente und einstellungen\Florian\Anwendungsdaten\concept design
2008-10-29 17:10 . 2006-05-21 16:15	966,144	--a------	c:\windows\system32\NCTAudioInformation2.dll
2008-10-29 17:10 . 2006-05-21 16:15	634,880	--a------	c:\windows\system32\NCTAudioEditor2.dll
2008-10-29 17:10 . 2006-05-21 16:15	522,752	--a------	c:\windows\system32\NCTAudioTransform2.dll
2008-10-29 17:10 . 2006-05-21 16:15	237,568	--a------	c:\windows\system32\lame_enc.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 13:36	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-25 12:30	---------	d-----w	c:\programme\Spybot - Search & Destroy
2008-11-24 21:21	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-24 16:18	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-11-24 16:14	---------	d-----w	c:\programme\Gemeinsame Dateien\Teleca Shared
2008-11-12 19:46	---------	d-----w	c:\programme\TuneUp Utilities 2004
2008-10-24 11:10	453,632	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-18 12:53	---------	d-----w	c:\dokumente und einstellungen\Florian\Anwendungsdaten\ppstream
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\dllcache\wups.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-27 15:28	---------	d-----w	c:\programme\ICQ6
2008-09-15 15:37	1,846,144	----a-w	c:\windows\system32\win32k.sys
2008-09-04 16:43	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-09-04 16:43	1,106,944	----a-w	c:\windows\system32\dllcache\msxml3.dll
2008-08-29 19:06	1,350,664	----a-w	c:\windows\system32\msxml6.dll
2007-04-02 14:25	47,439	----a-w	c:\programme\ScummVMmonkey2.s00
2007-04-02 13:41	46,202	----a-w	c:\programme\ScummVMmonkey2.c99
2007-04-02 13:03	48,643	----a-w	c:\programme\ScummVMmonkey2.s01
2003-12-18 21:48	21,696	----a-w	c:\dokumente und einstellungen\Florian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-06-18 16:58	2,254,336	----a-w	c:\programme\Compuserve.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"Raptor-Gaming M2"="c:\programme\Raptor-Gaming\RGM2\Panel.exe" [2005-04-28 249856]
"SHARKOON STATION"="c:\programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe" [2004-11-11 327680]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-15 57344]
"NVCLOCK"="nvclock.dll" [2002-08-29 c:\windows\system32\nvclock.dll]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCommonGroups"= 0 (0x0)
"NoSimpleStartMenu"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"wave1"= 9846545561.CPX
"vidc.ffds"= ffdshow.ax

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Florian^Startmenü^Programme^Autostart^Xfire.lnk]
path=c:\dokumente und einstellungen\Florian\Startmenü\Programme\Autostart\Xfire.lnk
backup=c:\windows\pss\Xfire.lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"42988:TCP"= 42988:TCP:emule1
"42998:UDP"= 42998:UDP:emule2

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-03-05 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-03-05 45376]
R1 SSHDRV76;SSHDRV76;\??\c:\windows\System32\drivers\SSHDRV76.sys [2004-08-15 53760]
R2 accvssvc;AccSys WLAN Control Service;c:\programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-12-29 126976]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [2004-09-12 61280]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\DRIVERS\AVMCOWAN.sys [2003-11-19 53120]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2003-12-28 37568]
R3 fxusbase;FRITZ!X USB;c:\windows\system32\DRIVERS\fxusbase.sys [2003-11-19 547840]
R3 GMFilter Filter;GMFilter Filter;c:\windows\system32\Drivers\GMFilter.sys [2005-06-13 25088]
R3 UALFDrv2;UALFDrv2;c:\windows\system32\DRIVERS\UALFDrv2.sys [2006-12-23 46280]
R3 VGAUTI;VGAUTI;\??\c:\windows\system32\DRIVERS\VGAUTI.sys [2003-12-29 37880]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys []
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS [2006-08-09 316928]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys []
S4 cdawdm;CDAWDM;c:\windows\system32\DRIVERS\CDAWDM.sys []
S4 hpt3xx;hpt3xx; []
.
Inhalt des "geplante Tasks" Ordners

2008-10-24 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-11-09 20:16]

2008-07-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file)
WebBrowser-{DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file)
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\default.iha\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.gmx.de
FF -: plugin - c:\progra~1\MOZILL~1\plugins\np32dsw.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npclntax.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npnul32.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\NPOFFICE.DLL
FF -: plugin - c:\progra~1\MOZILL~1\plugins\nppdf32.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin2.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin3.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin4.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin5.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin6.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin7.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin8.dll
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJPI142.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPOJI610.dll
FF -: plugin - c:\programme\QuickTime\Plugins\npqtplugin8.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 14:53:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\9846545561.CPX 115200 bytes executable
c:\windows\system32\98465455621.cpx 352 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\ahead\InCD\InCDsrv.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\MsPMSPSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 14:57:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-25 13:57:35

Vor Suchlauf: 43 Verzeichnis(se), 34.706.333.696 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noguiboot  /NoExecute=OptIn

246	--- E O F ---	2008-11-25 00:13:01
         
dann die sdfix report datei:
Code:
ATTFilter
SDFix: Version 1.240 
Run by Florian on 25.11.2008 at 15:26

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

C:\WINDOWS\system32\TFTP3360 - Deleted
C:\WINDOWS\system32\hook.dll - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 15:34:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:61993404
"s2"=dword:56032263
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7b,53,a9,b5,ce,64,d5,0b,65,81,3c,81,17,44,54,b9,35,92,d1,46,c9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7b,53,a9,b5,ce,64,d5,0b,65,81,3c,81,17,44,54,b9,35,92,d1,46,c9,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000141

scanning hidden files ...

C:\WINDOWS\system32\9846545561.CPX 115200 bytes executable
C:\WINDOWS\system32\98465455621.cpx 352 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"="C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 22 Oct 2008       949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008     1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Tue 16 Sep 2008     1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008       962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"
Mon 24 Nov 2008             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!
         
__________________

Alt 25.11.2008, 15:47   #4
Flou
 
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



und zu guter letzt die neue HJT logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:59, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Raptor-Gaming\RGM2\Panel.exe
C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Dokumente und Einstellungen\abc\Desktop\Anderes\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe
O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128376338343
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218480120
O17 - HKLM\System\CCS\Services\Tcpip\..\{E54899DC-7123-4417-B36A-033079C78E45}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 7611 bytes
         
die fehlermeldungen kommen jedoch immernoch, sowohl beim neustart von windows sowie beim starten von mozilla!!

Alt 25.11.2008, 16:07   #5
Silent sharK
 

Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



Ich weiß, dass die Fehlermeldungen noch kommen.

Zu den Logs:

Zitat:
C:\WINDOWS\system32\9846545561.CPX 115200 bytes executable
C:\WINDOWS\system32\98465455621.cpx 352 bytes
Der mehr oder weniger schöne Silentbanker.
Dessen Registryeintrag:
Zitat:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"wave1"= 9846545561.CPX
"vidc.ffds"= ffdshow.ax
===========
Ich würde dir raten, das System zu plätten und eine Neuinstallation des OS durchzuführen.
Warum das ganze, kannst du in meiner Sig nachlesen, zum Thema Silentbanker.
Zudem noch:
  • Passwörter und Zugangsdaten von einem sauberen System aus ändern
  • Wenn Onlinebanking betrieben wurde, Konto auf ungewöhnliche Transfervorgänge überprüfen
  • Evtl. TAN-Liste sperren lassen

Wie kam es zur Infektion?
Emailanhang geöffnet?
Datei heruntergeladen und ausgeführt?

__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 25.11.2008, 16:43   #6
Flou
 
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



dacht ich mir fast schon...
aber wird wohl das beste sein... lauf ich gefahr, das neu aufgesetzte system zu infizieren, wenn ich die musik und bilder rüberzieh oder sollt des kein problem sein!?!
danke auf jeden fall für die hilfe

Alt 25.11.2008, 16:45   #7
Silent sharK
 

Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



Zitat:
lauf ich gefahr, das neu aufgesetzte system zu infizieren, wenn ich die musik und bilder rüberzieh oder sollt des kein problem sein!?!
Sollte eigentlich kein Problem sein.
Wenn du aber kein Risiko eingehen willst, kann ich dir eine Anleitung für linuxbasierende Datensicherung geben.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 25.11.2008, 16:48   #8
Flou
 
Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



ja wenns nich allzu kompliziert wird und ma des auch als laie versteht, sehr gerne

Alt 25.11.2008, 16:49   #9
Silent sharK
 

Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Standard

Trojaner TR/Obfuscated.vji.1 kommt immer wieder!



Denke schon,

hier bitte

Knoppix Live-CD - Erstellen und Handhabung

Live CD erstellen/brennen:
  • Lade Dir als allererstes Knoppix als .iso-Datei herunter => Klick
  • Nun brennst Du diese Datei auf eine leere CD-R (Wichtig: Die Datei muss als Image gebrannt werden => Imagebrennfunktion nutzen!).

Von der Live CD aus booten:
  • Lege die CD in dein Laufwerk ein und starte den Rechner neu (vergesse nicht, davor deine externe Datenträger anzuschließen um deine Daten dann später zu sichern!)
  • Wenn Dein Rechner neubootet, startet Knoppix normalerweise von alleine. Wenn dies nicht der Fall ist, ändere die Bootreihenfolge im BIOS (Wie mache ich das?)
  • Du wirst von Knoppix aufgefordert, Enter zu drücken. Tue dies, um es zu starten.

Bedienung:

Nun siehst Du den Knoppix Desktop.
Deine Festplatten und zuvor angeschlossene Datenträger werden dort übrigens auch angezeigt.
Dies sieht folgendermaßen aus:


Dateien sichern:

Durch einen Doppelklick auf die Icons kannst Du auf das entsprechende Medium zugreifen und deren beinhaltende Dateien verwalten.
Per Drag&Drop verschiebst Du nun einfach die gewünschten Dateien von der Festplatte auf den gewünschten Datenträger:


(Durch die Methode kannst du auch Mails, Firefoxeinstellungen, Addressbücher, Backups, etc. sichern.)

Nach dem Sichern:

Wenn Du deine Sicherung beendet hast, kannst du Knoppix verlassen, indem du auf das Knoppix-Symbol (Links in der Startleiste) gehst und auf "Abmelden" klickst.

Hinweis:
Sichere Dir alle persönlich wichtigen Daten! Nicht gesicherte Daten gehen beim Formatieren der Festplatten verloren. Daten können nicht auf der CD gesichert werden.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu Trojaner TR/Obfuscated.vji.1 kommt immer wieder!
adobe, antivir, avira, bho, desktop, downloader, einstellungen, ellung, excel, explorer, firefox, handel, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, infizierte, internet, internet explorer, kommt immer wieder, mozilla, photoshop, problem, rundll, software, trojaner, windows, windows xp, wlan



Ähnliche Themen: Trojaner TR/Obfuscated.vji.1 kommt immer wieder!


  1. Trash.Gen Trojaner eingefangen, kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 15.01.2015 (19)
  2. Trojaner pup.Optimal kommt immer wieder zurück!
    Log-Analyse und Auswertung - 26.03.2014 (3)
  3. Auf Webspace JS/Kryptik.ALA Trojaner kommt immer wieder
    Log-Analyse und Auswertung - 02.06.2013 (3)
  4. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (3)
  5. Bundespolizei Trojaner kommt immer wieder
    Log-Analyse und Auswertung - 25.03.2012 (1)
  6. Trojaner in Frontpage kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (17)
  7. Trojaner kommt immer wieder
    Log-Analyse und Auswertung - 05.08.2010 (19)
  8. Habe einen Trojaner der immer wieder kommt
    Plagegeister aller Art und deren Bekämpfung - 07.07.2009 (2)
  9. Trojaner kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 02.06.2009 (1)
  10. Trojaner kommt nach PC strart immer wieder!
    Log-Analyse und Auswertung - 09.04.2009 (4)
  11. Brauche Hilfe - TR/Obfuscated.GX.2346 kommt immer wieder
    Log-Analyse und Auswertung - 14.10.2008 (6)
  12. Trojaner kommt immer wieder...
    Log-Analyse und Auswertung - 24.08.2008 (11)
  13. Trojaner kommt immer wieder!? / Agent.3200.A
    Plagegeister aller Art und deren Bekämpfung - 19.01.2008 (6)
  14. NOAdware meldet Trojaner.Skintrim kommt nach Neustart immer wieder
    Log-Analyse und Auswertung - 30.08.2007 (1)
  15. Trojaner, kommt immer wieder...!
    Plagegeister aller Art und deren Bekämpfung - 14.01.2007 (3)
  16. Trojaner kommt immer wieder zurück
    Plagegeister aller Art und deren Bekämpfung - 06.12.2006 (17)
  17. Argh!!! Der Trojaner kommt immer wieder!
    Log-Analyse und Auswertung - 30.05.2005 (5)

Zum Thema Trojaner TR/Obfuscated.vji.1 kommt immer wieder! - Hallo Leute, habe seit ein paar Tagen das Problem, dass Antivir in unregelmäßigen Abständen von ca 30min ständig diesen Trojaner findet. Löschen/Quarantäne oder Zugriff verweigern brachte bisher keinen Erfolg. Da - Trojaner TR/Obfuscated.vji.1 kommt immer wieder!...
Archiv
Du betrachtest: Trojaner TR/Obfuscated.vji.1 kommt immer wieder! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.