| |
| |||||||
Log-Analyse und Auswertung: Zlob, Virtumonde - Trojaner lassen sich nicht löschenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
16.12.2008, 16:48
| #1 |
| |  Zlob, Virtumonde - Trojaner lassen sich nicht löschen Hallo an Alle, ich habe seit ein paar Tagen einige Trojaner, wie Virtumonde, Zlob.downloader, win32 rootkit-gen, dyfuca und einiges an Spyware auf meinem Laptop, wobei sich manche nicht löschen lassen. Am ersten Tag oder gleich nachdem mein Avast einen Wurm gemeldet hatte, wurden lauter windows von IE aufgemacht und mein Computer lies sich erstmal auch nicht mehr hochfahren also er blieb nach dem Windows XP logo haengen und ich hatte nur einen schwarzen Bildschirm. Bin dann auf F8 und habe im letzten funktionierenden Modus hochgeladen, was dann geklappt hat. Dann habe ich erstmal gegoogelt und einige Programme ausgeführt die vorgeschlagen wurden als erstes mein SuperAntiSpyware, dann Spybot, dann Malwarebytes. So jetzt läuft mein Computer wieder ganz gut keine Internetseiten die von selbst aufgehen und langsam läuft mein Computer auch nicht eigentlich läuft er so wie immer... aber Spybot und Malwarebytes finden immer noch die Trojaner und Spyware. Dann habe ich wie hier auf anderen threads empfohlen, CCleaner und Combofix im safemode laufen lassen. Aber ist immer noch alles da. Jetzt hier mal das HJT log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:53:29, on 16.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\Programme\Toshiba\Windows Utilities\Hotkey.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe C:\Programme\Creative\Shared Files\CAMTRAY.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :0 O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ddoctorv2] "C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe" /P ddoctorv2 O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://w*w.businessonline.t-online.de O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://w*w.snapfish.com/SnapfishActivia.cab O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - h**p://picasaweb.google.de/s/v/30.62/uploader2.cab O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - h**p://lads.myspace.com/upload/MySpaceUploader1006.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://mysoldiermy1love.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - h**p://www.slide.com/uploader/SlideImageUploader.cab O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - h**p://upload.facebook.com/controls/FacebookPhotoUploader3.cab O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - h**p://meinefamilie.myphotoalbum.com/EasyUploadTool.cab O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.lokalisten.de/iup/ImageUploader4.cab O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - h**p://www.nick.com/common/groove/gx/GrooveAX27.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-d5f0a3992c2a1ca1.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: ypubsj.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SupportSoft Sprocket Service (ddoctorv2) (sprtsvc_ddoctorv2) - SupportSoft, Inc. - C:\Programme\Comcast\Desktop Doctor\bin\sprtsvc.exe O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Deployment\Anniversary.html -- End of file - 9917 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.31
Database version: 1456
Windows 5.1.2600 Service Pack 3
16.12.2008 10:30:54
mbam-log-2008-12-16 (10-30-40).txt
Scan type: Full Scan (C:\|)
Objects scanned: 125052
Time elapsed: 59 minute(s), 30 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{86227d9c-0efe-4f8a-aa55-30386a3f5686} (Adware.ISTBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
-proud.mommie- |
|
16.12.2008, 17:09
| #2 |
    | Zlob, Virtumonde - Trojaner lassen sich nicht löschen Update MBAM und scanne nochmal
__________________ |
|
16.12.2008, 17:22
| #3 |
| | Zlob, Virtumonde - Trojaner lassen sich nicht löschen Updated MBAM, leider beim scannen gleiches Resultat, wieder die 5 registry keys infected.
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.31
Database version: 1506
Windows 5.1.2600 Service Pack 3
16.12.2008 11:19:44
mbam-log-2008-12-16 (11-19-36).txt
Scan type: Quick Scan
Objects scanned: 51776
Time elapsed: 6 minute(s), 20 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{86227d9c-0efe-4f8a-aa55-30386a3f5686} (Adware.ISTBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
|
|
16.12.2008, 17:24
| #4 |
| | Zlob, Virtumonde - Trojaner lassen sich nicht löschen sorry das kam jetzt leider doppelt, habe die 2 Antwort dann raus genommen. |
|
16.12.2008, 17:43
| #5 |
| | Zlob, Virtumonde - Trojaner lassen sich nicht löschen Hast du sie durch MBAM auch entfernen lassen? SDFix für Windows 2000 und Windows XP Download link 1 SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread Scanne danach in Normal Modus via SDFix mit Norman Malwarescanner  |
|
16.12.2008, 20:37
| #6 |
| | Zlob, Virtumonde - Trojaner lassen sich nicht löschen Hallo, hier der Report vom SDFix Der Norman scan läuft noch schaut so aus als ob das was dauert, werde dann die Ergebnisse posten. Danke Dir! Code:
ATTFilter SDFix: Version 1.240
Run by Doro on 16.12.2008 at 13:33
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
AUTOEXEC.NT Restored from backups
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 13:41:05
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\BuddyW\\BuddyW.exe"="C:\\Programme\\BuddyW\\BuddyW.exe:*:Enabled:BuddyW"
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"="C:\\Programme\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
Files with Hidden Attributes :
Sat 26 Apr 2008 72 ..SH. --- "C:\WINDOWS\SFA56C7BD.tmp"
Wed 15 Oct 2008 633,632 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Tue 17 Oct 2006 622,080 A.SH. --- "C:\Programme\Internet Explorer\SET55F4.tmp"
Sun 13 Apr 2008 1,695,232 A.SH. --- "C:\Programme\Messenger\msmsgs.exe"
Sun 13 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Sun 31 Jul 2005 56 ..SHR --- "C:\WINDOWS\system32\BF4A0DBFE2.sys"
Sun 31 Jul 2005 3,766 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sun 17 Apr 2005 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 19 Jul 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv03.tmp"
Sun 17 Apr 2005 4,348 ...H. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sun 17 Apr 2005 20 A..H. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Sun 17 Apr 2005 400 A.SH. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Finished!
|
|
17.12.2008, 13:45
| #7 |
| | Zlob, Virtumonde - Trojaner lassen sich nicht löschen Hier ist der Report von Norman und zu Deiner Frage ich habe MBAM schon immer die gefundenen Sachen fixen lassen, hat halt immer gesagt es wird beim reboot gelöscht. Code:
ATTFilter Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/12/16 05:28:45
Norman Scanner Engine Version: 5.93.01
Nvcbin.def Version: 5.93.00, Date: 2008/12/16 05:28:45, Variants: 2316442
Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3
Logged on user: ******\***
Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "ypubsj.dll" -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
Scan started: 16/12/2008 14:03:55
Scanning running processes and process memory...
Number of processes/threads found: 2109
Number of processes/threads scanned: 2109
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 1m 38s
Scanning file system...
Scanning: C:\*.*
C:\Dokumente und Einstellungen\*******\Desktop\SmitfraudFix.exe (Infected with IEDefender.E.dropper)
Deleted file
C:\Dokumente und Einstellungen\Doro\Desktop\SmitfraudFix\Agent.OMZ.Fix.exe (Infected with W32/Zlob.gen123)
Deleted file
C:\Dokumente und Einstellungen\Doro\Desktop\SmitfraudFix\VACFix.exe (Infected with W32/Smalldrp.APNN)
Deleted file
C:\Dokumente und Einstellungen\Doro\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\538uob3x.default\Cache\63329BDCd01 (Infected with IEDefender.E.dropper)
Deleted file
C:\Qoobox\Quarantine\C\WINDOWS\system32\VACFix.exe.vir (Infected with W32/Smalldrp.APNN)
Deleted file
C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1245\A0443807.sys (Infected with W32/Agent.HHSF)
Deleted file
C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445463.exe (Infected with IEDefender.E.dropper)
Deleted file
C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445464.exe (Infected with W32/Zlob.gen123)
Deleted file
C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445465.exe (Infected with W32/Smalldrp.APNN)
Deleted file
C:\WINDOWS\system32\Agent.OMZ.Fix.exe (Infected with W32/Zlob.gen123)
Deleted file
Scanning: c:\System Volume Information\*.*
c:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445466.exe (Infected with W32/Zlob.gen123)
Deleted file
Running post-scan cleanup routine:
Number of files found: 172037
Number of archives unpacked: 8833
Number of files scanned: 171952
Number of files not scanned: 85
Number of files skipped due to exclude list: 0
Number of infected files found: 11
Number of infected files repaired/deleted: 11
Number of infections removed: 11
Total scanning time: 1h 2m 41s
Lg, proud.mommie |
|
| Themen zu Zlob, Virtumonde - Trojaner lassen sich nicht löschen |
| adobe, adware.istbar, antivirus, avast!, bho, combofix, computer, desktop, ebay, einstellungen, hijack, hijackthis, hkus\s-1-5-18, internet explorer, langsam, launch, logfile, malwarebytes anti-malware, malwarebytes' anti-malware, object, plug-in, software, spyware, superantispyware, symantec, system, trojaner, virtumonde, von selbst, windows, windows xp, windows xp sp3, wrapper, wurm, xp sp3, zlob |
Hybrid-Darstellung
