Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
InternetGameBox Trojaner?!

InternetGameBox Trojaner?!


Log-Analyse und Auswertung: InternetGameBox Trojaner?!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.01.2009, 18:20   #1
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!


Hier ist schon mal das HijackThis log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:00, on 02.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5905 bytes



Die anderen kommen gleich/später

LG BamBoocha

Alt 02.01.2009, 18:44   #2
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!


... Soll ich eigentlich alle Funde, die infiziert sind, löschen? (Ich weiß dumme Frage :P)
__________________
Alt 03.01.2009, 16:04   #3
undoreal
/// AVZ-Toolkit Guru
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!


Huhu. Kurzer Einschub:

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Dopperlklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Wenn da nichts Auffälliges drin ist kann Crusader gerne weitermachen..
__________________
__________________
Alt 06.01.2009, 15:47   #4
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!


Hi undoreal!
Hab bin deinen Anweisungen gefolgt:


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-06 15:43:08
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT B06B11E4 ZwCreateThread
SSDT B06B11D0 ZwOpenProcess
SSDT B06B11D5 ZwOpenThread
SSDT \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB0684F20]
SSDT B06B11DA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B

---- User code sections - GMER 1.0.14 ----

.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 00FE200E
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 00FE1DAF
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 00FE1CF2
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 00FE191B
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 05E8200E
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 05E81DAF
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 05E81CF2
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 05E8191B
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0139200E
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01391DAF
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01391CF2
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0139191B
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0128200E
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01281DAF
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01281CF2
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0128191B
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0260200E
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 02601DAF
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 02601CF2
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0260191B
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0100200E
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01001DAF
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01001CF2
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0100191B
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 01F6200E
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01F61DAF
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01F61CF2
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 01F6191B
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01F63642
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!send 71A14C27 5 Bytes JMP 01F63161
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01F63352
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B

---- Processes - GMER 1.0.14 ----

ok.. da der Report zu lang war kommt gleich der zweite Teil

Alt 06.01.2009, 15:48   #5
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!


So nun der 2. Teil:



Process C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) 328
Library C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) @ C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe [328] 0x00400000

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@SlowInfoCache 0x28 0x02 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@Changed 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@DisplayName Favorit
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@UninstallString "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" -uninstall
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRemove 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoModify 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRepair 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@nnuvce "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" nnuvce

---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.dat 3604 bytes
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.exe 233472 bytes executable
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_nav.dat 253052 bytes
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_navps.dat 1173 bytes
File C:\WINDOWS\Prefetch\NNUVCE.EXE-0CE9C8A4.pf 33952 bytes

---- EOF - GMER 1.0.14 ----


Wurd was gefunden! Hoffentlich ncihts Schlimmes?!

LG BamBoocha


Alt 06.01.2009, 17:16   #6
BamBoocha
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!


Also zu Crusader:
Hab ESET Online Scan durchlaufen lassen.. Da stand hat keine "Threats" gefunden, habe aber leider keine Button gefunden der zum Report führt. (Habe diesen Scan vor ein paar Tagen abbrechen müssen [knapp vor der hälfte] und bei dem Scan hatte er einen "Threat" gefunden. Konnte diesen ja nicht löschen .. wurde aber trozdem beim 2. Scan nicht mehr gefunden ??!!)

Nun zum Panda ActiveScan .. Hier ist der log. :

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-01-02 20:14:11
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00114578 Joke/Schock Jokes No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Eigene Dateien\ICQ Lite\209402368\KaKa 04_420239414\ich.exe
00123075 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whAgent.inf]
00124483 Adware/STIEBar Adware No 0 No No C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\0catyellowpages.exe[STIEbar.dll]
00145758 Cookie/Mysearch TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mysearch[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adverserve[1].txt
00208815 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whieshm.dll]
00497354 Application/MyWebSearch HackTools No 0 Yes No C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location vU
;===================================================================================================================================================== ==============================
No C:\Programme\AWS\WxBugSetup60b6.04.0.9m.EXE vU
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description vU
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

LG BamBoocha

Alt 06.01.2009, 19:59   #7
undoreal
/// AVZ-Toolkit Guru
 
InternetGameBox Trojaner?! - Standard

InternetGameBox Trojaner?!


Volltreffer.

Sag mal, hast du Blacklight die Funde nicht beheben lassen?




Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Setzte den Haken bei "Automatically disable any Rootkits found.
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe

Folders to delete:
C:\Programme\ICQ6Toolbar
C:\Programme\AskSBar
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\nnuvce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @nnuvce "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" nnuvce

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !





Dann startest du den Rechner im normalen Modus neu.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Antwort

Themen zu InternetGameBox Trojaner?!
adobe, antivir, antivirus, avira, bho, excel, file, firefox, google, hijack, hkus\s-1-5-18, internet explorer, malwarebytes' anti-malware, microsoft, mozilla, plug-in, popups, programm, programme, software, stick, surfen, system, trojaner, trojaner?, trojaner?!, windows, wlan, öffnet


« Kein Admin? PopUp im Netz....Terror | PC wird langsamer »


Ähnliche Themen: InternetGameBox Trojaner?!


  1. Hijack log nach internetgamebox
    Log-Analyse und Auswertung - 15.02.2009 (0)
  2. Internetgamebox Trojaner?!
    Plagegeister aller Art und deren Bekämpfung - 24.01.2009 (5)
  3. internetgamebox =(
    Log-Analyse und Auswertung - 16.01.2009 (6)
  4. Internetgamebox(Malware) auf dem Rechner
    Mülltonne - 10.11.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema InternetGameBox Trojaner?! - Hier ist schon mal das HijackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:19:00, on 02.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) - InternetGameBox Trojaner?!...
Archiv
Du betrachtest: InternetGameBox Trojaner?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131