Brauche Hilfe bei Trojanerbefall

schrauber · 08.01.2009, 20:16

weglassen, weitermachen

vik66 · 08.01.2009, 20:19

Zitat:

Zitat von schrauber26

weglassen, weitermachen

aye, aye !

ich mache also weiter mit Combofix und poste dann das Log ...

vik66 · 08.01.2009, 21:14

Sodele, hier isses denn:

Code:

ATTFilter

ComboFix 09-01-08.01 - xxxx 2009-01-08 20:32:29.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.511.317 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxxx\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\bjeycqhk.dll
c:\windows\system32\cxxvdx.dll
c:\windows\system32\eepaxnil.dll
c:\windows\system32\hqfsis.dll
c:\windows\system32\jfiuai.dll
c:\windows\system32\jjodcdhm.dll
c:\windows\system32\khqcyejb.ini
c:\windows\system32\ksrsvejt.ini
c:\windows\system32\mmiedliv.dll
c:\windows\system32\mshedaup.dll
c:\windows\system32\noWDeMoq.ini
c:\windows\system32\noWDeMoq.ini2
c:\windows\system32\puadehsm.ini
c:\windows\system32\pxzpbc.dll
c:\windows\system32\svdmiz.dll
c:\windows\system32\tjevsrsk.dll
c:\windows\system32\ukooqwcv.dll
c:\windows\system32\vwrclnat.ini
c:\windows\system32\xemtcjxo.ini
c:\windows\system32\xrndwlqm.ini
c:\windows\system32\yhdetpkn.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-12-08 bis 2009-01-08  ))))))))))))))))))))))))))))))
.

2009-01-08 19:48 . 2009-01-08 19:48	<DIR>	d--------	c:\programme\CCleaner
2009-01-08 14:55 . 2009-01-08 14:55	<DIR>	d--------	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-08 15:28	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-01-08 14:54 . 2009-01-08 14:54	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-04 18:38	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-08 14:54 . 2009-01-04 18:38	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-01-08 14:43 . 2009-01-08 14:43	<DIR>	d--------	c:\programme\Trend Micro
2009-01-06 19:40 . 2009-01-06 19:40	45,568	--a------	c:\windows\system32\ddcYoPJC.dll
2009-01-05 19:55 . 2009-01-05 20:11	<DIR>	d--------	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Winamp
2009-01-05 17:11 . 2009-01-05 17:14	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-05 14:48 . 2009-01-05 14:51	<DIR>	d--------	c:\windows\system32\NtmsData
2008-12-31 15:33 . 2009-01-08 10:29	116	--a------	c:\windows\NeroDigital.ini
2008-12-30 16:28 . 2008-12-30 16:37	<DIR>	d--------	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\vlc
2008-12-30 16:25 . 2008-12-30 16:25	<DIR>	d--------	c:\programme\VideoLAN
2008-12-30 16:05 . 2003-03-09 00:32	571,904	--a------	c:\windows\system32\WinGrabEngine.dll
2008-12-29 06:22 . 2008-10-16 14:06	268,648	--a------	c:\windows\system32\mucltui.dll
2008-12-29 06:22 . 2008-10-16 14:06	208,744	--a------	c:\windows\system32\muweb.dll
2008-12-29 06:22 . 2008-10-16 14:06	27,496	--a------	c:\windows\system32\mucltui.dll.mui
2008-12-29 06:18 . 2008-12-29 06:18	268	--ah-----	C:\sqmdata00.sqm
2008-12-29 06:18 . 2008-12-29 06:18	244	--ah-----	C:\sqmnoopt00.sqm
2008-12-28 16:39 . 2008-12-28 16:39	<DIR>	d--------	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Ahead
2008-12-28 16:19 . 2008-12-31 13:54	<DIR>	d--------	c:\dokumente und einstellungen\xxxx\Contacts
2008-12-28 16:15 . 2008-12-28 16:15	<DIR>	d----c---	c:\windows\system32\DRVSTORE
2008-12-28 16:10 . 2008-12-28 16:14	<DIR>	d--------	c:\programme\Windows Live
2008-12-28 16:10 . 2008-12-28 16:13	<DIR>	d--hsc---	c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-12-28 16:09 . 2008-12-28 16:09	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-12-28 14:47 . 2008-12-28 14:47	2,331,264	--a------	c:\windows\system32\TUKernel.exe
2008-12-28 11:55 . 2008-12-28 11:55	603,904	--a------	c:\windows\system32\TUProgSt.exe
2008-12-28 11:55 . 2008-12-28 11:55	360,192	--a------	c:\windows\system32\TuneUpDefragService.exe
2008-12-28 11:55 . 2008-12-11 13:31	27,904	--a------	c:\windows\system32\uxtuneup.dll
2008-12-28 11:54 . 2008-12-28 11:54	<DIR>	d--------	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\TuneUp Software
2008-12-28 11:53 . 2008-12-28 11:55	<DIR>	d--------	c:\programme\TuneUp Utilities 2009
2008-12-28 11:53 . 2008-12-28 11:53	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-28 11:52 . 2008-12-28 11:52	<DIR>	d--hs----	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-28 11:10 . 2008-12-05 18:48	499,712	--a------	c:\windows\system32\msvcp71.dll
2008-12-28 11:10 . 2008-12-05 18:48	348,160	--a------	c:\windows\system32\msvcr71.dll
2008-12-28 11:09 . 2008-12-28 11:12	<DIR>	d--------	c:\windows\system32\Adobe
2008-12-28 10:52 . 2008-12-28 10:52	<DIR>	d--------	c:\programme\NOS
2008-12-28 10:52 . 2008-12-28 11:02	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-12-28 08:54 . 2008-12-28 09:00	45	--a------	C:\TEST.XML
2008-12-28 08:25 . 2008-12-28 08:30	<DIR>	d--------	c:\windows\system32\drivers\UMDF
2008-12-28 08:25 . 2008-12-28 07:47	<DIR>	d--------	c:\windows\system32\de-de
2008-12-28 08:25 . 2008-12-28 08:29	<DIR>	d--------	c:\windows\system32\de
2008-12-28 08:25 . 2008-12-28 08:25	<DIR>	d--------	c:\windows\Provisioning
2008-12-28 08:25 . 2008-12-28 08:30	<DIR>	d--------	c:\windows\PeerNet
2008-12-28 08:25 . 2008-12-28 08:31	<DIR>	d--------	c:\windows\L2Schemas
2008-12-28 08:25 . 2008-12-28 08:28	<DIR>	d--------	c:\windows\ehome
2008-12-28 08:05 . 2008-12-28 08:05	<DIR>	d---s----	c:\windows\system32\Microsoft
2008-12-28 07:59 . 2008-05-27 18:23	765,952	-----c---	c:\windows\system32\dllcache\vgx.dll
2008-12-28 07:59 . 2007-10-05 15:42	23,856	--a------	c:\windows\system32\spupdsvc.exe
2008-12-28 07:55 . 2008-12-28 07:55	749	-rah-----	c:\windows\WindowsShell.Manifest
2008-12-28 07:55 . 2008-12-28 07:55	749	-rah-----	c:\windows\system32\wuaucpl.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55	749	-rah-----	c:\windows\system32\sapi.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55	749	-rah-----	c:\windows\system32\nwc.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55	749	-rah-----	c:\windows\system32\ncpa.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55	488	-rah-----	c:\windows\system32\logonui.exe.manifest
2008-12-28 07:52 . 2008-04-14 14:00	129,792	--a------	c:\windows\system32\drivers\fltMgr.sys
2008-12-28 07:52 . 2008-04-14 14:00	23,040	--a------	c:\windows\system32\fltMc.exe
2008-12-28 07:52 . 2008-04-14 14:00	16,896	--a------	c:\windows\system32\fltlib.dll
2008-12-28 07:49 . 2008-12-28 07:49	<DIR>	d--------	c:\programme\Windows Media Connect 2
2008-12-28 07:47 . 2008-04-14 14:00	290,304	--a------	c:\windows\system32\rhttpaa.dll
2008-12-28 07:47 . 2008-04-14 14:00	136,192	--a------	c:\windows\system32\aaclient.dll
2008-12-28 07:47 . 2008-04-14 14:00	53,248	--a------	c:\windows\system32\tsgqec.dll
2008-12-28 07:39 . 2001-08-17 11:12	19,017	--a------	c:\windows\system32\drivers\RTL8029.sys
2008-12-28 07:36 . 2008-12-28 07:36	4,444	--a------	c:\windows\system32\pid.PNF
2008-12-28 07:35 . 2008-04-14 14:00	66,082	--a------	c:\windows\system32\c_28603.nls
2008-12-28 07:35 . 2008-04-14 14:00	24,661	--a------	c:\windows\system32\spxcoins.dll
2008-12-28 07:35 . 2008-04-14 14:00	13,824	--a------	c:\windows\system32\irclass.dll
2008-12-26 11:32 . 2005-09-01 12:03	127,488	---------	c:\windows\system32\drivers\imagesrv.sys
2008-12-26 11:32 . 2005-09-01 12:03	5,888	---------	c:\windows\system32\drivers\imagedrv.sys
2008-12-26 11:31 . 2008-12-26 11:31	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Ahead
2008-12-26 11:31 . 2008-12-26 11:31	<DIR>	d--------	c:\programme\Ahead
2008-12-26 11:31 . 2004-07-26 17:16	1,568,768	---------	c:\windows\system32\ImagX7.dll
2008-12-26 11:31 . 2004-07-26 17:16	476,320	---------	c:\windows\system32\ImagXpr7.dll
2008-12-26 11:31 . 2004-07-26 17:16	471,040	---------	c:\windows\system32\ImagXRA7.dll
2008-12-26 11:31 . 2004-07-09 09:43	364,544	---------	c:\windows\system32\TwnLib4.dll
2008-12-26 11:31 . 2004-07-26 17:16	262,144	---------	c:\windows\system32\ImagXR7.dll
2008-12-26 11:31 . 2001-07-09 11:50	155,648	--a------	c:\windows\system32\NeroCheck.exe
2008-12-26 11:31 . 2000-06-26 11:45	106,496	--a------	c:\windows\system32\TwnLib20.dll
2008-12-23 11:39 . 2008-12-23 11:39	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-12-23 11:35 . 2008-12-28 08:04	<DIR>	d--------	c:\windows\nview
2008-12-23 11:35 . 2005-04-01 16:16	176,128	--a------	c:\windows\system32\nvudisp.exe
2008-12-23 11:35 . 2005-04-01 16:16	14,435	--a------	c:\windows\system32\nvdisp.nvu
2008-12-23 11:33 . 2008-12-23 11:33	<DIR>	d--------	C:\NVIDIA
2008-12-21 03:22 . 2008-12-25 02:34	1,187	--a------	C:\ignore.list
2008-12-17 23:37 . 2008-12-17 23:38	<DIR>	d--------	c:\programme\FlashFXP
2008-12-17 23:37 . 2008-12-17 23:37	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-12-17 21:18 . 2008-12-17 23:12	<DIR>	d--------	c:\programme\Bouquet Wizard
2008-12-17 18:36 . 2008-12-17 18:36	<DIR>	d--------	c:\programme\Shareaza
2008-12-17 11:12 . 2008-12-17 11:12	<DIR>	d--------	c:\programme\Avira
2008-12-17 11:12 . 2008-12-17 11:12	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-17 09:31 . 2008-12-17 09:31	<DIR>	d--------	c:\dokumente und einstellungen\xxxx\AVM_Driver
2008-12-10 19:32 . 2008-12-10 19:32	286,720	--a------	c:\windows\system32\gdi32.dll
2008-12-10 19:32 . 2008-12-10 19:32	247,326	--a------	c:\windows\system32\strmdll.dll
2008-12-10 19:30 . 2008-12-10 19:30	1,847,040	--a------	c:\windows\system32\win32k.sys
2008-12-10 19:30 . 2008-12-10 19:30	1,379,840	--a------	c:\windows\system32\msxml6.dll
2008-12-10 19:30 . 2008-12-10 19:30	1,106,944	--a------	c:\windows\system32\msxml3.dll
2008-12-10 19:30 . 2008-12-10 19:30	455,936	--a------	c:\windows\system32\drivers\mrxsmb.sys
2008-12-10 18:33 . 2008-12-10 18:33	1,661,440	--a------	c:\windows\system32\WMPEncEn.dll
2008-12-10 18:31 . 2008-12-10 18:31	1,571,840	--a------	c:\windows\system32\sfcfiles.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 10:00	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-12-28 06:53	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-12-10 18:35	86,073	----a-w	c:\windows\system32\usrfaxa.dll
2008-12-10 18:31	938,496	----a-w	c:\windows\system32\wmnetmgr.dll
2008-12-10 17:34	991,744	----a-w	c:\windows\system32\drmv2clt.dll
2008-12-10 17:33	8,704	----a-w	c:\windows\system32\wdfmgr.exe
2008-12-10 17:31	78,336	----a-w	c:\windows\system32\ieencode.dll
2008-12-10 17:31	71,680	----a-w	c:\windows\system32\admparse.dll
2008-12-10 17:31	55,296	----a-w	c:\windows\system32\iesetup.dll
2008-12-10 17:31	48,128	----a-w	c:\windows\system32\mshtmler.dll
2008-12-10 17:31	45,568	----a-w	c:\windows\system32\mshta.exe
2008-12-10 17:31	40,960	----a-w	c:\windows\system32\licmgr10.dll
2008-12-10 17:31	36,352	----a-w	c:\windows\system32\imgutil.dll
2008-12-10 17:31	26,112	----a-w	c:\windows\system32\idndl.dll
2008-12-10 17:31	24,576	----a-w	c:\windows\system32\nlsdl.dll
2008-12-10 17:31	23,552	----a-w	c:\windows\system32\normaliz.dll
2008-12-10 17:31	17,408	----a-w	c:\windows\system32\corpol.dll
2008-12-10 17:31	156,160	----a-w	c:\windows\system32\msls31.dll
2008-12-10 17:31	1,005,056	----a-w	c:\windows\system32\syssetup.dll
2008-12-06 22:12	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-06 22:12	---------	d-----w	c:\programme\Logitech
2008-12-06 22:12	---------	d-----w	c:\programme\Gemeinsame Dateien\Logitech
2008-12-06 22:12	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2008-12-06 07:24	---------	d-----w	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Logitech
2008-12-06 05:37	---------	d-----w	c:\programme\microsoft frontpage
2008-12-06 05:33	---------	d-----w	c:\programme\Online-Dienste
2008-10-16 21:04	826,368	----a-w	c:\windows\system32\wininet.dll
2008-10-16 09:43	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 09:43	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 09:42	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 09:42	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 09:39	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 09:39	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 09:39	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 09:38	34,328	----a-w	c:\windows\system32\wups.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-04-01 5562368]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2008-12-06 573440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=jfiuai.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2002-11-23 02:15 631362 c:\programme\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE c:\windows\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=


R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-17 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-17 45376]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-28 603904]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-28 33752]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-08 c:\windows\Tasks\rtycnivz.job
- c:\windows\system32\rundll32.exe [2008-04-14 14:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{306117df-d814-4a59-8aa8-1f457a2cabe9} - c:\windows\system32\jfiuai.dll
BHO-{86049858-12AC-4DC3-BC06-F9493527E8C4} - c:\windows\system32\qoMeDWon.dll
Notify-cbXQjhhf - cbXQjhhf.dll
MSConfigStartUp-STYLEXP - c:\programme\TGTSoft\StyleXP\StyleXP.exe


.
------- Zusätzlicher Suchlauf -------
.
IE: Mit &Google suchen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
FF - ProfilePath - c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\zrst0mpp.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.msn.com/

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-08 20:38:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Logitech\SetPoint\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-08 20:42:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-08 19:42:19

Vor Suchlauf: 434.139.136 Bytes frei
Nach Suchlauf: 502,824,960 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=OZOY5N /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=OZOY5N-BAK

274	--- E O F ---	2008-12-28 08:44:07

lg, vik

schrauber · 08.01.2009, 22:34

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

File::
c:\windows\system32\ddcYoPJC.dll
C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
c:\windows\system32\c_28603.nls
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

==========

malwarebytes updaten, komplettscan, funde löschen lassen, log posten.

==========

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

===

poste ein frisches hjt-logfile.

vik66 · 08.01.2009, 22:37

okay, ich mache wie von dir beschrieben weiter und poste dann wieder...

thx a lot so far!

vik

vik66 · 08.01.2009, 22:53

..fast vergessen, wie sieht das mit der systemwiederherstellung aus? die hatte ich vorhin nach combofix ausführung bereits deaktiviert weil die jungs sich da ja auch niedergelassen hatten...

ich vermute mal weiterhin deaktiviert lassen, oder?

schrauber · 09.01.2009, 06:40

hatte ich gesagt du sollst sie deaktivieren?

die hätten wir am schluss deaktiviert und aktiviert, da es bei einer bereinigung immer dazu kommen kann, dass sich der rechner verabschiedet, und dann ist eine eingeschaltete SWH die letzte rettung.

lieber auf einen verseuchten alten punkt zurück als gar nicht mehr.....

mach bitte mit dem rest der anleitung weiter.

08.01.2009, 20:16	#1
schrauber /// the machine /// TB-Ausbilder	Brauche Hilfe bei Trojanerbefall weglassen, weitermachen __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Brauche Hilfe bei Trojanerbefall

Log-Analyse und Auswertung: Brauche Hilfe bei Trojanerbefall