Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Viren/trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.01.2009, 16:38   #1
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Moin und hallo

Ich habe ein Problem mit meinem Pc. Das Teil ist anscheinend voll mit Viren und Trojanern.
Formatiert habe ich, aber jetzt besteht das selbe Problem wieder. Das einzigst positive ist, dass der Pc schneller als vor dem formatieren läuft.
Anti-Vir zeigt alle paar Sekunden einen Fund an (meistens Trojaner).

Es öffnen sich regelmäßig irgendwelche Internetseiten .

hier ist das HJT-Logfile :

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17:31, on 09.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkLDTjK.dll (file missing)
O2 - BHO: (no name) - {792acf08-f3d7-443d-8aad-436858b39f33} - C:\WINDOWS\system32\jogevoma.dll
O2 - BHO: {9722ecb7-2c3d-048b-15b4-a64cf49c0fb9} - {9bf0c94f-c46a-4b51-b840-d3c27bce2279} - C:\WINDOWS\system32\kuunmv.dll (file missing)
O2 - BHO: (no name) - {F7BCD803-9F5D-42E5-A16D-5839FD0F9C2F} - C:\WINDOWS\system32\iiffCUNG.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [vimepidoza] Rundll32.exe "C:\WINDOWS\system32\datosuje.dll",s
O4 - HKLM\..\Run: [CPM1b766fde] Rundll32.exe "c:\windows\system32\fedalajo.dll",a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\Twain\Twain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [vimepidoza] Rundll32.exe "C:\WINDOWS\system32\datosuje.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: kuunmv.dll c:\windows\system32\wimavapa.dll C:\WINDOWS\system32\biniyogi.dll c:\windows\system32\fedalajo.dll
O20 - Winlogon Notify: jkkLDTjK - jkkLDTjK.dll (file missing)
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fedalajo.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fedalajo.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 6075 bytes
Vieleicht kann mir ja hier jemand sagen, ob noch irgendetwas zu retten ist.
Danke im vorraus !

Das_Lusches

Alt 09.01.2009, 18:10   #2
john.doe
 
Viren/trojaner - Standard

Viren/trojaner



Hallo und

Zitat:
Das Teil ist anscheinend voll mit Viren und Trojanern
Ja.

1.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):
Code:
ATTFilter
Java (völlig veraltet)
         
Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\jogevoma.dll
C:\WINDOWS\system32\datosuje.dll
c:\windows\system32\fedalajo.dll
C:\WINDOWS\system32\prunnet.exe
C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\gadcom\gadcom.exe
C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\Twain\Twain.exe
C:\WINDOWS\system32\datosuje.dll
C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
C:\WINDOWS\system32\kuunmv.dll
c:\windows\system32\wimavapa.dll
C:\WINDOWS\system32\biniyogi.dll
c:\windows\system32\fedalajo.dll
         
Sollte sich eine Datei nicht finden lassen, dann überspringe sie und mache weiter mit der Liste.

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

6.) Mache ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas
__________________


Alt 09.01.2009, 23:53   #3
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Danke andreas...

http://www.virustotal.com/de/analisis/d65d2e072b382313969478a4f7dbbb38
http://www.virustotal.com/de/analisis/5bf4208c771a1c04b929e2454c18b429
http://www.virustotal.com/de/analisis/8928e396f3e167c5cdbc8f490da31cff
http://www.virustotal.com/de/analisis/5bf4208c771a1c04b929e2454c18b429

der Rest (ab Punkt 4) folgt bald...
__________________

Alt 10.01.2009, 14:49   #4
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



weiter gehts :

Zitat:
Durchsucte Objekte: 89.917
Infizierte Objekte: 61
Dauer: 26 Min
Hier das mbam-log (dieses mal sogar mit Code-tags ):

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 5.1.2600 Service Pack 3

10.01.2009 14:42:41
mbam-log-2009-01-10 (14-42-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 89917
Laufzeit: 26 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 32
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 3
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\seyayewi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nitesani.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vuvimuwe.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\duyovaha.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zikedama.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{792acf08-f3d7-443d-8aad-436858b39f33} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{792acf08-f3d7-443d-8aad-436858b39f33} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{792acf08-f3d7-443d-8aad-436858b39f33} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\testcpv6.bho (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\testcpv6.bho.1 (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{ff46f4ab-a85f-487e-b399-3f191ac0fe23} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vimepidoza (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm1b766fde (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\nitesani.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\nitesani.dll  -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\nitesani.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\zikedama.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\zikedama.dll -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\Webtools (Trojan.Agent) -> No action taken.
C:\Programme\Mjcore (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\gadcom (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\fofugapi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ipagufof.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\seyayewi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\iweyayes.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vuvimuwe.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\zikedama.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\duyovaha.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nitesani.dll (Trojan.Vundo.H) -> No action taken.
C:\Programme\Mjcore\Mjcore.dll (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\TopMänner\Lokale Einstellungen\Temp\srff.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\logibeja.dll (Trojan.Vundo.H) -> No action taken.
         
5 Dateien konnten im system32 Ordner nicht mit dem programm entfernt werden.

Alt 11.01.2009, 12:52   #5
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Hier ist der Rest:

Code:
ATTFilter
ComboFix 09-01-10.03 - TopMänner 2009-01-11 12:34:47.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1022.713 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\arasaniw.ini
c:\windows\system32\ayeguhuv.ini
c:\windows\system32\bjefwtab.ini
c:\windows\system32\bpipdwck.ini
c:\windows\system32\chnypaqb.ini
c:\windows\system32\eyonagol.ini
c:\windows\system32\frafndog.ini
c:\windows\system32\GNUCffii.ini
c:\windows\system32\GNUCffii.ini2
c:\windows\system32\marewugo.dll
c:\windows\system32\noepswjp.ini
c:\windows\system32\oterusef.ini
c:\windows\system32\otokedon.ini
c:\windows\system32\psontvgv.ini
c:\windows\system32\unihuvov.ini
c:\windows\system32\upktapvs.ini
c:\windows\system32\wceyjoqk.ini

----- BITS: Eventuell infizierte Webseiten -----

hxxp://77.74.48.105
.
(((((((((((((((((((((((   Dateien erstellt von 2008-12-11 bis 2009-01-11  ))))))))))))))))))))))))))))))
.

2009-01-11 12:30 . 2009-01-11 12:30	<DIR>	d--------	c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12	<DIR>	d--------	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17	<DIR>	d--------	c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24	<DIR>	d--------	c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00	<DIR>	d--------	c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58	<DIR>	d--------	c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58	<DIR>	d--------	c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38	13,646	--a------	c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55	5,208	--a------	c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19	<DIR>	d--------	c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36	<DIR>	d--------	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12	<DIR>	d--------	c:\programme\Electronic Arts
2008-12-25 16:17 . 2009-01-02 11:42	<DIR>	d--------	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
2008-12-22 16:56 . 2008-12-22 16:56	940,794	--a------	c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56	146,650	--a------	c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56	73,728	--a------	c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56	73,728	--a------	c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26	<DIR>	d--------	c:\windows\Sun

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-09 20:40	---------	d-----w	c:\programme\Warcraft III
2008-12-29 13:28	---------	d-----w	c:\programme\QIP
2008-12-23 11:18	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56	---------	d-----w	c:\programme\ICQ6.5
2008-12-09 15:54	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-09 15:54	---------	d-----w	c:\programme\ICQ6Toolbar
2008-12-09 15:54	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15	---------	d-----w	c:\programme\iTunes
2008-12-07 14:15	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14	---------	d-----w	c:\programme\QuickTime
2008-12-07 14:14	---------	d-----w	c:\programme\iPod
2008-12-07 14:14	---------	d-----w	c:\programme\Bonjour
2008-12-07 14:14	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13	---------	d-----w	c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13	---------	d-----w	c:\programme\Apple Software Update
2008-12-07 14:13	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23	---------	d-----w	c:\programme\MSXML 4.0
2008-12-03 15:59	---------	d-----w	c:\programme\www.ingame.de_lwt
2008-12-02 20:41	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11	---------	d-----w	c:\programme\CyberLink
2008-12-02 20:11	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45	2,829	----a-w	c:\windows\War3Unin.pif
2008-12-02 19:45	139,264	----a-w	c:\windows\War3Unin.exe
2008-12-02 17:58	---------	d-----w	c:\programme\Realtek
2008-12-02 17:56	---------	d-----w	c:\programme\Intel
2008-12-02 17:54	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52	---------	d-----w	c:\programme\ATI Technologies
2008-12-02 17:25	---------	d-----w	c:\programme\Avira
2008-12-02 17:25	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20	---------	d-----w	c:\programme\microsoft frontpage
2008-12-02 17:17	---------	d-----w	c:\programme\Java
2008-12-02 17:17	---------	d-----w	c:\programme\Common Files
2008-12-02 17:15	---------	d-----w	c:\programme\Online-Dienste
2008-12-02 17:14	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-10-23 12:36	286,720	----a-w	c:\windows\system32\gdi32.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 01:00	671,744	----a-w	c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= , 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2009-01-11 c:\windows\Tasks\qcjxgzgc.job
- c:\windows\system32\rundll32.exe [2008-04-14 07:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-11 12:37:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-11 12:38:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-11 11:38:34

Vor Suchlauf: 11 Verzeichnis(se), 97.631.039.488 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,600,483,328 Bytes frei

192	--- E O F ---	2009-01-03 02:31:37
         

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:43, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\TopMänner\Desktop\qlketzd(2).com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  , 
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 4239 bytes
         
File-Upload.net - listing.txt


Alt 11.01.2009, 13:23   #6
john.doe
 
Viren/trojaner - Standard

Viren/trojaner



Das Log von Blacklight fehlt.

1.) Starte HJT => Do a systems scan only => Markiere
Code:
ATTFilter
O20 - AppInit_DLLs:  ,
         
=> Fix checked

2.) Scripten mit Combofix

  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
KILLALL::

File::
c:\windows\Tasks\qcjxgzgc.job

Folder::
c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


3.) SuperAntiSpyware laden, starten und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

4.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Geändert von john.doe (11.01.2009 um 13:34 Uhr)

Alt 11.01.2009, 22:20   #7
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Code:
ATTFilter
PC Tools Spyware Doctor
 
Date
	
Status
11.01.2009 15:54:07:218 	
Service gestartet
Serviceanwendung von Spyware Doctor gestartet
11.01.2009 15:54:07:218 	
Anti-Malware-Modul
Die Konfiguration des Anti-Malware-Moduls wurde erfolgreich geladen.
11.01.2009 15:54:07:406 	
Anti-Malware-Modul
Das Modul zur Malware-Erkennung wurde deaktiviert
11.01.2009 15:56:03:671 	
Scan gestartet
Scan-Art - Intelli-Scan
11.01.2009 15:56:04:31 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atwola.com/ atwola.com
11.01.2009 15:56:04:46 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - fastclick.net/ fastclick.net
11.01.2009 15:56:04:234 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - sevenoneintermedia.112.2o7.net/ sevenoneintermedia.112.2o7.net
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, *NewlyCreated*
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, ActiveService
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
11.01.2009 15:56:12:984 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
11.01.2009 15:56:14:250 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Generic
Typ - Registrierungsschlüssel
Risiko-Stufe - Mittel
Infektion - HKEY_USERS\S-1-5-21-329068152-1708537768-1417001333-1005\Software\Wget
11.01.2009 15:57:01:140 	
Scan beendet
Scan-Art - Intelli-Scan
Bearbeitete Elemente - 200409
Gefundene Bedrohungen - 4
Gefundene Infektionen - 31
Übergangene Infektionen - 0
11.01.2009 16:06:52:93 	
Scan gestartet
Scan-Art - Vollständiger Scan
11.01.2009 16:06:52:250 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atwola.com/ atwola.com
11.01.2009 16:06:52:265 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - fastclick.net/ fastclick.net
11.01.2009 16:06:52:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - sevenoneintermedia.112.2o7.net/ sevenoneintermedia.112.2o7.net
11.01.2009 16:18:16:375 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP3\A0000112.EXE
11.01.2009 16:19:41:703 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
11.01.2009 16:19:42:62 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\WINDOWS\ERDNT\subs\ERDNT.EXE
11.01.2009 16:21:56:468 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\WINDOWS\SWXCACLS.exe
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, *NewlyCreated*
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, ActiveService
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
11.01.2009 16:23:56:109 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Generic
Typ - Registrierungsschlüssel
Risiko-Stufe - Mittel
Infektion - HKEY_USERS\S-1-5-21-329068152-1708537768-1417001333-1005\Software\Wget
11.01.2009 16:24:05:562 	
Scan beendet
Scan-Art - Vollständiger Scan
Bearbeitete Elemente - 242186
Gefundene Bedrohungen - 4
Gefundene Infektionen - 35
Übergangene Infektionen - 0
         

Alt 11.01.2009, 22:21   #8
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:57, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Dokumente und Einstellungen\TopMänner\Desktop\qlketzd(3).com
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 4893 bytes
         

Code:
ATTFilter
3) SuperAntiSpyware ... ich hab irgendwie eine andere Version ( aber wohl die aktuellste ):

Auf ihrem Computer wurden 4 Bedrohungen und 35 Infizierungen gefunden.
( Spyware Doctor Pc Tools ) ... Ich kann den Anweisungen nicht wirklich folgen aber ich kann über die " Maßnahmenliste " die gefundenen Dateien löschen.

4) logfile: ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-01-11 17:02:17
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition                8.0.1.30                      No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@fastclick[2].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@apmebf[1].txt
00262020  Cookie/Atwola                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@atwola[1].txt
01185375  Application/Psexec.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP2\A0000034.EXE
01185375  Application/Psexec.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP3\A0000132.EXE
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP3\A0000121.sys
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP2\A0000024.sys
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\biniyogi.dll.tmp
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\datosuje.dll.tmp
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\jogevoma.dll.tmp
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
No        C:\Dokumente und Einstellungen\TopMänner\Desktop\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                        
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         

Alt 11.01.2009, 22:52   #9
john.doe
 
Viren/trojaner - Standard

Viren/trojaner





Es fehlt noch immer das Log von Blacklight.

Wieso setzt du Spyware Doctor ein? Davon habe ich nichts geschrieben.

Wo ist das Log von SuperAntiSpyware? Du findest den Downloadlink in der Anleitung.

Wo ist das Log von ComboFix Scripten?

Zumindest das Log von HJT sieht deutlich freundlicher aus.

Scripten mit Combofix

  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
KILLALL::

File::
c:\windows\Tasks\qcjxgzgc.job
C:\WINDOWS\system32\biniyogi.dll.tmp
C:\WINDOWS\system32\datosuje.dll.tmp
C:\WINDOWS\system32\jogevoma.dll.tmp
C:\Programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll

Folder::
c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


Deaktiviere die Systemwiederherstellung=>Neustart=>Aktiviere die Systemwiederherstellung und erstelle einen neuen Wiederherstellungspunkt

Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

Alt 12.01.2009, 20:59   #10
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Ja ich bin dran

... blacklight ging nicht
Der link zum " SuperAntiSpyware " hat zu dem " Spyware Doctor " geführt
un der PC läuft jetzt schon besser
Anti-vir meldet sich fast gar nicht mehr

... aber ich werde die schritte jetzt noch einmal durchgehn

danke schonmal ... es hat auf jeden fall was genützt!

Alt 12.01.2009, 21:05   #11
john.doe
 
Viren/trojaner - Standard

Viren/trojaner



Zitat:
Der link zum " SuperAntiSpyware " hat zu dem " Spyware Doctor " geführt
Der Link führt zur Anleitung auf dem TB und dort das erste Bild/Link lädt SUPERAntiSpyware und nicht Spyware Doctor. Dann lass es laufen und poste das Log.

ciao, andreas

Alt 12.01.2009, 21:12   #12
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Blacklight hat keine " hidden Items " gefunden.

Hier das Logfile von ComboFix:

ComboFix 09-01-10.03 - TopMänner 2009-01-11 14:14:57.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.627 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\TopMänner\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\Tasks\qcjxgzgc.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
c:\windows\Tasks\qcjxgzgc.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-11 bis 2009-01-11 ))))))))))))))))))))))))))))))
.

2009-01-11 12:30 . 2009-01-11 12:30 <DIR> d-------- c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17 <DIR> d-------- c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24 <DIR> d-------- c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55 5,208 --a------ c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19 <DIR> d-------- c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12 <DIR> d-------- c:\programme\Electronic Arts
2008-12-22 16:56 . 2008-12-22 16:56 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26 <DIR> d-------- c:\windows\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-11 12:10 --------- d-----w c:\programme\Warcraft III
2008-12-29 13:28 --------- d-----w c:\programme\QIP
2008-12-23 11:18 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56 --------- d-----w c:\programme\ICQ6.5
2008-12-09 15:54 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 15:54 --------- d-----w c:\programme\ICQ6Toolbar
2008-12-09 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15 --------- d-----w c:\programme\iTunes
2008-12-07 14:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14 --------- d-----w c:\programme\QuickTime
2008-12-07 14:14 --------- d-----w c:\programme\iPod
2008-12-07 14:14 --------- d-----w c:\programme\Bonjour
2008-12-07 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13 --------- d-----w c:\programme\Apple Software Update
2008-12-07 14:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23 --------- d-----w c:\programme\MSXML 4.0
2008-12-03 15:59 --------- d-----w c:\programme\www.ingame.de_lwt
2008-12-02 20:41 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11 --------- d-----w c:\programme\CyberLink
2008-12-02 20:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45 2,829 ----a-w c:\windows\War3Unin.pif
2008-12-02 19:45 139,264 ----a-w c:\windows\War3Unin.exe
2008-12-02 17:58 --------- d-----w c:\programme\Realtek
2008-12-02 17:56 --------- d-----w c:\programme\Intel
2008-12-02 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52 --------- d-----w c:\programme\ATI Technologies
2008-12-02 17:25 --------- d-----w c:\programme\Avira
2008-12-02 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20 --------- d-----w c:\programme\microsoft frontpage
2008-12-02 17:17 --------- d-----w c:\programme\Java
2008-12-02 17:17 --------- d-----w c:\programme\Common Files
2008-12-02 17:15 --------- d-----w c:\programme\Online-Dienste
2008-12-02 17:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-11 14:16:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-11 14:18:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-11 13:18:25
ComboFix2.txt 2009-01-11 11:38:38

Vor Suchlauf: 11 Verzeichnis(se), 97.578.401.792 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,574,203,392 Bytes frei

162 --- E O F --- 2009-01-03 02:31:37

Alt 13.01.2009, 16:38   #13
john.doe
 
Viren/trojaner - Standard

Viren/trojaner



Du hast das falsche Script laufen gelassen. Das wäre das richtige gewesen. Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

Alt 14.01.2009, 20:44   #14
DAS_LUSCHES
 
Viren/trojaner - Standard

Viren/trojaner



Die Auffälligkeiten sind deutlich weniger geworden danke

ComboFix:

ComboFix 09-01-10.03 - TopMänner 2009-01-14 20:29:42.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.648 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\TopMänner\Desktop\cfscript.text
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
c:\windows\system32\biniyogi.dll.tmp
c:\windows\system32\datosuje.dll.tmp
c:\windows\system32\jogevoma.dll.tmp
c:\windows\Tasks\qcjxgzgc.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
c:\windows\system32\biniyogi.dll.tmp
c:\windows\system32\datosuje.dll.tmp
c:\windows\system32\jogevoma.dll.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-11 16:37 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-01-11 16:36 . 2009-01-11 16:36 <DIR> d-------- c:\programme\Panda Security
2009-01-11 15:52 . 2009-01-12 20:51 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-11 12:30 . 2009-01-11 12:30 <DIR> d-------- c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17 <DIR> d-------- c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24 <DIR> d-------- c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55 5,208 --a------ c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19 <DIR> d-------- c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12 <DIR> d-------- c:\programme\Electronic Arts
2008-12-22 16:56 . 2008-12-22 16:56 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26 <DIR> d-------- c:\windows\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 18:59 --------- d-----w c:\programme\Warcraft III
2008-12-29 13:28 --------- d-----w c:\programme\QIP
2008-12-23 11:18 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56 --------- d-----w c:\programme\ICQ6.5
2008-12-09 15:54 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 15:54 --------- d-----w c:\programme\ICQ6Toolbar
2008-12-09 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15 --------- d-----w c:\programme\iTunes
2008-12-07 14:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14 --------- d-----w c:\programme\QuickTime
2008-12-07 14:14 --------- d-----w c:\programme\iPod
2008-12-07 14:14 --------- d-----w c:\programme\Bonjour
2008-12-07 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13 --------- d-----w c:\programme\Apple Software Update
2008-12-07 14:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23 --------- d-----w c:\programme\MSXML 4.0
2008-12-03 15:59 --------- d-----w c:\programme\www.ingame.de_lwt
2008-12-02 20:41 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11 --------- d-----w c:\programme\CyberLink
2008-12-02 20:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45 2,829 ----a-w c:\windows\War3Unin.pif
2008-12-02 19:45 139,264 ----a-w c:\windows\War3Unin.exe
2008-12-02 17:58 --------- d-----w c:\programme\Realtek
2008-12-02 17:56 --------- d-----w c:\programme\Intel
2008-12-02 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52 --------- d-----w c:\programme\ATI Technologies
2008-12-02 17:25 --------- d-----w c:\programme\Avira
2008-12-02 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20 --------- d-----w c:\programme\microsoft frontpage
2008-12-02 17:17 --------- d-----w c:\programme\Java
2008-12-02 17:17 --------- d-----w c:\programme\Common Files
2008-12-02 17:15 --------- d-----w c:\programme\Online-Dienste
2008-12-02 17:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2009-01-11_12.38.05.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-20 17:46:10 147,968 -c----w c:\windows\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:46:10 247,296 -c----w c:\windows\system32\dllcache\mswsock.dll
+ 2008-06-20 11:51:12 361,600 -c----w c:\windows\system32\dllcache\tcpip.sys
+ 2008-06-20 11:08:27 225,856 -c----w c:\windows\system32\dllcache\tcpip6.sys
- 2008-04-14 06:52:10 147,968 ----a-w c:\windows\system32\dnsapi.dll
+ 2008-06-20 17:46:10 147,968 ----a-w c:\windows\system32\dnsapi.dll
- 2008-04-13 23:50:18 361,344 ----a-w c:\windows\system32\drivers\tcpip.sys
+ 2008-06-20 11:51:12 361,600 ----a-w c:\windows\system32\drivers\tcpip.sys
- 2008-04-13 23:30:04 225,664 ----a-w c:\windows\system32\drivers\tcpip6.sys
+ 2008-06-20 11:08:27 225,856 ----a-w c:\windows\system32\drivers\tcpip6.sys
- 2008-04-14 06:52:20 247,296 ----a-w c:\windows\system32\mswsock.dll
+ 2008-06-20 17:46:10 247,296 ----a-w c:\windows\system32\mswsock.dll
- 2008-12-03 22:24:46 63,580 ----a-w c:\windows\system32\perfc007.dat
+ 2009-01-11 14:53:45 63,580 ----a-w c:\windows\system32\perfc007.dat
- 2008-12-03 22:24:46 52,764 ----a-w c:\windows\system32\perfc009.dat
+ 2009-01-11 14:53:45 52,764 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-03 22:24:46 391,000 ----a-w c:\windows\system32\perfh007.dat
+ 2009-01-11 14:53:45 391,000 ----a-w c:\windows\system32\perfh007.dat
- 2008-12-03 22:24:46 380,350 ----a-w c:\windows\system32\perfh009.dat
+ 2009-01-11 14:53:45 380,350 ----a-w c:\windows\system32\perfh009.dat
- 2007-07-27 08:41:40 16,760 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 12:39:14 18,808 ------w c:\windows\system32\spmsg.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-11 28544]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 20:31:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-14 20:33:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-14 19:33:10
ComboFix2.txt 2009-01-11 13:18:29
ComboFix3.txt 2009-01-11 11:38:38

Vor Suchlauf: 11 Verzeichnis(se), 97.368.686.592 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,370,251,264 Bytes frei

208 --- E O F --- 2009-01-13 12:51:32

Alt 14.01.2009, 20:55   #15
john.doe
 
Viren/trojaner - Standard

Viren/trojaner



So und jetzt noch das Log von SuperAntiSpyware, dann kann ich dich entlassen.
Zitat:
Die Auffälligkeiten sind deutlich weniger geworden
Freut mich.

ciao, andreas

Antwort

Themen zu Viren/trojaner
antivir, antivirus, avg, avira, bho, bonjour, dll, einstellungen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, mozilla, net.exe, problem, programme, rundll, seiten, sekunden, software, system, trojaner, viren, windows, windows xp



Ähnliche Themen: Viren/trojaner


  1. Wie überprüft man die externe (Sicherungs)Festplatte auf Trojaner / Viren, wenn zuvor der PC einen Trojaner hatte?
    Plagegeister aller Art und deren Bekämpfung - 28.02.2015 (9)
  2. Acer Windows 7-Rechner * Befall von Viren und Trojanern? * Antivir Rescue CD beseitigt Viren/Trojanernicht
    Plagegeister aller Art und deren Bekämpfung - 14.12.2014 (15)
  3. Jeder Viren chutz erkennt bei normalen Programmen über 300 Viren auf meinem PC
    Log-Analyse und Auswertung - 01.08.2013 (9)
  4. Jeder Viren Schutz erkennt bei normalen Programmen über 300 Viren auf meinem PC
    Mülltonne - 31.07.2013 (1)
  5. These: Avira installiert eigene Viren bzw. parallel AV-Programme, die Viren enthalten ...
    Antiviren-, Firewall- und andere Schutzprogramme - 13.05.2013 (7)
  6. Viren eingefangen (JAVA/dldr.lamar.TP), auch Trojaner (Polizei.Trojaner) gefunden
    Log-Analyse und Auswertung - 07.05.2013 (15)
  7. CPU Auslastung bei 100 % / Spiele ruckeln/ Viren und Trojaner gefunden ( Trojaner TR/Ramson.EJ.18..)
    Log-Analyse und Auswertung - 09.02.2012 (28)
  8. Trojaner bzw.Viren
    Log-Analyse und Auswertung - 06.06.2011 (1)
  9. Trojaner/Viren
    Log-Analyse und Auswertung - 29.05.2010 (1)
  10. Viren und Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (5)
  11. e.exe und msc.exe Viren/Trojaner auf dem PC
    Log-Analyse und Auswertung - 11.01.2010 (11)
  12. POPUPS und VERSCHIEDENE VIREN VIREN UND TROJANER !
    Mülltonne - 11.10.2008 (0)
  13. Viren und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.05.2007 (28)
  14. War eine ganze Weile fei von Viren aber jetzt habe ich Viren Bursters !!!
    Log-Analyse und Auswertung - 17.12.2006 (1)
  15. Viren,Trojaner?
    Log-Analyse und Auswertung - 31.03.2006 (6)
  16. kaspersky findet angeblich viren ind java dateien - sind es wirklich viren ?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (6)
  17. Viren Trojaner etc.
    Log-Analyse und Auswertung - 20.09.2004 (1)

Zum Thema Viren/trojaner - Moin und hallo Ich habe ein Problem mit meinem Pc. Das Teil ist anscheinend voll mit Viren und Trojanern. Formatiert habe ich, aber jetzt besteht das selbe Problem wieder. Das - Viren/trojaner...
Archiv
Du betrachtest: Viren/trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.