Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Spy.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 14.01.2009, 22:51   #1
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Hallo guten Abend/Morgen

hab auf meinem Laptop seid einigen tagen ein Problem mit
dem AntiVir bringt mir ständig die Meldung

C:/WINDOWS/system32/dskquoui32.dll
Ist ein Trojanisches Pferd TR/Spy.Gen

Kann dann auf löschen gehen,
aber die Meldung kommt immer wieder Löschen.
Geht aber wohl irgendwie nicht.
Aus diesem Logfile werde ich aber nicht ganz schlau,
hab versucht in C:/WINDOWS/system32 die dskquoui32.dll zu finden
die ist da aber Nicht ?
Ich hoffe jemand kann mir weiter helfen.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:27, on 14.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\CA\eTrustITM\realmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\CA\eTrustITM\InoTask.exe
C:\Programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Launch Manager\WisLMSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://c:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\dskquoui32.dll
O20 - Winlogon Notify: 984b9ffe509 - C:\WINDOWS\System32\dskquoui32.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iTechnology iGateway 4.2 (iGateway) - CA, Inc. - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - CA - C:\Programme\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - CA - C:\Programme\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM-Jobdienst (InoTask) - CA - C:\Programme\CA\eTrustITM\InoTask.exe
O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Programme\Launch Manager\WisLMSvc.exe

--
End of file - 7447 bytes

Alt 14.01.2009, 23:14   #2
undoreal
/// AVZ-Toolkit Guru
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Halli hallo acci

Fixe mit HJT folgende Einträge:
Zitat:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dskquoui32.dll
O20 - Winlogon Notify: 984b9ffe509 - C:\WINDOWS\System32\dskquoui32.dll
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\WINDOWS\System32\dskquoui32.dll
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes. Entscheide dich für ein AntiViren Programm! Entweder AntiVir oder eTrust.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
    .
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista
__________________

__________________

Alt 14.01.2009, 23:51   #3
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



so also hab den ersten punkt wie beschrieben gemacht hoff ich mal

so nun hier:

ComboFix 09-01-13.04 - hubert 2009-01-14 23:37:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2009.1417 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\hubert\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
AV: eTrust ITM *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509C.manifest
c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509O.manifest
c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509P.manifest
c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509S.manifest
c:\windows\GnuHashes.ini
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\GroupPolicyManifest
c:\windows\system32\GroupPolicyManifest\23.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest\24.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest\25.video.zip.kwd
c:\windows\system32\GroupPolicyManifest\26.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest\27.unpack.zip.kwd
c:\windows\system32\GroupPolicyManifest\28.keygen.zip.kwd
c:\windows\system32\GroupPolicyManifest\29.serial.zip.kwd
c:\windows\system32\GroupPolicyManifest\30.mpgvideo.mpg.kwd

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-14 22:28 . 2009-01-14 22:28 <DIR> d-------- c:\programme\Trend Micro
2009-01-14 01:13 . 2009-01-14 01:14 <DIR> d-------- c:\programme\CCleaner
2009-01-13 23:27 . 2009-01-13 23:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-13 22:56 . 2009-01-13 22:56 <DIR> d-------- c:\programme\Avira
2009-01-13 01:30 . 2009-01-13 01:30 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-01-13 01:30 . 2009-01-13 01:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-09 22:59 . 2009-01-09 23:04 <DIR> d-------- c:\programme\phase5
2009-01-09 22:59 . 2009-01-09 22:59 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\Systemberatung Schommer
2009-01-07 21:46 . 2009-01-07 21:46 0 --a------ c:\windows\system32\11.tmp
2009-01-05 12:38 . 2009-01-05 12:38 0 --a------ c:\windows\system32\A.tmp
2009-01-01 11:11 . 2009-01-01 11:11 0 --a------ c:\windows\system32\47.tmp
2009-01-01 11:11 . 2009-01-01 11:11 0 --a------ c:\windows\system32\46.tmp
2008-12-30 23:22 . 2009-01-14 23:36 135,168 --a------ c:\windows\system32\dskquoui32.dll
2008-12-30 23:22 . 2009-01-14 00:43 135,168 --a------ C:\ARKE.tmp
2008-12-30 10:45 . 2008-12-30 10:45 <DIR> d-------- c:\windows\Sun
2008-12-29 22:19 . 2009-01-13 23:16 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\LimeWire
2008-12-28 23:24 . 2008-12-28 23:24 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-28 23:24 . 2008-12-28 23:24 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-28 23:23 . 2008-12-28 23:23 <DIR> d-------- c:\programme\Java
2008-12-28 22:42 . 2008-12-28 22:43 <DIR> d-------- c:\programme\LimeWire
2008-12-28 22:34 . 2008-12-28 22:34 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\AdobeUM
2008-12-28 15:29 . 2008-12-28 15:29 <DIR> d--h----- c:\windows\$hf_mig$

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 14:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-12-03 00:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-01 21:04 --------- d-----w c:\programme\Gemeinsame Dateien\KODAK
2008-12-01 21:03 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-01 21:03 --------- d-----w c:\programme\Kodak
2008-11-27 22:36 --------- d-----w c:\programme\Real
2008-11-27 22:36 --------- d-----w c:\programme\Gemeinsame Dateien\xing shared
2008-11-27 22:36 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-27 22:03 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Apple Computer
2008-11-27 22:02 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-27 22:02 --------- d-----w c:\programme\Apple Software Update
2008-11-27 22:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-27 22:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-11-27 21:35 --------- d-----w c:\programme\QuickTime
2008-11-27 13:14 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Nero
2008-11-22 14:10 --------- d-----w c:\programme\Hewlett-Packard
2008-11-21 07:46 98,304 ----a-w c:\windows\system32\CmdLineExt.dll
2008-11-21 07:34 --------- d-----w c:\programme\Sierra
2008-11-21 07:32 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\InstallShield
2008-11-20 16:52 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Microsoft Web Folders
2008-11-14 13:59 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-04-14 12:00 94,800 --sh--w c:\windows\twain.dll
2008-04-14 12:00 50,688 --sh--w c:\windows\twain_32.dll
2008-04-14 12:00 1,028,096 --sh--w c:\windows\system32\mfc42.dll
2008-04-14 12:00 57,344 --sh--w c:\windows\system32\msvcirt.dll
2008-04-14 12:00 413,696 --sh--w c:\windows\system32\msvcp60.dll
2008-04-14 12:00 343,040 --sh--w c:\windows\system32\msvcrt.dll
2008-04-14 12:00 551,936 --sh--w c:\windows\system32\oleaut32.dll
2008-04-14 12:00 84,992 --sh--w c:\windows\system32\olepro32.dll
2008-04-14 12:00 12,288 --sh--w c:\windows\system32\regsvr32.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-17 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-17 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-17 150040]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-05-08 1105920]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"Realtime Monitor"="c:\programme\CA\eTrustITM\realmon.exe" [2007-01-16 407632]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-11-27 180269]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-28 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-26 c:\windows\RTHDCPL.EXE]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\984b9ffe509]
2009-01-14 23:36 135168 c:\windows\system32\dskquoui32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\dskquoui32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ComputerAssociatesAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\CA\\eTrustITM\\InoRpc.exe"=
"c:\\Programme\\CA\\eTrustITM\\Realmon.exe"=
"c:\\Programme\\CA\\eTrustITM\\Shellscn.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2008-10-21 9867]
R3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [2008-10-21 84240]
R3 WisLMSvc;WisLMSvc;c:\programme\Launch Manager\WisLMSvc.exe [2008-10-21 118784]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a555908-9f7d-11dd-801a-000df057b1ce}]
\Shell\AutoRun\command - e:\truecrypt\TrueCrypt.exe /q background /e /m rm /v "max_portableapps.tc"
\Shell\dismount\command - e:\truecrypt\TrueCrypt.exe /q /d
\Shell\start\command - e:\truecrypt\TrueCrypt.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CtrlVol - c:\programme\Launch Manager\CtrlVol.exe
HKLM-Run-LaunchAp - c:\programme\Launch Manager\LaunchAp.exe
HKLM-Run-Wbutton - c:\programme\Launch Manager\WButton.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.vol.at/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\Office\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\hubert\Anwendungsdaten\Mozilla\Firefox\Profiles\qbxfq85z.default\

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 23:38:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\programme\Launch Manager\CtrlVol.exe?8???x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ?????
LaunchAp = c:\programme\Launch Manager\LaunchAp.exe????x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ?????
Wbutton = c:\programme\Launch Manager\WButton.exe?????x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ?????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(832)
c:\windows\System32\dskquoui32.dll
c:\programme\CA\SharedComponents\PPRealtime\bin\CACheck.dll
c:\programme\CA\SharedComponents\PPRealtime\bin\CAHook.dll
c:\programme\CA\SharedComponents\PPRealtime\bin\CAServer.dll

- - - - - - - > 'lsass.exe'(896)
c:\windows\System32\dskquoui32.dll
.
Zeit der Fertigstellung: 2009-01-14 23:39:18
ComboFix-quarantined-files.txt 2009-01-14 22:39:15

Vor Suchlauf: 14 Verzeichnis(se), 218.127.708.160 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 218,181,398,528 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

182



hoffe das stimmt so wie ich es gemacht habe ;-)
__________________

Alt 15.01.2009, 00:11   #4
undoreal
/// AVZ-Toolkit Guru
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Poste bitte auch das Avenger log. Poste generell alle logs.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.01.2009, 00:15   #5
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



ich glaub ich hab einen fehler gemacht hab wohl das zweite zuerst gemacht hoffe das ist nicht schlimm....

nun hab ich aber auch noch das andere gemacht:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System32\dskquoui32.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



und kommischerweise hab ich nun eine andere meldung von antivier, nach dem neustart:

In der Datei 'C:\WINDOWS\system32\10.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.bdf' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Noch ein Trojaner?


Alt 15.01.2009, 00:28   #6
undoreal
/// AVZ-Toolkit Guru
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Und deinstalliere AntiVir oder eTrust! Zwei AVs auf einem Rechner sind nicht gut.

Den QuickTimePlayer würde ich aus dem Autostart nehmen. Kannst du mit CCleaner unter Extras -> Autostart machen.

Deinstalliere Limewire über die Systemesteuerung -> Software.

Downloade dir den Avenger.

Dann geht's im abgesicherten Modus weiter:

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\984b9ffe509

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\dskquoui32. dll

HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\LimeWire\\LimeWire.exe"=
Hinweis:
  • HKLM\... bedeutet HKEY_Local_Mashine\
  • HKCU\... bedeutet HKEY_Current_User\
und so weiter...


Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\windows\system32\11.tmp
c:\windows\system32\A.tmp
 c:\windows\system32\47.tmp
c:\windows\system32\46.tmp
c:\windows\system32\deploytk.dll
c:\windows\system32\dskquoui32.dll
C:\ARKE.tmp


Folders to delete:
c:\programme\LimeWire
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dann startest du den Rechner im normalen Modus neu.


ISeeYouXP - XP
  • Lade dir das Tool IseeYouXp by ShadowPuterDude
  • Deaktiviere alle Wächter deiner AntiViren Programme und schließe diese vollständig!
  • Schließe auch alle anderen Anwendungen!
  • Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  • Das Programm startet danach automatisch. Sollte das nicht der Fall sein, doppelklicke die ISeeYouXP Verknüpfung auf deinem Desktop.
  • Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)


PS:
Zitat:
In der Datei 'C:\WINDOWS\system32\10.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.bdf' [trojan] gefunden.
Schon gesehen...
__________________
--> TR/Spy.Gen

Alt 15.01.2009, 01:21   #7
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



so nun hab ich glaub ich alles gemacht was noch wolltest, nur eins ging ned:

HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\LimeWire\\LimeWire.exe"=

hab das ding nicht gefunden, liegts daran das ich wie du wolltest Lime schon gelöscht habe





Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\11.tmp" deleted successfully.
File "c:\windows\system32\A.tmp" deleted successfully.
File "c:\windows\system32\47.tmp" deleted successfully.
File "c:\windows\system32\46.tmp" deleted successfully.
File "c:\windows\system32\deploytk.dll" deleted successfully.

Error: file "c:\windows\system32\dskquoui32.dll" not found!
Deletion of file "c:\windows\system32\dskquoui32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\ARKE.tmp" not found!
Deletion of file "C:\ARKE.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\LimeWire" not found!
Deletion of folder "c:\programme\LimeWire" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



----------------------------------------------------------


REINIGUNG komplett - (5.565 Sek)
------------------------------------------------------------------------------------------
49,1MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
IE Temporären Internetdateien (375 Dateien) 3,22MB
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@secure.partyaccount[1].txt 106 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@doubleclick[1].txt 94 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@sdc.tele[1].txt 145 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@adtrgt[1].txt 411 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@partypoker[2].txt 177 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@austriacomplus[1].txt 93 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@sdc.tele[3].txt 236 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@ad.yieldmanager[1].txt 606 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@oewabox[1].txt 90 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@vol[1].txt 478 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@partyaccount[1].txt 117 Byte
Zum Löschen markiert: C:\Dokumente und Einstellungen\hubert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Zum Löschen markiert: C:\Dokumente und Einstellungen\hubert\Cookies\index.dat
Zum Löschen markiert: C:\Dokumente und Einstellungen\hubert\Lokale Einstellungen\Verlauf\History.IE5\index.dat
C:\Dokumente und Einstellungen\hubert\Recent\1 title.bmp.lnk 777 Byte
C:\Dokumente und Einstellungen\hubert\Recent\2008.doc.lnk 554 Byte
C:\Dokumente und Einstellungen\hubert\Recent\ComboFix.txt.lnk 421 Byte
C:\Dokumente und Einstellungen\hubert\Recent\Hallo guten Abend.doc.lnk 623 Byte
C:\Dokumente und Einstellungen\hubert\Recent\hijackthis.log.lnk 423 Byte
C:\Dokumente und Einstellungen\hubert\Recent\Katy Perry.lnk 611 Byte
C:\Dokumente und Einstellungen\hubert\Recent\lieder.doc.lnk 495 Byte
C:\Dokumente und Einstellungen\hubert\Recent\System (C).lnk 299 Byte
C:\Dokumente und Einstellungen\hubert\Recent\UDISK 2.0 (E).lnk 188 Byte
C:\Dokumente und Einstellungen\hubert\Recent\Und deinstalliere AntiVir oder eTrust.doc.lnk 371 Byte
C:\Dokumente und Einstellungen\hubert\Recent\wiederhergestelltes Dokument .doc.lnk 683 Byte
C:\Dokumente und Einstellungen\hubert\Recent\wiederhergestelltes Dokument.doc.lnk 678 Byte
Geleerter Papierkorb (1 Dateien) 3,89KB
C:\WINDOWS\system32\wbem\Logs\wbemcore.log 26,95KB
C:\WINDOWS\system32\wbem\Logs\wbemess.log 25,39KB
C:\WINDOWS\system32\wbem\Logs\wbemprox.log 606 Byte
C:\WINDOWS\system32\wbem\Logs\wmiadap.log 182 Byte
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 1,70KB
C:\WINDOWS\0.log 0 Byte
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\drwtsn32.log 0,15MB
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp 21,52KB
C:\WINDOWS\Debug\UserMode\userenv.log 2,94KB
Entfernte Cookies: google.at
Entfernte Cookies: zanox-affiliate.de
Entfernte Cookies: trojaner-board.de
Entfernte Cookies: chip.de
Entfernte Cookies: sales.tfag.de
Entfernte Cookies: forum.chip.de
Entfernte Cookies: smartadserver.com
Entfernte Cookies: bs.serving-sys.com
Entfernte Cookies: serving-sys.com
Entfernte Cookies: gulli.com
Entfernte Cookies: pr.gulli.com
Entfernte Cookies: ad.salebroker.de
Entfernte Cookies: zanox.com
Entfernte Cookies: ad.zanox.com
Entfernte Cookies: tracking.quisma.com
Entfernte Cookies: unitymedia.de
Entfernte Cookies: www.zanox-affiliate.de
Entfernte Cookies: tradedoubler.com
Entfernte Cookies: webmasterplan.com
Entfernte Cookies: www.etracker.de
Entfernte Cookies: dsl.1und1.de
Entfernte Cookies: www.eplus.de
Entfernte Cookies: versatel-privatkunden.de
Entfernte Cookies: google.com
Entfernte Cookies: doubleclick.net
Entfernte Cookies: de.wasalive.com
Entfernte Cookies: forum.avira.com
Entfernte Cookies: apmebf.com
Entfernte Cookies: emjcd.com
Entfernte Cookies: nonstoppartner.de
Entfernte Cookies: www.karstadt.de
Entfernte Cookies: www.neu.de
Entfernte Cookies: www.myvideo.de
Entfernte Cookies: www.viking.de
Entfernte Cookies: www.myvideo.at
Entfernte Cookies: neu.de
Entfernte Cookies: advertising.com
Entfernte Cookies: eshop.arcor.net
Entfernte Cookies: adrevolver.com
Entfernte Cookies: media.adrevolver.com
Entfernte Cookies: ivwbox.de
Entfernte Cookies: intellitxt.com
Entfernte Cookies: quantserve.com
Entfernte Cookies: adjug.com
Entfernte Cookies: adfarm1.adition.com
Entfernte Cookies: www.trendsecure.com
Entfernte Cookies: statse.webtrendslive.com
Entfernte Cookies: mediaplex.com
Entfernte Cookies: www.gmx.at
Entfernte Cookies: uimserv.net
Entfernte Cookies: oewabox.at
Entfernte Cookies: gmx.net
Entfernte Cookies: service.gmx.net
Entfernte Cookies: komtrack.com
Entfernte Cookies: atdmt.com
Entfernte Cookies: expedia.com
Entfernte Cookies: logout.gmx.net
Entfernte Cookies: vol.at
Entfernte Cookies: sdc.tele.net
Entfernte Cookies: austriacomplus.at
Entfernte Cookies: www.vol.at
Entfernte Cookies: youtube.com
Entfernte Cookies: apps.vol.at
Entfernte Cookies: digital.vol.at
Entfernte Cookies: adverserve.net
Entfernte Cookies: video.vol.at
Entfernte Cookies: spotlight-wissen.de
Entfernte Cookies: www.supernature-forum.de
Entfernte Cookies: supernature-forum.de
Entfernte Cookies: euros4click.de
Entfernte Cookies: adscale.de
Entfernte Cookies: ih.adscale.de
Entfernte Cookies: www.grc.com
Entfernte Cookies: www.grctech.com
Entfernte Cookies: adtech.de
Entfernte Cookies: friendscout24.de
Entfernte Cookies: yahoo.com
Entfernte Cookies: mozilla.com
C:\Dokumente und Einstellungen\hubert\Anwendungsdaten\Mozilla\Firefox\Profiles\qbxfq85z.default\downloads.sqlite 8,00KB
Firefox/Mozilla Temporärer Internet Cache (497 Dateien) 45,7MB
C:\Dokumente und Einstellungen\hubert\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 405 Byte
------------------------------------------------------------------------------------------



ANALYSE komplett - (1.070 Sek)
------------------------------------------------------------------------------------------
1,23KB zu entfernen. (Ungefähre Größe)
------------------------------------------------------------------------------------------

Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
C:\Dokumente und Einstellungen\hubert\Recent\1 COMPUTER.lnk 460 Byte
C:\Dokumente und Einstellungen\hubert\Recent\cleaner log.txt.lnk 624 Byte
C:\WINDOWS\system32\wbem\Logs\wbemcore.log 180 Byte
------------------------------------------------------------------------------------------


Richtig so ?

Alt 15.01.2009, 01:27   #8
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



und noch den ISeeYou log.

hmm ist zu groß um anzuhängen? 99kb

Alt 15.01.2009, 09:29   #9
undoreal
/// AVZ-Toolkit Guru
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Das sieht doch schonmal ganz gut aus.

Hänge das ISeeYou log bitte an oder lade es bei rapidshare hoch und poste den downloadlink.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.01.2009, 21:09   #10
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



also so mal zur info, ich find das total klasse das du mir so hilfts, ist echt ne feine sache, und mein laptop läuft jetzt so gut wie noch gar ned seid ich ihn habe

nun hab ich aber grad wider eine neue meldung bekommen?
Meintest doch grad das es schon gut ausschaut.

In der Datei 'C:\Dokumente und Einstellungen\hubert\Desktop\ISeeYouXP.exe'
wurde ein Virus oder unerwünschtes Programm 'WORM/KillProc.C' [worm] gefunden.
Ausgeführte Aktion: Datei löschen

hatt antivier das teil nun gelöscht?

So hab das mit dem hosten nun auch hin bekommen:

Dein Download-Link #1: http://rapidshare.de/files/41630166/ISeeYouXP.txt.html

Alt 16.01.2009, 03:33   #11
undoreal
/// AVZ-Toolkit Guru
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Da ist noch mehr..

Panda sollte den eigentlich in den Sigs haben..



Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 16.01.2009, 23:28   #12
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



so hab das programm nun durch .....

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-01-16 23:25:32
PROTECTIONS: 1
MALWARE: 17
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\hubert\Cookies\hubert@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\hubert\Cookies\hubert@atdmt[2].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\hubert\Cookies\hubert@tradedoubler[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\hubert\Cookies\hubert@mediaplex[2].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\hubert\Cookies\hubert@adverserve[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\hubert\Cookies\hubert@adtech[1].txt
04651708 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\29.serial.zip[setup.exe]
04651769 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\24.crack.zip[setup.exe]
04651842 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\24.crack.zip[crack.exe]
04651897 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\28.keygen.zip[keygen.exe]
04651955 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\28.keygen.zip[setup.exe]
04652022 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\26.setup.zip[setup.exe]
04652155 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\27.unpack.zip[self_extracting_archive.exe]
04652807 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\26.setup.zip[crack+keygen.exe]
04653129 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\25.video.zip[hardcore_porn.exe]
04658173 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\hubert\Desktop\ComboFix.exe
04666118 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\GroupPolicyManifest\29.serial.zip[serial.exe]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================



hab ich es richtig genmacht?

Alt 17.01.2009, 10:42   #13
undoreal
/// AVZ-Toolkit Guru
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Lösche alle Funde bis auch Combofix.

Kannst du den Avenger für nehmen wenn Panda das nicht macht..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 17.01.2009, 17:08   #14
acci
 
TR/Spy.Gen - Standard

TR/Spy.Gen



so müste nun aber ok sein oder

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\11.tmp" deleted successfully.
File "c:\windows\system32\A.tmp" deleted successfully.
File "c:\windows\system32\47.tmp" deleted successfully.
File "c:\windows\system32\46.tmp" deleted successfully.
File "c:\windows\system32\deploytk.dll" deleted successfully.

Error: file "c:\windows\system32\dskquoui32.dll" not found!
Deletion of file "c:\windows\system32\dskquoui32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\ARKE.tmp" not found!
Deletion of file "C:\ARKE.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\LimeWire" not found!
Deletion of folder "c:\programme\LimeWire" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Jan 17 17:03:42 2009

17:03:42: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\hubert\Cookies\hubert@doubleclick[1].txt" deleted successfully.
File "C:\Dokumente und Einstellungen\hubert\Cookies\hubert@atdmt[2].txt" deleted successfully.
File "C:\Dokumente und Einstellungen\hubert\Cookies\hubert@tradedoubler[2].txt" deleted successfully.
File "C:\Dokumente und Einstellungen\hubert\Cookies\hubert@mediaplex[2].txt" deleted successfully.
File "C:\Dokumente und Einstellungen\hubert\Cookies\hubert@adverserve[1].txt" deleted successfully.
File "C:\Dokumente und Einstellungen\hubert\Cookies\hubert@adtech[1].txt" deleted successfully.

Error: file "C:\WINDOWS\system32\GroupPolicyManifest\29.serial. zip[setup.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\29.serial. zip[setup.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\24.crack.z ip[setup.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\24.crack.z ip[setup.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\24.crack.z ip[crack.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\24.crack.z ip[crack.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\28.keygen. zip[keygen.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\28.keygen. zip[keygen.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\28.keygen. zip[setup.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\28.keygen. zip[setup.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\26.setup.z ip[setup.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\26.setup.z ip[setup.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\27.unpack. zip[self_extracting_archive.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\27.unpack. zip[self_extracting_archive.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\26.setup.z ip[crack+keygen.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\26.setup.z ip[crack+keygen.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\25.video.z ip[hardcore_porn.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\25.video.z ip[hardcore_porn.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\GroupPolicyManifest\29.serial. zip[serial.exe]" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\29.serial. zip[serial.exe]" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Alt 17.01.2009, 17:40   #15
undoreal
/// AVZ-Toolkit Guru
 
TR/Spy.Gen - Standard

TR/Spy.Gen



Scanne den Rechner abschließend mit SUPERAntiSpyware und Anti-Malware und poste die logs.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu TR/Spy.Gen
adobe, antivir, antivirus, avg, avira, bho, explorer, firefox, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, kommt immer wieder, launch, logfile, monitor, mozilla, object, pdf, plug-in, problem, programme, rundll, software, tr/spy.gen, trojanisches pferd, windows xp



Zum Thema TR/Spy.Gen - Hallo guten Abend/Morgen hab auf meinem Laptop seid einigen tagen ein Problem mit dem AntiVir bringt mir ständig die Meldung C:/WINDOWS/system32/dskquoui32.dll Ist ein Trojanisches Pferd TR/Spy.Gen Kann dann auf löschen - TR/Spy.Gen...
Archiv
Du betrachtest: TR/Spy.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.