Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdächtig - Bitte um Hilfe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 28.01.2009, 17:14   #16
LizzyZizzy
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



Zitat:
Hi,

hast du die *** gegen den richtigen Pfad ersetzt, dann kannst Du den ganzen Pfad mit Dateiname gleich in das Feld bei Virustotal kopieren und musst nicht suchen (wenn es sich versteckt, findest Du es so nicht);
ja hab ich beides gemacht - ohne erfolglos - ich bekomm nur diese meldung von virustotal:
Zitat:
0 bytes size received / Se ha recibido un archivo vacio
Zitat:
Ansonsten wirklich MAM loslassen...
der quickscan hat nichts egbene, alles sauber, aber ich lass grad zu sicherheit noch den vollständigen laufen.

Wenn der verseuchte Rechner vom Netz getrennt wird, ist das OK;
Zitat:
Wenn Du dann allerdings Daten per USB zu dem verseuchten Rechner transportierst, musst Du den Stick schreibschüzten (manche Sticks (bsonderst solche die eine SD-Karte intern verwenden)) können mit einem Schieber schreibgeschützt werden. Dann kann sich der Trojaner nicht über den Stick verbreiten...
lol - na super - hab meinen schönen 4 gb usb stick gestern an den verseuchten rechner angeschlossen, ist der jetzt auch verseucht??
ist ein "scan disk" U3 cruzer - hat leider kein "schieber" - was nun?
soll ic ihn an den verseuchten pc anschließen und manuell schreibschützen dann mit nem antivirus programm checken und erst dann wieder and den laptop anschließen?

Zitat:
Und mit Zeit stehlen meint er mich, weil ich Dich nicht gleich den Rechner neu aufsetzten lasse, sondern erst mal prüfen will was alles so rumfleucht...
)...
achso, also um ehrlich zu sein, bin ich eher ein freund von entfernen als von "neu aufsetzten" - hab eigentlich keine lust xp neu zu installieren ... vorallem da ich gar keine cd habe nur so ne recovery cd von fujitsu siemens die es noch zu unserem anderen laptop dazu gabe ... oder ist das ne vollwertige installatuions cd die auch mit einem anderen pc funktioniert?

lg

Alt 28.01.2009, 18:13   #17
LizzyZizzy
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



so sieht mein logfile nun nach anti-malwar aus; habe alle entfernen lassen.
bei 4-5 meinte er ich müsse neu starten damit er sie entfernen kann, dies hab ch gemacht.

danach konnt ich wieder auf "c" zugreifen und auch die registry konnte ich öffnen, so konnte ich 3wplayer und trojan.vundo aus der registry entfernen.
spy hunter zeigt im moment nichts mehr an.

hier das log file:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:59, on 2009.01.28.
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Adssite Advanced Toolbar\toolbar.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\Lite Regs.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233098348981
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5672 bytes
         
zumindest scheint die server umleitung behoben zu sein.
aber sauber ist der pc noch nicht, oder?
soll ich compfix noch durchlaufen lassen?
__________________


Alt 28.01.2009, 19:14   #18
LizzyZizzy
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



ich werd verrückt: möchte nun endlich combofix laufen lassen, aber ich bekomm immer ne fehlemeldung, dass avira antivir noch läuft, dabei habe ich die prozesse eigebtlich beendet. den avguard.exe den sched.exe(?) und noch den dritten.
musste dafür in der konfiguration auch etwas ändern, da sich die prozesse zuerst nicht beenden ließen. nun sehe ich keinen avira prozess mehr im task manager aber combofix zeigt mir trotzdem noch an, dass ich sie beenden soll, da sie eine gehafr darstellen würden.
ahm ja super - nur WIE????
__________________

Alt 28.01.2009, 20:34   #19
Chris4You
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



Hi,

das MAM-Log wäre wichtig, was alles entfernt worden ist...
Das mit combofix läuft mir hier zum ersten mal über den Weg..

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.01.2009, 20:43   #20
LizzyZizzy
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



achso, na der große pc ist schon aus. hatte keine lust mehr
könnt es in ca. 2 stunden oder morgen posten. wenns okay ist!

lg

aber wie gesagt, lief alles schon viel besser nach dem MAM - gar nicht zu vergleichen mit vorher.
nur mit dem blöden asus wireless usb stick hab ich so meine probleme ... kann es sein, dass win xp WPA2-PSK nicht unterstütz? manchmal gibts ne verbindung dann wieder nicht ... ist auf beiden xp pcs so, nur meiner, der mit vista macht keine probleme.
hab die card nicht mit dem windows wireless ding konfiguriert sondern mit dem mitgelieferten programm von asus.


muss ich combofix unbedingt noch durchlaufen lassen?
ich poste später auch das MAM log und noch ein hijack, aber wenns geht würd ich combofix gerne vermeiden, gerade auch wegen der fehlermeldung von avira und den eventuellen probleme die combofix verursachen könnte.
ich würd den großen pc auch nicht mehr ans i-net anschließen, nur noch fürs spielen benutzen, eventuell mal wegen einer authentifizierung ins internet gehen ...


Geändert von LizzyZizzy (28.01.2009 um 21:05 Uhr)

Alt 29.01.2009, 14:53   #21
LizzyZizzy
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



hab jetzt auch von unsere anderen laptop ein hijack logfile machen lassen:
bitte checken ob alles in ordnng ist.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:10, on 2009.01.29.
Platform: Windows XP Szervizcsomag 3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213275884240
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 5357 bytes
         
MAM láuft gerade.
das MAM file vom verseuchten pc stell ich gleich auch noch rein.

Alt 29.01.2009, 15:36   #22
LizzyZizzy
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



@Chris

Hi,
also hier ist das MAM log file und ein "frisches" hijack logfile.
das MAM ist auf ungarisch, hab zuspät gemerkt, dass man auch die sprache ändern kann, falls ich was übersetzten soll, sag mir bescheid! sorry!

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Adatbázis verzió: 1701
Windows 5.1.2600 Szervizcsomag 2

2009.01.28. 17:50:05
mbam-log-2009-01-28 (17-49-58).txt

Vizsgálat típusa: Teljes vizsgálat (C:\|)
Átvizsgált objektumok: 192819
Eltelt idő: 3 hour(s), 53 minute(s), 19 second(s)

Fertőzött memóriafolyamatok: 1
Fertőzött memória modulok: 0
Fertőzött rendszerleíró kulcsok: 7
Fertőzött rendszerleíró értékek: 1
Fertőzött rednszerleíró elemek: 12
Fertőzött mappák: 3
Fertőzött fájlok: 21

Fertőzött memóriafolyamatok:
C:\resycled\ntldr.com (Trojan.DNSChanger) -> No action taken.

Fertőzött memória modulok:
(Nem észleltem rosszindulatú elemeket)

Fertőzött rendszerleíró kulcsok:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f31b3634-12aa-41ca-b021-0685c3b3e4ca} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{36a91cec-6c71-4758-b492-397bfc8e96a2} (Adware.Rightonadz) -> No action taken.
HKEY_CLASSES_ROOT\aquaplay (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\adssite (Adware.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\HID_Layer (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Enhanced Ads by Think-Adz (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\3wPlayer_is1 (Trojan.Adware) -> No action taken.

Fertőzött rendszerleíró értékek:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\host process (Trojan.Agent) -> No action taken.

Fertőzött rednszerleíró elemek:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2cf2c101-5d1c-452f-b01f-6586394e39fc}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2cf2c101-5d1c-452f-b01f-6586394e39fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{bfbaeea4-c929-4177-aa6d-780ddab74760}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{2cf2c101-5d1c-452f-b01f-6586394e39fc}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{2cf2c101-5d1c-452f-b01f-6586394e39fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bfbaeea4-c929-4177-aa6d-780ddab74760}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{2cf2c101-5d1c-452f-b01f-6586394e39fc}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{2cf2c101-5d1c-452f-b01f-6586394e39fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{bfbaeea4-c929-4177-aa6d-780ddab74760}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.132,85.255.112.84 -> No action taken.

Fertőzött mappák:
C:\Documents and Settings\All Users\Start Menu\Programs\3wPlayer (Trojan.Downloader) -> No action taken.
C:\resycled (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\Fonts\' (Trojan.Agent) -> Files: 24363 -> No action taken.

Fertőzött fájlok:
C:\WINDOWS\system32\gaopdxirsbpxiu.dll (Trojan.DNSChanger) -> No action taken.
C:\Documents and Settings\All Users\Start Menu\Programs\3wPlayer\3wPlayer.lnk (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\All Users\Start Menu\Programs\3wPlayer\Uninstall 3wPlayer.lnk (Trojan.Downloader) -> No action taken.
C:\autorun.inf (Trojan.DNSChanger) -> No action taken.
C:\resycled\ntldr.com (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\regedit.com (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\cmd.com (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\ping.com (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\zxdnt3d.cfg. (Adware.ZenoSearch) -> No action taken.
C:\WINDOWS\system32\netstat.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\tasklist.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\tracert.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\msnav32.ax (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> No action taken.
C:\Documents and Settings\Zsuzsa\Asztal\3wPlayer.lnk (Trojan.Adware) -> No action taken.
C:\WINDOWS\Temp\tempo-83.tmp (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\Temp\tempo-0C9.tmp (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\Temp\tempo-76D.tmp (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\Temp\tempo-D47.tmp (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxmdxvnsrr.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxserv.sys (Trojan.Agent) -> No action taken.
         
und das hijack logfile

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34, on 2009-01-29
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Adssite Advanced Toolbar\toolbar.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\Lite Regs.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233098348981
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5139 bytes
         
na wie seiht es aus??
spyhunter hat heute nochmal 2 tracking cookies - "DoubleClick" und "Qkrsv" gefunden - woher kommen die immer?
und "Think-Adz" scheint auch noch nicht vollstöndig weg zu sein.

ist eine Neuinstallation nötig?

Alt 29.01.2009, 16:46   #23
Chris4You
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



Hi,

der verseuchte Rechner muss Neuaufgesetzt werden, da ist/war ein Backdoor drauf. Zwar kannst Du das mit MAM bereinigen lassen (wie in der Anleitung, fullscan und bereinigen lassen), aber dann ist immer noch unklar was auf dem Rechner manipuliert wurde (oder ob immer noch was versteckt läuft).

Folgende Einträge sind immer noch da (HJ-Log von heute):
O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\Lite Regs.exe
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto -> das ist der Wurm: W32.Alcra.B

Das HJ-Log vom zweiten (sauberen Rechner) sieht gut aus, das vom verseuchten nicht (s. o.).

-> http://www.trojaner-board.de/51871-anleitung-superantispyware.html

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 29.01.2009, 18:06   #24
LizzyZizzy
 
Verdächtig - Bitte um Hilfe - Standard

Verdächtig - Bitte um Hilfe



Zitat:
der verseuchte Rechner muss Neuaufgesetzt werden, da ist/war ein Backdoor drauf. Zwar kannst Du das mit MAM bereinigen lassen (wie in der Anleitung, fullscan und bereinigen lassen), aber dann ist immer noch unklar was auf dem Rechner manipuliert wurde (oder ob immer noch was versteckt läuft).
hi,
bin grad dabei - war mir dann auch alles zu suspekt, wer weiß was da alles verstellt wurde.

Zitat:
Das HJ-Log vom zweiten (sauberen Rechner) sieht gut aus.
dann ist ja gut! puh!

vielen dank für alles - auch wenn er nicht mehr zu retten war!

lg,
Isa

soll ich dann noch ein log file vom neu aufgesetzten rechner posten, oder müsste dann alles passen?

Antwort

Themen zu Verdächtig - Bitte um Hilfe
ad-aware, ad-watch, adobe, antivir, avira, bho, bitte um hilfe, control center, desktop, enigma, entfernen, festplatte, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log file, logfile, prozess, rundll, sanduhr, software, system, trojaner, updates, windows, windows xp, wlan



Ähnliche Themen: Verdächtig - Bitte um Hilfe


  1. Prozesse 2dpainting.exe;atieclxx.exe;csrss.exe und winlogon.exe verdächtig
    Plagegeister aller Art und deren Bekämpfung - 09.08.2014 (5)
  2. Windows 8.1 pro 64-Bit/ rundll32 steh im Autostart und finde den Dateipfad verdächtig ?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (2)
  3. Internetverbindung ist verdächtig langsam - von einem Tag auf den andern.
    Plagegeister aller Art und deren Bekämpfung - 28.05.2013 (19)
  4. CPU Auslastung verdächtig hoch, kein Grund erkennbar
    Plagegeister aller Art und deren Bekämpfung - 05.12.2012 (13)
  5. Häufiges Java Update verdächtig
    Log-Analyse und Auswertung - 21.09.2012 (3)
  6. Computer benimmt sich verdächtig
    Log-Analyse und Auswertung - 18.09.2010 (5)
  7. Verdächtig oder nicht
    Log-Analyse und Auswertung - 12.06.2010 (0)
  8. Ist hier ein prozess verdächtig...?
    Plagegeister aller Art und deren Bekämpfung - 14.08.2009 (10)
  9. Userinit.exe verdächtig laut Virustotal.com
    Plagegeister aller Art und deren Bekämpfung - 06.07.2009 (11)
  10. DR.WEB Cure-IT, verdächtig SCRIPT:Virus
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (7)
  11. iexplore verdächtig, die zweite.
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (1)
  12. iexplore verdächtig
    Mülltonne - 04.08.2008 (1)
  13. PC läuft verdächtig Langsam(p2pAlcan)
    Plagegeister aller Art und deren Bekämpfung - 26.05.2007 (1)
  14. Ist das verdächtig?
    Mülltonne - 25.05.2006 (1)
  15. Anitvir Report, Verdächtig oder?
    Antiviren-, Firewall- und andere Schutzprogramme - 09.04.2006 (5)
  16. Treiberupdate/Datei verdächtig
    Plagegeister aller Art und deren Bekämpfung - 06.04.2005 (7)
  17. zogwcod.scr -> Verdächtig?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2003 (8)

Zum Thema Verdächtig - Bitte um Hilfe - Zitat: Hi, hast du die *** gegen den richtigen Pfad ersetzt, dann kannst Du den ganzen Pfad mit Dateiname gleich in das Feld bei Virustotal kopieren und musst nicht suchen - Verdächtig - Bitte um Hilfe...
Archiv
Du betrachtest: Verdächtig - Bitte um Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.